[第137期] 玩转08活动目录,助力您的企业管理

企业动态
windows server 2008和搭档产品vista的新特性应用以及最新的windows server 2008 R2和windows 7的搭档应用,在企业中的价值及其体现是如何的呢?

windows server 2008和搭档产品vista的新特性应用以及最新的windows server 2008 R2和windows 7的搭档应用,在企业中的价值及其体现是如何的呢?

 本次门诊以活动目录为核心,windows server 2008为架构基石,为您带来更加完善、更加符合企业应用需求的IT架构解决方案及疑难解答!

技术门诊是51CTO社区品牌栏目,每周邀请一位客座专家,为广大技术网友解答疑问。从热门技术到前沿知识,从技术答疑到职业规划。每期一个主题,站在最新最热的技术前沿为你引航!

本期技术门诊我们邀请到微软最有价值专家(MVP),高级讲师宋杨宋老师,和大家讨论交流windows 2008下活动目录配置管理中遇到的问题及相应的解决方案。

姓名:宋杨

擅长领域:服务器,网络

微软最有价值专家(MVP),网络技术高级讲师。熟悉Windows / Linux服务搭建,广域网技术,Voip,Cisco / 华为网络技术。多年大型企业网站建设及系统集成经验。擅长ERP、CRM系统部署,曾长期致力于汽车服务行业的信息化解决方案。有着丰富的微软及 Sap公司系统产品实施及部署经验。项目经验:成功整合过Windows、IBM、SAP、腾讯E、用友、绍兴卓越软件,北京易车等知名国内外信息化系统。一汽大众大SAP系列行业项目,华晨金杯售后服务信息化项目,郑州日产ERP /CRM项目、上汽奇瑞ERP项目等。

查看本期门诊精彩实录:http://doctor.51cto.com/develop-150.html

参与最新技术门诊:http://doctor.51cto.com/

精选本期网友提问与专家解答,以供网友学习参考。

Q:宋老师您好:目前我单位正好在搞个小项目,正是此环境,服务器windows 2008 server,在Vista下加域后,如此域账户为user权限,我发现运行office软件会有报错,提示放入安装光盘,需要XX.cab。但我放入后没什么用,我只能很傻的卸载office并重装下,这样效率很低,且我不得不把office装在D盘,因我不能改C盘的用户权限,如装在C盘,我难以给域账号modify权限,怕office出错,故装在D盘。请问有何好办法?是不是在Vista下修改下组策略还是?

A:1、在AD中创建一个OU(专门用来分发或者修复软件)

2、创建一条组策略套用在这个OU上

3、修改组策略中的计算机配置的软件策略(提前做一个共享,作为软件的分发点),然后设置安装或者修复就OK了。

4、2008中是用GPMC做组策略管理的,可以使用GPMC备份进行软件分发的GPO,以备日后删除或者升级软件使用。

Q:宋教授您好,我想了解一下现在装Windows 2003的系统短期内有没有必要升级到Windows 2008呢,在功能上2008比2003强多少呢?

A:根据你的企业IT环境的生命状况和IT需求来决定是否升级,比方你原来是服务端:2003 sp2 客户端:xpsp3 这样的架构,如果客户端60%以上的用户都要选择windows vista 或者windows 7 那么为了满足业务用户的需求,我们的服务器就需要更换成2008 或者 2008R2来满足客户端功能的需求。或者原来2003服务器上的IIS6.0需要更换新的IIS7.0或者7.5 那么可以考虑升级到2008 或者2008 R2

Q:宋老师:您好,我司有一个部门对信息安全要求比较严格,所以使用WIN2003域进行管理,客户机全部为XP专业版(服务器为中文企业版,客户机为韩语系统)。目前出现奇怪现象为,有一些客户机的域策略更新不了,例如屏保等设置都不受域的控制,但是与域的通讯没有问题,客户机登陆仍然使用域账号。

请教一下,出现下列问题需要如何排查故障原因及有可能出现的故障(为方便排查没有安装杀毒软件),谢谢!

