[第137期] 玩轉08活動目錄,助力您的企業管理
windows server 2008和搭檔產品vista的新特性應用以及最新的windows server 2008 R2和windows 7的搭檔應用,在企業中的價值及其體現是如何的呢?
本次門診以活動目錄為核心,windows server 2008為架構基石,為您帶來更加完善、更加符合企業應用需求的IT架構解決方案及疑難解答!
技術門診是51CTO社區品牌欄目,每周邀請一位客座專家,為廣大技術網友解答疑問。從熱門技術到前沿知識,從技術答疑到職業規劃。每期一個主題,站在最新最熱的技術前沿為你引航!
本期技術門診我們邀請到微軟最有價值專家(MVP),高級講師宋楊宋老師,和大家討論交流windows 2008下活動目錄配置管理中遇到的問題及相應的解決方案。
姓名:宋楊
擅長領域:服務器,網絡
微軟最有價值專家(MVP),網絡技術高級講師。熟悉Windows / Linux服務搭建,廣域網技術,Voip,Cisco / 華為網絡技術。多年大型企業網站建設及系統集成經驗。擅長ERP、CRM系統部署,曾長期致力于汽車服務行業的信息化解決方案。有著豐富的微軟及 Sap公司系統產品實施及部署經驗。項目經驗:成功整合過Windows、IBM、SAP、騰訊E、用友、紹興卓越軟件,北京易車等知名國內外信息化系統。一汽大眾大SAP系列行業項目,華晨金杯售后服務信息化項目,鄭州日產ERP /CRM項目、上汽奇瑞ERP項目等。
查看本期門診精彩實錄:http://doctor.51cto.com/develop-150.html
參與最新技術門診:http://doctor.51cto.com/
精選本期網友提問與專家解答,以供網友學習參考。
Q:宋老師您好:目前我單位正好在搞個小項目,正是此環境,服務器windows 2008 server,在Vista下加域后,如此域賬戶為user權限,我發現運行office軟件會有報錯,提示放入安裝光盤,需要XX.cab。但我放入后沒什么用,我只能很傻的卸載office并重裝下,這樣效率很低,且我不得不把office裝在D盤,因我不能改C盤的用戶權限,如裝在C盤,我難以給域賬號modify權限,怕office出錯,故裝在D盤。請問有何好辦法?是不是在Vista下修改下組策略還是?
A:1、在AD中創建一個OU(專門用來分發或者修復軟件)
2、創建一條組策略套用在這個OU上
3、修改組策略中的計算機配置的軟件策略(提前做一個共享,作為軟件的分發點),然后設置安裝或者修復就OK了。
4、2008中是用GPMC做組策略管理的,可以使用GPMC備份進行軟件分發的GPO,以備日后刪除或者升級軟件使用。
Q:宋教授您好,我想了解一下現在裝Windows 2003的系統短期內有沒有必要升級到Windows 2008呢,在功能上2008比2003強多少呢?
A:根據你的企業IT環境的生命狀況和IT需求來決定是否升級,比方你原來是服務端:2003 sp2 客戶端:xpsp3 這樣的架構,如果客戶端60%以上的用戶都要選擇windows vista 或者windows 7 那么為了滿足業務用戶的需求,我們的服務器就需要更換成2008 或者 2008R2來滿足客戶端功能的需求。或者原來2003服務器上的IIS6.0需要更換新的IIS7.0或者7.5 那么可以考慮升級到2008 或者2008 R2
Q:宋老師:您好,我司有一個部門對信息安全要求比較嚴格,所以使用WIN2003域進行管理,客戶機全部為XP專業版(服務器為中文企業版,客戶機為韓語系統)。目前出現奇怪現象為,有一些客戶機的域策略更新不了,例如屏保等設置都不受域的控制,但是與域的通訊沒有問題,客戶機登陸仍然使用域賬號。
請教一下,出現下列問題需要如何排查故障原因及有可能出現的故障(為方便排查沒有安裝殺毒軟件),謝謝!
A:組策略的默認刷新時間是90分鐘,也可以在客戶端用gpupdate /force 的d方法強制刷新。上面的情況可能是因為DNS引起的。樓上的朋友可以嘗試下面的方法來排除:
單擊開始,指向設置,單擊控制面板,然后雙擊網絡連接。
右鍵單擊本地連接,然后單擊屬性。
單擊 Internet 協議 (TCP/IP),然后單擊屬性。
如果"使用下面的 DNS 服務器地址"選項尚未選中,請單擊該選項。
在"首選 DNS 服務器"框中鍵入正確的 DNS 地址。
單擊確定。
命令提示符下 使用ipconfig /flushdns 命令來刷新DNS 緩存。
Q:您好,請問一下,對于windows 2008它在安全性上優于windows 2003嗎?具體在那些方面有所提高?