 A:组策略的默认刷新时间是90分钟,也可以在客户端用gpupdate /force 的d方法强制刷新。上面的情况可能是因为DNS引起的。楼上的朋友可以尝试下面的方法来排除:

单击开始,指向设置,单击控制面板,然后双击网络连接。

右键单击本地连接,然后单击属性。

单击 Internet 协议 (TCP/IP),然后单击属性。

如果"使用下面的 DNS 服务器地址"选项尚未选中,请单击该选项。

在"首选 DNS 服务器"框中键入正确的 DNS 地址。

单击确定。

命令提示符下 使用ipconfig /flushdns 命令来刷新DNS 缓存。

Q:您好,请问一下,对于windows 2008它在安全性上优于windows 2003吗?具体在那些方面有所提高?

A:首先,安全性上更定优于2003.因为发布的时候微软宣传是"史上安全性最强"。

与以前Windows版本中的防火墙相比,Windows Server 2008中的高级安全防火墙(WFAS)有了较大的改进,首先它支持双向保护,可以对出站、入站通信进行过滤。

其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

 而且WFAS还可以实现更高级的规则配置,你可以针对Windows Server上的各种对象创建防火墙规则,配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。如果数据包与规则中的标准不匹配,则具有高级安全性的 Windows防火墙丢弃该数据包,并在防火墙日志文件中创建条目(如果启用了日志记录)。

对规则进行配置时,可以从各种标准中进行选择:例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起;添加的标准越多,具有高级安全性的Windows 防火墙匹配传入流量就越精细。

具体配置就不详细说了,有兴趣可以到我blog里参考学习

Q:请问win2008中是否可以安装exchange2003?安装win2008对主机的最低要求是什么?我在虚机中安装win2008发现运行起来很吃力!反应很慢!是否与我给与配置的虚机内存过低有关?如果在虚机中能够跑2个以上的win2008虚机应如何配置?我使用的虚机是vm6.5.2!谢谢解答!

A:请问win2008中是否可以安装exchange2003?可以安装win2008对主机的最低要求是什么?

处理器 o 最小: 1GHz

o 建议: 2GHz

o 最佳: 3GHz 或者更快速的

注意: 一个 Intel Itanium 2 处理器支援Windows Server 2008 for Itanium-based Systems

内存 o 最小: 512MB RAM

o 建议: 1GB RAM

o 最佳: 2GB RAM (完整安装) 或者 1GB RAM (Server Core 安装) 或者其他

o 最大 (32位系统 ): 4GB (标准版) 或者 64GB (企业版 以及 数据中心版)

o 最大 (64位系统): 32GB (标准版) 或者 2TB (企业版, 数据中心版, 以及 Itanium-based 系统)

允许的硬盘空间 o 最小: 8GB

o 建议: 40GB (完整安装) 或者 10GB (Server Core 安装)

o 最佳: 80GB (完整安装) 或者 40GB (Server Core 安装) 或者其他

注意: Computers with more than 16GB of RAM will require more disk space for paging, hibernation, and dump files

光盘驱动器 DVD-ROM

显示 o Super VGA (800 x 600) 或者更高级的显示器

o 键盘

o Microsoft Mouse 或者其他可以支援的装置

虚拟机使用慢,估计是你硬件配置的问题哈

Q:谢谢老师的解答,试问下win2008server core是命令行提示符下对操作系统进行操作的界面么?如果我安装了win2008企业版,想使用server core需要安装什么组件?或者下载什么版本?server core是单独的一个操作系统版本还是类似于SP1补丁一样!下载安装?能否详细介绍下呢?看过相关的文章server core功能很强大!想学习下!还有,server core中是否结合了powershell 如果想详细的学习这些命令,从哪下手呢?我只在大学里学过一点点的编程!全部忘光了!!!谢谢老师的指点!

A:server core仅仅是咱们在安装2008时可选的一种安装模式,所以没有版本限制,选择服务器核心(core)模式安装就可以了。2008的标准版、企业版、 web版、数据中心版各个版本都支持core模式的安装。如果您安装的是core模式,那么就意味着装完之后只有核心组件而没有图形界面,所以系统性能的增强是以牺牲可操作性为代价的。简单的说:你就只能使用命令模式或者core的远程管理工具来实现远程管理了。

Q:我用vhd镜像装的sever 2008 R2 想做WDS实验,Ad及DHCP都已经装好了,另一个笔记本网络激动能连接上我的,刚开始load file的速度也挺快的,但是到了后来下载boot.wim文件时速度却很慢很慢,以前也做过一个,但是也是一样的慢。实在是想不明白为什么这样,在 virtual pc里做实验速度但是蛮快的,但是在实体机里却很慢,请问这是为什么呢。

我的笔记本 hp6930p 2G内存 T9400cpu 2.53Ghz 我觉得配置够用了,为什么连接是却很慢呢?请求各位帮忙看下,哪出问题了?待安装的笔记本和我同一型号配置一样。

A:虚拟机理的是标准的网络环境,肯定会比实际网络环境要稳定和快速一些。

Q:宋老师您好:我家用的是宽带路由器,我有两台电脑,一台装win2003, 一台装xp。我在win2003装了VPN,用xp去访问有时能拔上号有时不能,如果拔上号xp就会连不上网!还有,接不上时有时出现633错误,800 错误。这是为什么,用外网的机器连出现733错误。

A:VPN服务器733错误解决方法

取消DHCP自动分配,在"路由和远程访问"中的本地服务器上单击右键,"属性""IP"在IP地址指派处选择"静态地址池"。自行输入地址即可。地址因没有被占用。在CMD中ping同C段IP无法ping通的基本可用。

* 733问题 路由及远程访问设置 具体方法

1. 开始 , 指向 管理工具 , 依次 路由和远程访问 。

2. 单击服务器的控制台左窗格中本地服务器名称相匹配。

路由和远程访问服务如果图标有在左下角角, 红色圆圈是不启用。 转到步骤 3。

如果有在左下角角, 向上绿色箭头图标是启用服务。 若是, 可能要重新配置服务器。 要重新配置服务器, 您必须首先禁用路由和远程访问。 要这样做, 右键单击服务器, 然后单击 禁用路由和远程访问 。 在您使用信息性邮件提示时单击 是 。

3. 右键单击服务器, 然后单击以启动路由和远程访问服务器安装向导 配置并启用路由和远程访问 。 请单击 下一步 。

4. 单击要启用远程计算机来拨入或连接到此网络通过 Internet 远程访问 (拨号或 VPN) 。 请单击 下一步 。

5. 用于拨号访问, 根据要分配到此服务器角色进行虚拟专用访问, 单击 VPN 或 拨号 。

6. VPN 连接 上, 单击网络接口连接到 Internet, 依次 下一步 。

7. 在 IP 地址分配 页上, 执行下列之一: 如果 DHCP 服务器将用于将地址分配给远程客户, 自动 , 依次 下一步 。 请转到步骤 8。

单击 来自指定的地址范围 仅从预定义池给, 可远程客户地址。

在大多数情况下, DHCP 选项是容易管理。 如果没有 DHCP, 但是, 必须指定的静态地址范围。 请单击 下一步 。

向导打开 地址范围分配 页。 a. 单击 新建 。

b. 在 起始 IP 地址 框中, 键入地址对要使用的范围中第一个 IP 地址。

c. 在 结束 IP 地址 框中, 键入最后一个 IP 地址范围中。

Windows 将自动计算的地址数。

d. 单击 确定 以返回到 地址范围分配 页。

e. 请单击 下一步 。

8. 接受默认设置, No, 使用路由和远程访问来验证连接请求 , 然后单击 下一步 。

9. 单击 完成 以启用路由和远程访问服务并将配置运行路由和远程访问服务器。

服务器可现在配置为 VPN 服务器。

Q:还有个问题,服务器上如何重设域账户的密码,域管理员的密码?谢谢!

A:打开"Active Dircetory 用户和计算机"选择要重设密码的用户,右击 选择"重设密码"

Q:老师你好,我是在校生,如果现在要学win 2008的话,有没有比较好的教程可以推荐呢?谢谢!

A:有一本书可以推荐《Microsoft Active Directory Administrator's Pocket Consultant》 不过中文版的没出,另外建议你去我的blog:http://songyang.me 有全套08的学习文章哈。

Q:请问专家,08的活动目录和2003的活动目录相比,多了一些什么功能,在应用过程中有什么作用?