A:首先,安全性上更定優于2003.因為發布的時候微軟宣傳是"史上安全性最強"。
與以前Windows版本中的防火墻相比,Windows Server 2008中的高級安全防火墻(WFAS)有了較大的改進,首先它支持雙向保護,可以對出站、入站通信進行過濾。
其次它將Windows防火墻功能和Internet 協議安全(IPSec)集成到一個控制臺中。使用這些高級選項可以按照環境所需的方式配置密鑰交換、數據保護(完整性和加密)以及身份驗證設置。
而且WFAS還可以實現更高級的規則配置,你可以針對Windows Server上的各種對象創建防火墻規則,配置防火墻規則以確定阻止還是允許流量通過具有高級安全性的Windows防火墻。
傳入數據包到達計算機時,具有高級安全性的Windows防火墻檢查該數據包,并確定它是否符合防火墻規則中指定的標準。如果數據包與規則中的標準匹配,則具有高級安全性的Windows防火墻執行規則中指定的操作,即阻止連接或允許連接。如果數據包與規則中的標準不匹配,則具有高級安全性的 Windows防火墻丟棄該數據包,并在防火墻日志文件中創建條目(如果啟用了日志記錄)。
對規則進行配置時,可以從各種標準中進行選擇:例如應用程序名稱、系統服務名稱、TCP端口、UDP端口、本地IP地址、遠程IP地址、配置文件、接口類型(如網絡適配器)、用戶、用戶組、計算機、計算機組、協議、ICMP類型等。規則中的標準添加在一起;添加的標準越多,具有高級安全性的Windows 防火墻匹配傳入流量就越精細。
具體配置就不詳細說了,有興趣可以到我blog里參考學習
Q:請問win2008中是否可以安裝exchange2003?安裝win2008對主機的最低要求是什么?我在虛機中安裝win2008發現運行起來很吃力!反應很慢!是否與我給與配置的虛機內存過低有關?如果在虛機中能夠跑2個以上的win2008虛機應如何配置?我使用的虛機是vm6.5.2!謝謝解答!
A:請問win2008中是否可以安裝exchange2003?可以安裝win2008對主機的最低要求是什么?
處理器 o 最小: 1GHz
o 建議: 2GHz
o 最佳: 3GHz 或者更快速的
注意: 一個 Intel Itanium 2 處理器支援Windows Server 2008 for Itanium-based Systems
內存 o 最小: 512MB RAM
o 建議: 1GB RAM
o 最佳: 2GB RAM (完整安裝) 或者 1GB RAM (Server Core 安裝) 或者其他
o 最大 (32位系統 ): 4GB (標準版) 或者 64GB (企業版 以及 數據中心版)
o 最大 (64位系統): 32GB (標準版) 或者 2TB (企業版, 數據中心版, 以及 Itanium-based 系統)
允許的硬盤空間 o 最小: 8GB
o 建議: 40GB (完整安裝) 或者 10GB (Server Core 安裝)
o 最佳: 80GB (完整安裝) 或者 40GB (Server Core 安裝) 或者其他
注意: Computers with more than 16GB of RAM will require more disk space for paging, hibernation, and dump files
光盤驅動器 DVD-ROM
顯示 o Super VGA (800 x 600) 或者更高級的顯示器
o 鍵盤
o Microsoft Mouse 或者其他可以支援的裝置
虛擬機使用慢,估計是你硬件配置的問題哈
Q:謝謝老師的解答,試問下win2008server core是命令行提示符下對操作系統進行操作的界面么?如果我安裝了win2008企業版,想使用server core需要安裝什么組件?或者下載什么版本?server core是單獨的一個操作系統版本還是類似于SP1補丁一樣!下載安裝?能否詳細介紹下呢?看過相關的文章server core功能很強大!想學習下!還有,server core中是否結合了powershell 如果想詳細的學習這些命令,從哪下手呢?我只在大學里學過一點點的編程!全部忘光了!!!謝謝老師的指點!
A:server core僅僅是咱們在安裝2008時可選的一種安裝模式,所以沒有版本限制,選擇服務器核心(core)模式安裝就可以了。2008的標準版、企業版、 web版、數據中心版各個版本都支持core模式的安裝。如果您安裝的是core模式,那么就意味著裝完之后只有核心組件而沒有圖形界面,所以系統性能的增強是以犧牲可操作性為代價的。簡單的說:你就只能使用命令模式或者core的遠程管理工具來實現遠程管理了。
Q:我用vhd鏡像裝的sever 2008 R2 想做WDS實驗,Ad及DHCP都已經裝好了,另一個筆記本網絡激動能連接上我的,剛開始load file的速度也挺快的,但是到了后來下載boot.wim文件時速度卻很慢很慢,以前也做過一個,但是也是一樣的慢。實在是想不明白為什么這樣,在 virtual pc里做實驗速度但是蠻快的,但是在實體機里卻很慢,請問這是為什么呢。
我的筆記本 hp6930p 2G內存 T9400cpu 2.53Ghz 我覺得配置夠用了,為什么連接是卻很慢呢?請求各位幫忙看下,哪出問題了?待安裝的筆記本和我同一型號配置一樣。
A:虛擬機理的是標準的網絡環境,肯定會比實際網絡環境要穩定和快速一些。
Q:宋老師您好:我家用的是寬帶路由器,我有兩臺電腦,一臺裝win2003, 一臺裝xp。我在win2003裝了VPN,用xp去訪問有時能拔上號有時不能,如果拔上號xp就會連不上網!還有,接不上時有時出現633錯誤,800 錯誤。這是為什么,用外網的機器連出現733錯誤。
A:VPN服務器733錯誤解決方法
取消DHCP自動分配,在"路由和遠程訪問"中的本地服務器上單擊右鍵,"屬性""IP"在IP地址指派處選擇"靜態地址池"。自行輸入地址即可。地址因沒有被占用。在CMD中ping同C段IP無法ping通的基本可用。
* 733問題 路由及遠程訪問設置 具體方法
1. 開始 , 指向 管理工具 , 依次 路由和遠程訪問 。
2. 單擊服務器的控制臺左窗格中本地服務器名稱相匹配。
路由和遠程訪問服務如果圖標有在左下角角, 紅色圓圈是不啟用。 轉到步驟 3。
如果有在左下角角, 向上綠色箭頭圖標是啟用服務。 若是, 可能要重新配置服務器。 要重新配置服務器, 您必須首先禁用路由和遠程訪問。 要這樣做, 右鍵單擊服務器, 然后單擊 禁用路由和遠程訪問 。 在您使用信息性郵件提示時單擊 是 。
3. 右鍵單擊服務器, 然后單擊以啟動路由和遠程訪問服務器安裝向導 配置并啟用路由和遠程訪問 。 請單擊 下一步 。
4. 單擊要啟用遠程計算機來撥入或連接到此網絡通過 Internet 遠程訪問 (撥號或 VPN) 。 請單擊 下一步 。
5. 用于撥號訪問, 根據要分配到此服務器角色進行虛擬專用訪問, 單擊 VPN 或 撥號 。
6. VPN 連接 上, 單擊網絡接口連接到 Internet, 依次 下一步 。
7. 在 IP 地址分配 頁上, 執行下列之一: 如果 DHCP 服務器將用于將地址分配給遠程客戶, 自動 , 依次 下一步 。 請轉到步驟 8。
單擊 來自指定的地址范圍 僅從預定義池給, 可遠程客戶地址。
在大多數情況下, DHCP 選項是容易管理。 如果沒有 DHCP, 但是, 必須指定的靜態地址范圍。 請單擊 下一步 。
向導打開 地址范圍分配 頁。 a. 單擊 新建 。
b. 在 起始 IP 地址 框中, 鍵入地址對要使用的范圍中第一個 IP 地址。
c. 在 結束 IP 地址 框中, 鍵入最后一個 IP 地址范圍中。
Windows 將自動計算的地址數。
d. 單擊 確定 以返回到 地址范圍分配 頁。
e. 請單擊 下一步 。
8. 接受默認設置, No, 使用路由和遠程訪問來驗證連接請求 , 然后單擊 下一步 。
9. 單擊 完成 以啟用路由和遠程訪問服務并將配置運行路由和遠程訪問服務器。
服務器可現在配置為 VPN 服務器。
Q:還有個問題,服務器上如何重設域賬戶的密碼,域管理員的密碼?謝謝!
A:打開"Active Dircetory 用戶和計算機"選擇要重設密碼的用戶,右擊 選擇"重設密碼"
Q:老師你好,我是在校生,如果現在要學win 2008的話,有沒有比較好的教程可以推薦呢?謝謝!
A:有一本書可以推薦《Microsoft Active Directory Administrator's Pocket Consultant》 不過中文版的沒出,另外建議你去我的blog:http://songyang.me 有全套08的學習文章哈。
Q:請問專家,08的活動目錄和2003的活動目錄相比,多了一些什么功能,在應用過程中有什么作用?
A:從AD的功能上來說確實多了很多振奮人心的功能,這個我例舉幾個:
1 只讀DC (加強遠程分支機構的強化管理)
2 組策略的加強:多元密碼策略 (制定多元的密碼策略應對不同的被管人群)
3 獨立于系統內核之上的AD服務(獨立于系統的ADDS和ADLDS更有利于服務的管理和數據庫的維護)
4 AD快照功能(便于AD數據庫的日常管理維護,可以方便快速的找到用戶以前的設置)
還有很多就不一一例舉了,這位朋友有興趣可以在我的Blog的2008專欄里找到更多答案
Q:請問下 如果我想在虛擬機里面裝Win 2008 然后在里面安裝SQL數據庫 應該分配多大的空間合適呢?
A:2008完成安裝的話建議40G的系統空間,SQL如果是2005 版本 做實驗的話就不用再分了。生產環境根據需求來劃分。
Q:你好,宋老師,我想問一下,,2008的powershell同我們現在常用的cmd相比, 都有哪些強大的功能呢?
A:powershell 是windows平臺中推出的革命性腳本編輯工具,強大的腳本編輯功能和linux下的bash都不相上下(個人感覺哈).