A:从AD的功能上来说确实多了很多振奋人心的功能,这个我例举几个:

1 只读DC (加强远程分支机构的强化管理)

2 组策略的加强:多元密码策略 (制定多元的密码策略应对不同的被管人群)

3 独立于系统内核之上的AD服务(独立于系统的ADDS和ADLDS更有利于服务的管理和数据库的维护)

4 AD快照功能(便于AD数据库的日常管理维护,可以方便快速的找到用户以前的设置)

还有很多就不一一例举了,这位朋友有兴趣可以在我的Blog的2008专栏里找到更多答案

Q:请问下  如果我想在虚拟机里面装Win 2008 然后在里面安装SQL数据库  应该分配多大的空间合适呢?

A:2008完成安装的话建议40G的系统空间,SQL如果是2005 版本 做实验的话就不用再分了。生产环境根据需求来划分。

Q:你好,宋老师,我想问一下,,2008的powershell同我们现在常用的cmd相比, 都有哪些强大的功能呢?

A:powershell 是windows平台中推出的革命性脚本编辑工具,强大的脚本编辑功能和linux下的bash都不相上下(个人感觉哈).

主要是给喜欢写脚本程序的用户使用的。比如一些脚本开发人员,或者IT管理人员。

你可以用powershell编写和执行任何图形界面能做的事情,并设置自动化的管理任务。

甚至一些图形界面办不到的自定义高级功能都可以在powershell中做到。

Q:自第3楼您回复说 "4、2008中是用GPMC做组策略管理的,可以使用GPMC备份进行软件分发的GPO,以备日后删除或者升级软件使用。"

请问GPMC是否是gpmc.msc,记得2003中也有个GPMC管理程序,它们有何区别,是否都能从微软官网上下载,谢谢。

A:首先2008是默认集成GPMC的,不用自己再去安装了。而2003中的GPMC是需要安装的。当然GPMC管理组件是可以从官方下载的。当然这仅仅停留于 2003的时代。而2008已经将所有的组件都内置在系统中了,不需要再放光盘更不需要从网站下载,只需要从服务器管理器中选择相应的功能就ok了。

Q:宋老师:你好!请问如何提取出或备份系统的语言包?

A:可以从微软下载中心去下载多国语言包。

URL:http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=Multi-Language%20Pack&DisplayLang=zh-cn

Q:netdiag出现的信息每一行都是什么意思?一点都看不懂。

A:我们经常会使用Windows 网络连接的修复功能修复网络连接。这种修复功能发挥作用的途径是通过实施一系列的测试努力恢复由于客户端或者服务器的网络设置错误引起的网络连接问题。客户端的问题包括DHCP设置或者解析器缓存的问题。服务器的问题包括WINS或者DNS名称注册。然而,这种修复功能有一些局限性,也就是:

维修过程的结果不能存储下来以便以后进行评估或者做报告。

在多宿主机上,维修过程必须要在每个网络连接上分开实施。

维修过程实施的测试数量是有限的。

使用Netdiag.exe能够克服这些局限性。Netdiag.exe是一种网络连接故障诊断工具,是Windows技术支持工具的一部分。 Netdiag能够比维修过程做更广泛的和数量更多的测试。你还可以让Netdiag.exe输出一个文本文件,这样,你就能获得一个实施的测试和结果的记录。

安装Netdiag

你可以通过安装Windows技术支持工具来安装Netdiag。用鼠标双击SupportToolsSUPTOOLS.MSI就可以安装。在默认状态下,技术支持工具安装到%SystermDrive%Program FilesSupport Tools目录。但是,我发现把这些工具安装到%SystemDrive%Tools目录更方便,因为这些工具需要在命令行下运行。这样将使为了运行这些工具而输入这些工具的路径更简单。替代的方法是,如果你只要安装Netdiag,而不安装其它技术支持工具,你可以用鼠标双击 SupportToolsSupport.cab文件,然后用鼠标双击Netdiag.exe以便仅安装这个工具。

理解Netdiag

Netdiag对本地系统的每一个网络适配器进行一系列的测试。一旦进行这些测试,Netdiag要进行一系列全球连接测试以便找到和解决连接问题。这些问题也许是本地系统以外的问题引起的。

Netdiag对本地系统的网络适配器进行如下测试:

Ndis

Ipconfig

Autonet

DefGw

NbtNm

WINS

一旦这些测试完成,Netdiag接下来将进行下面的一系列全球连接测试:

Member

NetBTTransports

Autonet

IpLoopBk

DefGw

NbtNm

Winsock

DNS

Browser

DsGetDc

DcKust

Trust

Kerberos

Ldap

Bindings

WAN

Modem

IPSec

每一项测试的细节将采用下面的表格提供:

测试名称

说明 Autonet 检查网络适配器是否在使用APIPA(自动专用IP地址)。绑定列出网络绑定,包括接口名称、下面和上面模块名称,指出这个绑定目前是否启用并且报告这个绑定的拥有者。浏览器列出浏览器服务和重新定向器的全部网络协议。 DcList 获得一个这个域名的域名控制器列表。 DefGw 用每一个配置的默认网关验证连接。 DNS 验证配置的DNS服务器的可用性并且验证客户端的DND注册。 DsGetDc 从目录服务中获得任何域名控制器的名称,然后获得PDC仿真器的名称。验证存储在本地安全认证中的域名GUID与存储在DC中的域名GUID是否一致。 IpConfig 逐个列出每一个网络适配器的TCP/IP设置。 IpLoopBk 查验每一个适配器的回送地址127.0.0.1 。 IPSec 检查Ipsec是否启用。如果启用,列出这台计算机的所有现用的IPsec 政策。 IPX 列出IPX统计(如果安装的话) Kerberos 验证Kerberos身份识别软件包是否是最新的。 Ldap 联系所有可用的域名控制器并且确定哪一个LDAP身份识别协议正在使用。成员检查证实主要域名的细节,包括计算机的任务、域名和域名GUID。查看NetLogon 服务是否开始,向域名列表增加主要域名并且查询主要域名安全标识符。 调制解调器为这个系统上的每一台调制解调器提供配置信息。 NbtNm 执行与nbtstat -n 指令类似的行动。也就是验证工作站服务名称00与计算机名称一致,并且验证Messenger =服务名称 03 ,服务器服务名称20出现在所有的接口,并且所有这些名称都没有冲突。 Ndis 列出每一个网络适配器配置的细节,包括适配器名称、设置、媒体、GUID和统计。 NetBTTransports 列出NetBIOS over TCP/IP (NetBT)上的全部传输协议。 Netstat 列出当前TCP/IP连接和协议统计。 Netware 询问最近的Netware服务器(如果使用的话),了解当前的登录信息。 路由列出在路由表中的全部静态路由,并且指出它们是否不变。信赖测试域名信赖关系,验证主要域名安全标识符是正确的。 WAN 总结当前正在使用的每一个COM端口的设置和状态。 WINS 验证配置的WINS服务器的可用性并且验证WINS客户端注册。 Winsock 显示WinSock服务可以使用的协议和端口。

除了进行这些测试之外,Netdiag.exe还报告有关这个系统的如下信息:

系统的NetBIOS名称

系统的DNS名称

系统总的信息

安装的热补丁

运行Netdiag

运行Netdiag最简单的方法是没有任何参数。这将测试系统的每一个本地网络适配器,然后进行一系列全球连接测试。在Windows Server 2003成员服务器上运行这个指令输出的样本数据如下(热补丁列表已删除):

以下是引用片段:

C:ools

etdiag

...................................