主要是給喜歡寫腳本程序的用戶使用的。比如一些腳本開發人員,或者IT管理人員。
你可以用powershell編寫和執行任何圖形界面能做的事情,并設置自動化的管理任務。
甚至一些圖形界面辦不到的自定義高級功能都可以在powershell中做到。
Q:自第3樓您回復說 "4、2008中是用GPMC做組策略管理的,可以使用GPMC備份進行軟件分發的GPO,以備日后刪除或者升級軟件使用。"
請問GPMC是否是gpmc.msc,記得2003中也有個GPMC管理程序,它們有何區別,是否都能從微軟官網上下載,謝謝。
A:首先2008是默認集成GPMC的,不用自己再去安裝了。而2003中的GPMC是需要安裝的。當然GPMC管理組件是可以從官方下載的。當然這僅僅停留于 2003的時代。而2008已經將所有的組件都內置在系統中了,不需要再放光盤更不需要從網站下載,只需要從服務器管理器中選擇相應的功能就ok了。
Q:宋老師:你好!請問如何提取出或備份系統的語言包?
A:可以從微軟下載中心去下載多國語言包。
Q:netdiag出現的信息每一行都是什么意思?一點都看不懂。
A:我們經常會使用Windows 網絡連接的修復功能修復網絡連接。這種修復功能發揮作用的途徑是通過實施一系列的測試努力恢復由于客戶端或者服務器的網絡設置錯誤引起的網絡連接問題。客戶端的問題包括DHCP設置或者解析器緩存的問題。服務器的問題包括WINS或者DNS名稱注冊。然而,這種修復功能有一些局限性,也就是:
維修過程的結果不能存儲下來以便以后進行評估或者做報告。
在多宿主機上,維修過程必須要在每個網絡連接上分開實施。
維修過程實施的測試數量是有限的。
使用Netdiag.exe能夠克服這些局限性。Netdiag.exe是一種網絡連接故障診斷工具,是Windows技術支持工具的一部分。 Netdiag能夠比維修過程做更廣泛的和數量更多的測試。你還可以讓Netdiag.exe輸出一個文本文件,這樣,你就能獲得一個實施的測試和結果的記錄。
安裝Netdiag
你可以通過安裝Windows技術支持工具來安裝Netdiag。用鼠標雙擊SupportToolsSUPTOOLS.MSI就可以安裝。在默認狀態下,技術支持工具安裝到%SystermDrive%Program FilesSupport Tools目錄。但是,我發現把這些工具安裝到%SystemDrive%Tools目錄更方便,因為這些工具需要在命令行下運行。這樣將使為了運行這些工具而輸入這些工具的路徑更簡單。替代的方法是,如果你只要安裝Netdiag,而不安裝其它技術支持工具,你可以用鼠標雙擊 SupportToolsSupport.cab文件,然后用鼠標雙擊Netdiag.exe以便僅安裝這個工具。
理解Netdiag
Netdiag對本地系統的每一個網絡適配器進行一系列的測試。一旦進行這些測試,Netdiag要進行一系列全球連接測試以便找到和解決連接問題。這些問題也許是本地系統以外的問題引起的。
Netdiag對本地系統的網絡適配器進行如下測試:
Ndis
Ipconfig
Autonet
DefGw
NbtNm
WINS
一旦這些測試完成,Netdiag接下來將進行下面的一系列全球連接測試:
Member
NetBTTransports
Autonet
IpLoopBk
DefGw
NbtNm
Winsock
DNS
Browser
DsGetDc
DcKust
Trust
Kerberos
Ldap
Bindings
WAN
Modem
IPSec
每一項測試的細節將采用下面的表格提供:
測試名稱
說明 Autonet 檢查網絡適配器是否在使用APIPA(自動專用IP地址)。綁定列出網絡綁定,包括接口名稱、下面和上面模塊名稱,指出這個綁定目前是否啟用并且報告這個綁定的擁有者。瀏覽器列出瀏覽器服務和重新定向器的全部網絡協議。 DcList 獲得一個這個域名的域名控制器列表。 DefGw 用每一個配置的默認網關驗證連接。 DNS 驗證配置的DNS服務器的可用性并且驗證客戶端的DND注冊。 DsGetDc 從目錄服務中獲得任何域名控制器的名稱,然后獲得PDC仿真器的名稱。驗證存儲在本地安全認證中的域名GUID與存儲在DC中的域名GUID是否一致。 IpConfig 逐個列出每一個網絡適配器的TCP/IP設置。 IpLoopBk 查驗每一個適配器的回送地址127.0.0.1 。 IPSec 檢查Ipsec是否啟用。如果啟用,列出這臺計算機的所有現用的IPsec 政策。 IPX 列出IPX統計(如果安裝的話) Kerberos 驗證Kerberos身份識別軟件包是否是最新的。 Ldap 聯系所有可用的域名控制器并且確定哪一個LDAP身份識別協議正在使用。成員檢查證實主要域名的細節,包括計算機的任務、域名和域名GUID。查看NetLogon 服務是否開始,向域名列表增加主要域名并且查詢主要域名安全標識符。 調制解調器為這個系統上的每一臺調制解調器提供配置信息。 NbtNm 執行與nbtstat -n 指令類似的行動。也就是驗證工作站服務名稱00與計算機名稱一致,并且驗證Messenger =服務名稱 03 ,服務器服務名稱20出現在所有的接口,并且所有這些名稱都沒有沖突。 Ndis 列出每一個網絡適配器配置的細節,包括適配器名稱、設置、媒體、GUID和統計。 NetBTTransports 列出NetBIOS over TCP/IP (NetBT)上的全部傳輸協議。 Netstat 列出當前TCP/IP連接和協議統計。 Netware 詢問最近的Netware服務器(如果使用的話),了解當前的登錄信息。 路由列出在路由表中的全部靜態路由,并且指出它們是否不變。信賴測試域名信賴關系,驗證主要域名安全標識符是正確的。 WAN 總結當前正在使用的每一個COM端口的設置和狀態。 WINS 驗證配置的WINS服務器的可用性并且驗證WINS客戶端注冊。 Winsock 顯示WinSock服務可以使用的協議和端口。
除了進行這些測試之外,Netdiag.exe還報告有關這個系統的如下信息:
系統的NetBIOS名稱
系統的DNS名稱
系統總的信息
安裝的熱補丁
運行Netdiag
運行Netdiag最簡單的方法是沒有任何參數。這將測試系統的每一個本地網絡適配器,然后進行一系列全球連接測試。在Windows Server 2003成員服務器上運行這個指令輸出的樣本數據如下(熱補丁列表已刪除):
以下是引用片段:
C:ools
etdiag
...................................