计算机名称:SRV

DNS主机名称:SRV.contoso.com

系统信息:MicrosoftWindowsServer2003R2(Build3790)

处理器:Processor:x86Family15Model4Stepping1,GenuineIntel

安装的热补丁列表:

KB890046

KB893756

KB896358

KB925486

Q147222

Netcardqueriestest.......:Passed每个接口结果:

以下是引用片段:

适配器:局域网连接器

Netcardqueriestest...:Passed

主机名称.........:SRV

IP地址........:172.16.11.31

子网掩码........:255.255.255.0

默认网关......:172.16.11.1

Dns服务器........:172.16.11.32

AutoConfigurationresults......:Passed

Defaultgatewaytest...:Passed

NetBTnametest......:Passed

[警告]:00工作站服务,03Messenger服务,20WINS名称至少有一个丢失了。

WINSservicetest.....:Skipped这个接口没有WINS服务器配置。

全球结果:

以下是引用片段:

Domainmembershiptest......:Passed

NetBTtransportstest.......:Passed

ListofNetBttransportscurrentlyconfigured:

NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}

1NetBttransportcurrentlyconfigured.

Autonetaddresstest.......:Passed

IPloopbackpingtest.......:Passed

Defaultgatewaytest.......:Passed

NetBTnametest..........:Passed

[警告]你没有一个单个的接口连接00工作站服务,03Messenger服务,20WINS名称定义。

Winsocktest...........:Passed

DNStest.............:Passed

RedirandBrowsertest......:Passed

ListofNetBttransportscurrentlyboundtotheRedir

NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}

Theredirisboundto1NetBttransport.

ListofNetBttransportscurrentlyboundtothebrowser

NetBT_Tcpip_{64B5D4FF-0014-4CC2-BB8D-9FB0C67CB75E}

Thebrowserisboundto1NetBttransport.

DCdiscoverytest.........:Passed

DClisttest...........:Passed

Trustrelationshiptest......:Passed

SecurechannelfordomainCONTOSOistoDC-1A.contoso.com.

Kerberostest...........:Passed

LDAPtest.............:Passed

Bindingstest...........:Passed

WANconfigurationtest......:Skipped

Noactiveremoteaccessconnections.

Modemdiagnosticstest......:Passed

IPSecuritytest.........:Skipped

备注:运行netshipsecdynamicshow/?可获得更详细的信息这个指令成功地完成了。

注意,运行NbtNm测试可产生下面的结果:

以下是引用片段:

NetBTnametest......:Passed

[WARNING]Atleastoneofthe00WorkStationService,03MessengerService,20WINSnamesismissing.这个警告确实是一个问题,因为在默认状态下,Messenger服务不在Windows Server 2003平台上运行,因此,没有为它注册的名称。

你还可以使用其它方法运行Netdiag,特别是:

Netdiag /q以安静的模式进行测试并且仅报告错误。

Netdiag /v以冗长的模式进行测试并且提供额外的细节。

Netdiag /test:test_name(s)运行标准测试,然后仅进行具体的测试。

Netdiag /skip:test_name(s)除了具体指定的之外,在全球测试之后运行标准测试。(然而,某些测试不能跳过,包括Member, Ndis和NetBTTransports)

Netdiag /fix实施全部标准的和全球测试,并且试图修复它发现的任何问题。

例如,在上述系统产品上运行Netdiag /q测试可以得出如下结果:

以下是引用片段:

C:ools

etdiag/q

...................................

ComputerName:SRV

DNSHostName:SRV.contoso.com

Systeminfo:MicrosoftWindowsServer2003R2(Build3790)

Processor:x86Family15Model4Stepping1,GenuineIntel

Listofinstalledhotfixes:

KB890046

KB893756

KB896358

KB925486

Q147222每个接口的结果:

以下是引用片段:

适配器:局域网连接器

主机名称.........:SRV

IP地址........:172.16.11.31

子网掩码........:255.255.255.0

默认网关......:172.16.11.1

Dns服务器........:172.16.11.32

WINSservicetest.....:Skipped

全球结果:

以下是引用片段:

[警告]你没有一个单个的接口连接00工作站服务,03Messenger服务,20WINS名称定义。

IPSecuritytest.........:Skipped 

Thecommandcompletedsuccessfully更多的Netdiag例子:

学习如何解释Netdiag输出的最佳方法是设法在各种测试环境下运行它。下面是不同环境下的几个例子和你能够从这个工具中得到的输出数据。这些情况是在一个Windows Server 2003域中的一台成员服务器上运行Netdiag得到的结果。为了仅强调这个工具报告的错误信息,这个输出数据进行了删节。