計算機名稱:SRV
DNS主機名稱:SRV.contoso.com
系統信息:MicrosoftWindowsServer2003R2(Build3790)
處理器:Processor:x86Family15Model4Stepping1,GenuineIntel
安裝的熱補丁列表:
KB890046
KB893756
KB896358
KB925486
Q147222
Netcardqueriestest.......:Passed每個接口結果:
以下是引用片段:
適配器:局域網連接器
Netcardqueriestest...:Passed
主機名稱.........:SRV
IP地址........:172.16.11.31
子網掩碼........:255.255.255.0
默認網關......:172.16.11.1
Dns服務器........:172.16.11.32
AutoConfigurationresults......:Passed
Defaultgatewaytest...:Passed
NetBTnametest......:Passed
[警告]:00工作站服務,03Messenger服務,20WINS名稱至少有一個丟失了。
WINSservicetest.....:Skipped這個接口沒有WINS服務器配置。
全球結果:
以下是引用片段:
Domainmembershiptest......:Passed
NetBTtransportstest.......:Passed
ListofNetBttransportscurrentlyconfigured:
NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}
1NetBttransportcurrentlyconfigured.
Autonetaddresstest.......:Passed
IPloopbackpingtest.......:Passed
Defaultgatewaytest.......:Passed
NetBTnametest..........:Passed
[警告]你沒有一個單個的接口連接00工作站服務,03Messenger服務,20WINS名稱定義。
Winsocktest...........:Passed
DNStest.............:Passed
RedirandBrowsertest......:Passed
ListofNetBttransportscurrentlyboundtotheRedir
NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}
Theredirisboundto1NetBttransport.
ListofNetBttransportscurrentlyboundtothebrowser
NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}
Thebrowserisboundto1NetBttransport.
DCdiscoverytest.........:Passed
DClisttest...........:Passed
Trustrelationshiptest......:Passed
SecurechannelfordomainCONTOSOistoDC-1A.contoso.com.
Kerberostest...........:Passed
LDAPtest.............:Passed
Bindingstest...........:Passed
WANconfigurationtest......:Skipped
Noactiveremoteaccessconnections.
Modemdiagnosticstest......:Passed
IPSecuritytest.........:Skipped
備注:運行netshipsecdynamicshow/?可獲得更詳細的信息這個指令成功地完成了。
注意,運行NbtNm測試可產生下面的結果:
以下是引用片段:
NetBTnametest......:Passed
[WARNING]Atleastoneofthe00WorkStationService,03MessengerService,20WINSnamesismissing.這個警告確實是一個問題,因為在默認狀態下,Messenger服務不在Windows Server 2003平臺上運行,因此,沒有為它注冊的名稱。
你還可以使用其它方法運行Netdiag,特別是:
Netdiag /q以安靜的模式進行測試并且僅報告錯誤。
Netdiag /v以冗長的模式進行測試并且提供額外的細節。
Netdiag /test:test_name(s)運行標準測試,然后僅進行具體的測試。
Netdiag /skip:test_name(s)除了具體指定的之外,在全球測試之后運行標準測試。(然而,某些測試不能跳過,包括Member, Ndis和NetBTTransports)
Netdiag /fix實施全部標準的和全球測試,并且試圖修復它發現的任何問題。
例如,在上述系統產品上運行Netdiag /q測試可以得出如下結果:
以下是引用片段:
C:ools
etdiag/q
...................................
ComputerName:SRV
DNSHostName:SRV.contoso.com
Systeminfo:MicrosoftWindowsServer2003R2(Build3790)
Processor:x86Family15Model4Stepping1,GenuineIntel
Listofinstalledhotfixes:
KB890046
KB893756
KB896358
KB925486
Q147222每個接口的結果:
以下是引用片段:
適配器:局域網連接器
主機名稱.........:SRV
IP地址........:172.16.11.31
子網掩碼........:255.255.255.0
默認網關......:172.16.11.1
Dns服務器........:172.16.11.32
WINSservicetest.....:Skipped
全球結果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務,03Messenger服務,20WINS名稱定義。
IPSecuritytest.........:Skipped
Thecommandcompletedsuccessfully更多的Netdiag例子:
學習如何解釋Netdiag輸出的最佳方法是設法在各種測試環境下運行它。下面是不同環境下的幾個例子和你能夠從這個工具中得到的輸出數據。這些情況是在一個Windows Server 2003域中的一臺成員服務器上運行Netdiag得到的結果。為了僅強調這個工具報告的錯誤信息,這個輸出數據進行了刪節。
1. 在域控制器離線時運行netdiag /q得到的輸出結果:
全球結果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務,03Messenger服務,20WINS名稱定義。
RedirandBrowsertest......:Failed
[FATAL]CannotsendmailslotmessagetoCONTOSO*MAILSLOTNETNETLOGONviaredir.[ERROR_BAD_NETPATH]
DCdiscoverytest.........:Failed
[FATAL]CannotfindDCindomainCONTOSO.[ERROR_NO_SUCH_DOMAIN]
DClisttest...........:Failed
CONTOSO:CannotfindDCtogetDClistfrom[testskipped].
Trustrelationshiptest......:Failed
[FATAL]SecurechanneltodomainCONTOSOisbroken.
[RPC_S_SERVER_UNAVAILABLE]
Kerberostest...........:Skipped
CONTOSO:CannotfindDCtogetDClistfrom[testskipped].
LDAPtest.............:Failed
CannotfindDCtorunLDAPtestson.Theerroroccurredwas:The
specifieddomaineitherdoesnotexistorcouldnotbecontacted.
[WARNING]CannotfindDCindomainCONTOSO.
[ERROR_NO_SUCH_DOMAIN]2.在這個系統設置錯誤的默認網關時運行netdiag /q得到的輸出結果:
以下是引用片段:
Defaultgatewaytest.......:Failed重要:連接不到任何網關,你沒有通向任何其它網段的連接。如果你手工配置IP協議,那么你需要至少增加一個合法的網關。
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務,03Messenger服務,20WINS名稱定義。
DClisttest...........:Failed
FailedtoenumerateDCsbyusingthebrowser.[ERROR_REQ_NOT_ACCEP]3.當計算機瀏覽器服務沒有在這個系統上運行的時候運行netdiag /q得到的輸出結果:
全球結果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務,03Messenger服務,20WINS名稱定義。
DClisttest...........:Failed
FailedtoenumerateDCsbyusingthebrowser.[NERR_ServiceNotInstalled]4.當系統啟動時活動目錄中的這個系統的計算機賬戶關閉的時候運行netdiag /q得到的輸出結果:
以下是引用片段:
[警告]你沒有一個單個的接口連接00工作站服務,03Messenger服務,20WINS名稱定義。
Trustrelationshiptest......:Failed
CannottestsecurechannelfordomainCONTOSOtoDCDC-1A.[ERROR_NO_LOGON_SERVERS]
Kerberostest...........:Failed[FATAL]CannotgetticketcachefromKerberos.
Theerroroccurredwas:(null)結論:
Netdiag.exe是診斷Windows網絡上網絡連接問題的一個強大工具。
#p#
Q:您好!我想問一下2008R2的域功能級別的話,那么客戶端使用XP的話會不會有負面的影響?因為我覺得某些策略在XP的客戶端上應用的并不好。謝謝!
A:windows server 2003 VS windows XP with sp2
windows server 2008 VS windows vista
windows server 2008 R2 VS windows 7
這個是推薦的可以完全相互支持功能的IT架構的 選擇方案
Q:08的AD和03出入很大,不過聽說它比03的效率高很多,為啥呢。性能強在哪呢。老師?我怎么感覺08裝服務的時候很慢
A:08的目錄服務是獨立的,而03種的目錄服務是和系統內核綁定的。所有就這一點08的服務運行效率也要比03的高效,尤其對于AD的支持更加靈活。
Q:華為防火墻設置接口大小,現在有臺華為Secoway USG2100防火墻,20兆光纖。公司想實現1接口18m 2接口500K 3接口1.5M。請問具體應該怎么操作?配置命令是什么?
A:對端口E0/1的出方向報文進行流量限速,限制到3Mbps
[SwitchA- Ethernet0/1]line-rate outbound 30
對端口E0/1的入方向報文進行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16
報文速率限制級別取值為1~127。如果速率限制級別取值在1~28范圍內,則速率限制的粒度為64Kbps,這種情況下,當設置的級別為N,則端口上限制的速率大小為N*64K;如果速率限制級別取值在29~127范圍內,則速率限制的粒度為1Mbps,這種情況下,當設置的級別為N,則端口上限制的速率大小為(N-27)*1Mbps
如果不支持,查找你那個型號的防火墻的配置手冊。
Q:宋老師您好, 還是上次exchange server 2003日歷的共享問題:比如一個大公司在上海 北京 重慶 等地方都有分公司, 然后每個分公司本地的outlook都要有自己組的日歷, 在上海本地outlook上點擊"打開共享的日歷"時, 可以看到很多共享的日歷,但是只有名為shanghai的日歷組才有權限打開(其他地區也一樣).....然后打開后就可以看到名為shanghai的日歷里的備忘,會議啊什么的.... 這樣的話請問是在exchange上設置還是怎么個弄法.. (我的mail server是exchange 2003的)...