1. 在域控制器离线时运行netdiag /q得到的输出结果:

全球结果:

以下是引用片段:

[警告]你没有一个单个的接口连接00工作站服务,03Messenger服务,20WINS名称定义。

RedirandBrowsertest......:Failed

[FATAL]CannotsendmailslotmessagetoCONTOSO*MAILSLOTNETNETLOGONviaredir.[ERROR_BAD_NETPATH]

DCdiscoverytest.........:Failed

[FATAL]CannotfindDCindomainCONTOSO.[ERROR_NO_SUCH_DOMAIN]

DClisttest...........:Failed

CONTOSO:CannotfindDCtogetDClistfrom[testskipped].

Trustrelationshiptest......:Failed

[FATAL]SecurechanneltodomainCONTOSOisbroken.

[RPC_S_SERVER_UNAVAILABLE]

Kerberostest...........:Skipped

CONTOSO:CannotfindDCtogetDClistfrom[testskipped].

LDAPtest.............:Failed

CannotfindDCtorunLDAPtestson.Theerroroccurredwas:The

specifieddomaineitherdoesnotexistorcouldnotbecontacted.

[WARNING]CannotfindDCindomainCONTOSO.

[ERROR_NO_SUCH_DOMAIN]2.在这个系统设置错误的默认网关时运行netdiag /q得到的输出结果:

以下是引用片段:

Defaultgatewaytest.......:Failed重要:连接不到任何网关,你没有通向任何其它网段的连接。如果你手工配置IP协议,那么你需要至少增加一个合法的网关。

以下是引用片段:

[警告]你没有一个单个的接口连接00工作站服务,03Messenger服务,20WINS名称定义。

DClisttest...........:Failed

 FailedtoenumerateDCsbyusingthebrowser.[ERROR_REQ_NOT_ACCEP]3.当计算机浏览器服务没有在这个系统上运行的时候运行netdiag /q得到的输出结果:

全球结果:

以下是引用片段:

[警告]你没有一个单个的接口连接00工作站服务,03Messenger服务,20WINS名称定义。

DClisttest...........:Failed

FailedtoenumerateDCsbyusingthebrowser.[NERR_ServiceNotInstalled]4.当系统启动时活动目录中的这个系统的计算机账户关闭的时候运行netdiag /q得到的输出结果:

以下是引用片段:

[警告]你没有一个单个的接口连接00工作站服务,03Messenger服务,20WINS名称定义。

Trustrelationshiptest......:Failed

CannottestsecurechannelfordomainCONTOSOtoDCDC-1A.[ERROR_NO_LOGON_SERVERS]

Kerberostest...........:Failed[FATAL]CannotgetticketcachefromKerberos.

Theerroroccurredwas:(null)结论:

Netdiag.exe是诊断Windows网络上网络连接问题的一个强大工具。

#p#

Q:您好!我想问一下2008R2的域功能级别的话,那么客户端使用XP的话会不会有负面的影响?因为我觉得某些策略在XP的客户端上应用的并不好。谢谢!

A:windows server 2003 VS windows XP with sp2

windows server 2008 VS windows vista

windows server 2008 R2 VS windows 7

这个是推荐的可以完全相互支持功能的IT架构的 选择方案

Q:08的AD和03出入很大,不过听说它比03的效率高很多,为啥呢。性能强在哪呢。老师?我怎么感觉08装服务的时候很慢

A:08的目录服务是独立的,而03种的目录服务是和系统内核绑定的。所有就这一点08的服务运行效率也要比03的高效,尤其对于AD的支持更加灵活。

Q:华为防火墙设置接口大小,现在有台华为Secoway USG2100防火墙,20兆光纤。公司想实现1接口18m 2接口500K 3接口1.5M。请问具体应该怎么操作?配置命令是什么?