A:在exchange系統管理器中打開上海的共享文件夾并在其訪問控制列表中把你想要賦權訪問的用戶添加進去就 OK 了。
Q:宋老師您好:我現在是一名大二的學生,想往服務器那方面發展,現在正在看windows 2008的書籍和一本人民出版社的 Windows Server 2003活動目錄實戰指南 但是現在有些疑惑,大連這的這些公司,好像除了戴爾,其他的公司根本沒有域,沒有活動目錄,我想請問一下,如果學AD和服務器方向或者微軟方向的,以后好就業么,我聽說linux做服務器的比windows 要多,現在兼學linux和windows您看怎么樣呢?其他的地方的公司是否和大連一樣呢? 麻煩您給指點一下,有些迷茫。
A:單從使用體驗上講:linux 高性能,windows全面對于做應用的人來說,你會選擇哪一個陣營呢?
Q:2008的AD和 2003有什么區別? 如何備份2008的ad?
A:2008的AD和 2003有什么區別?
這個請參考6樓問題的回答
如何備份2008的ad?
windows server 2008 中不再提供ntbackup
而是使用windows server backup 功能來實現備份
具體安裝在 服務器管理器 中的功能里找到后安裝
具體備份請參考下面步驟(是我博客里的一篇文章我直接粘過來了):
前面在 AD數據庫備份[為企業部署Windows Server 2008系列十五] 一文中,說明了AD的常規備份方式,其實我們也可以使用命令行的方式來備份系統狀態,從而達到備份AD的目的。
這里解釋下系統狀態(systemstate)包含的文件內容:
在DC上:
1、注冊表(Registry)
2、COM+類注冊數據庫(COM+ Class Registration Database)
3、啟動文件(Boot Files)
4、活動目錄(Active Directory)
5、系統卷(SYSVOL)
在非DC上:
1、注冊表(Registry)
2、COM+類注冊數據庫(COM+ Class Registration Database)
3、啟動文件(Boot Files)
那么我們就只需要在server 2008 的DC上安裝好 windows server backup 命令行工具的前提下,敲如下命令即可:
wbadmin start systemstatebackup -backuptarget:e: (#注釋:后面的e:代表您要備份的目標盤符)
如下圖所示:
server 2008做備份的時候必須指定目標卷,所以您的DC必須有一個卷(除系統卷外)用來做備份目標。
Q:我就是想知道一下,底下的客戶機登陸域的時候,會提示:您所在的域的賬號丟失,或密碼不正確,但是在別的機器用這個賬號登是能正常登陸上去的,而且如果出現這個問題,域管理員登陸一下,再登陸這個賬號,就沒問題了,完全能登陸上去了。
服務器的情況是用兩個機器做的集群,然后主的集群配置了DNS,同時還有個輔域控服務器,沒有DNS,據說是同步,但是我曾經試驗了一下,在主域控創建了個賬號,輔域控沒馬上更新出來,過后有沒有同步過來就不太清楚了。
我說的出這個問題,是大概兩三天能遇到一回,但是客戶機有50多臺,沒人知道管理員賬號密碼,他們只能不斷的重啟,有的是重啟一次就可以登錄上去,有的是重啟幾十次才可以登錄上去。服務器上的域賬號應該有70個左右。客戶機域服務器的通信肯定是無任何問題,客戶機登錄時候選擇的域也絕對無問題。別人說的退出域重進一下,也試過了,還是同樣的問題。
后來沒辦法了,就重新搬了臺服務器,專門做域控,不再出現此現象。但是還是想弄清楚是怎么回事。請教您,謝謝、
A:有可能是你原來DC上的DNS或者是PDC仿真主機的故障引起的,DNS里的SRV記錄幫助用戶計算機找到目錄服務,PDC仿真主機做登錄時的驗證以及對時的操作,所以這兩個出了故障就會引起登陸域的故障。
Q:宋老師您好:剛好現在正在做一個項目,不過是windows 2003 server活動目錄的,有些東西沒有弄明白,所以向您請教了,麻煩您了。
我現在應用場景是在一用戶的企業網絡里,想通過防火墻對內外網進行劃分,簡單如下的拓撲:
windows 2003 server(認證服務器)
內網 | 外網
client1:--->- |
| -----------------
client2:-------------->| firewall |------------->internet
| -----------------
client3:---->-
當內網的client通過防火墻訪問外網的時候,我們需要對其身份以及權限進行認證,這時候我的想法是利用2003 server中的AD對其進行認證,為了加強用戶敏感信息的安全性,我在配置CISCO防火墻的時候用了SASL機制,分別用的是kerberos和 digest-md5。對于kerberos我不太清楚在2003上需要配置些什么,才能讓AD支持,在目前的流程里,我用DN發送綁定請求后,AD回應的給我一個錯誤地返回碼,pre-authenticated required.反復檢查后,仍然有此問題,還想請教宋老師,2003 AD如何配置kerberos支持。
同時我又嘗試了另外一種機制,即利用md5對敏感信息加密,在交互的流程里都是嚴格按照RFC2829的6.1所描述的步驟,但是,將dn發送到服務器作綁定請求時,服務器返回的錯誤嗎是,無效的憑證(錯誤碼14),但我檢查了2003以及我配置的密碼都是正確的,我沒有檢查出來原因,還想請教下宋老師。
羅索了半天,還麻煩宋老師多指點一下,多謝了。
A:大概看明白了你的問題,網絡中的防火墻應該如何設置來讓用戶正常訪問AD的所有資源,請參考下面的設置:
當我們為企業部署好基礎架構服務后為了安全起見都會啟動windows server 2008自帶的windows 防火墻,并且很多企業還會單獨部署一些安全解決產品(如ISA)。那么,要很好的完成這些產品的部署,我們就要了解活動目錄的服務以及DC上的網絡連接端口,以便大家在部署防火墻產品的時候開放必要的端口來讓我們的企業合法用戶及時連接服務。
DC的網絡連接端口:在這里我解釋為DC上為域用戶和成員計算機提供的與域相關的應用服務所開放的端口號。
下面我們來具體看看會提供哪些服務并開放哪些端口:
首先,在DC上打開DNS服務管理工具,展開正向查找區域的域名wgs.com(這里以wgs.com域為例),里面有_tcp和_udp這兩項SRV資源記錄,而通過查看SRV資源記錄就可以看到DC上提供活動目錄相關服務所開放的連接端口:
a . 選擇_tcp,查看DC上活動目錄相關服務所開放的TCP端口
b. 大家可以看到有_ldap(端口為tcp的389)、_kpasswd(端口為tcp的464) 、_kerberos(端口為tcp的88)、_gc(端口為tcp的3268)
c. 選擇_tcp,查看DC上活動目錄相關服務開放的UDP端口
d. 大家可以看到有_kerberos(端口為UDP的88) _kpasswd(端口為UDP的464)
小結:以上看到的端口都是需要開放的,各自有不同的作用,并相互配合完成域環境中的各種業務交付:
_ldap(TCP[389])是活動目錄復制服務的端口:允許客戶機在指定域中找到ldap服務器
_gc(TCP[3268])是全局編錄查詢的時候所要使用的服務端口:允許客戶機找到使用活動目錄根域的全局目錄服務器
_kerberos(TCP[88])票據管理服務的端口:允許客戶機找到對本域的kerberosKDC服務
_kpasswd(TCP[464])密碼更改相關服務端口:允許客戶機找到域中的kerberos改變密碼服
----------------------------------------------------------------------------------------
_kerberos(UDP[88])票據管理服務的端口:允許客戶機找到對本域的kerberosKDC服務
_kpasswd(UDP[464])密碼更改相關服務端口:允許客戶機找到域中的kerberos改變密碼服務
接下來,我們來用一臺加入域的成員計算機使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務,并且觀察一下連接端口:
通過上面兩副截圖大家可以看到當192.168.99.11(成員計算機)使用 'Active Directory 用戶和計算機'工具連接DC上的活動目錄服務時,在192.168.99.2(DC)上運行netstat 命令查看到DC的389端口被成員計算機連接使用。
ok,結合上面大家了解到的端口,現在我們就可以在跨地域的網絡中通過發布活動目錄相關服務端口的方式讓互聯網中的用戶來連接到DC了(加入域/登錄域,并享受域環境中的資源)。
下面,我們看看如何設置windows 防火墻來滿足上面的企業應用需求(讓互聯網中的用戶來連接到DC)。
如上面兩副圖片所示,您的防火墻必須例外設置 Active Directory 域服務[389][3268] Kerberos密鑰分發中心[88][464] 文件復制[389] 文件和打印機共享[445][139]
在了解到上面的這些必須添加到例外的服務之后,我們再遇到活動目錄服務不可用的提示時就可以根據這些服務的默認端口來判斷問題所在,并采取相應措施了。
PS:如果您的服務器放至在內網,您要通過端口映射來實現外網用戶對此服務器的訪問,現在您也可以更具本文中談及的端口來做映射了。
Q:Windows 2008 Server SP1活動目錄+Exchange 2007的組合。請問怎樣像windows 2003那樣用NTbackup 來備份Exchange?
A:備份工具變了,現在2008中使用的是windows server backup工具來實現備份的。具體方法請參考25樓的回答
Q:你好,請問在exchange 2003里怎么設置日歷共享?并且有相應權限才可以在outlook客戶端上查看?
A:給用戶在相應的功用文件夾中設置創建文件夾的權限即可,此時用戶就可以在outlook中創建并設置日歷共享了。
【編輯推薦】