A:对端口E0/1的出方向报文进行流量限速,限制到3Mbps

[SwitchA- Ethernet0/1]line-rate outbound 30

对端口E0/1的入方向报文进行流量限速,限制到1Mbps

[SwitchA- Ethernet0/1]line-rate inbound 16

报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps

如果不支持,查找你那个型号的防火墙的配置手册。

Q:宋老师您好, 还是上次exchange server 2003日历的共享问题:比如一个大公司在上海  北京 重庆 等地方都有分公司, 然后每个分公司本地的outlook都要有自己组的日历, 在上海本地outlook上点击"打开共享的日历"时, 可以看到很多共享的日历,但是只有名为shanghai的日历组才有权限打开(其他地区也一样).....然后打开后就可以看到名为shanghai的日历里的备忘,会议啊什么的.... 这样的话请问是在exchange上设置还是怎么个弄法..  (我的mail server是exchange 2003的)...

A:在exchange系统管理器中打开上海的共享文件夹并在其访问控制列表中把你想要赋权访问的用户添加进去就 OK 了。

Q:宋老师您好:我现在是一名大二的学生,想往服务器那方面发展,现在正在看windows 2008的书籍和一本人民出版社的 Windows Server 2003活动目录实战指南 但是现在有些疑惑,大连这的这些公司,好像除了戴尔,其他的公司根本没有域,没有活动目录,我想请问一下,如果学AD和服务器方向或者微软方向的,以后好就业么,我听说linux做服务器的比windows 要多,现在兼学linux和windows您看怎么样呢?其他的地方的公司是否和大连一样呢? 麻烦您给指点一下,有些迷茫。

A:单从使用体验上讲:linux 高性能,windows全面对于做应用的人来说,你会选择哪一个阵营呢?

Q:2008的AD和 2003有什么区别? 如何备份2008的ad?

A:2008的AD和 2003有什么区别?

这个请参考6楼问题的回答

如何备份2008的ad?

windows server 2008 中不再提供ntbackup

而是使用windows server backup 功能来实现备份

具体安装在 服务器管理器 中的功能里找到后安装

具体备份请参考下面步骤(是我博客里的一篇文章我直接粘过来了):

前面在 AD数据库备份[为企业部署Windows Server 2008系列十五]  一文中,说明了AD的常规备份方式,其实我们也可以使用命令行的方式来备份系统状态,从而达到备份AD的目的。

这里解释下系统状态(systemstate)包含的文件内容:

在DC上:

1、注册表(Registry)

2、COM+类注册数据库(COM+ Class Registration Database)

3、启动文件(Boot Files)

4、活动目录(Active Directory)

5、系统卷(SYSVOL)

在非DC上:

1、注册表(Registry)

2、COM+类注册数据库(COM+ Class Registration Database)

3、启动文件(Boot Files)

那么我们就只需要在server 2008 的DC上安装好 windows server backup 命令行工具的前提下,敲如下命令即可:

wbadmin start systemstatebackup -backuptarget:e: (#注释:后面的e:代表您要备份的目标盘符)

如下图所示:

 server 2008做备份的时候必须指定目标卷,所以您的DC必须有一个卷(除系统卷外)用来做备份目标。

Q:我就是想知道一下,底下的客户机登陆域的时候,会提示:您所在的域的账号丢失,或密码不正确,但是在别的机器用这个账号登是能正常登陆上去的,而且如果出现这个问题,域管理员登陆一下,再登陆这个账号,就没问题了,完全能登陆上去了。

服务器的情况是用两个机器做的集群,然后主的集群配置了DNS,同时还有个辅域控服务器,没有DNS,据说是同步,但是我曾经试验了一下,在主域控创建了个账号,辅域控没马上更新出来,过后有没有同步过来就不太清楚了。

我说的出这个问题,是大概两三天能遇到一回,但是客户机有50多台,没人知道管理员账号密码,他们只能不断的重启,有的是重启一次就可以登录上去,有的是重启几十次才可以登录上去。服务器上的域账号应该有70个左右。客户机域服务器的通信肯定是无任何问题,客户机登录时候选择的域也绝对无问题。别人说的退出域重进一下,也试过了,还是同样的问题。

后来没办法了,就重新搬了台服务器,专门做域控,不再出现此现象。但是还是想弄清楚是怎么回事。请教您,谢谢、

A:有可能是你原来DC上的DNS或者是PDC仿真主机的故障引起的,DNS里的SRV记录帮助用户计算机找到目录服务,PDC仿真主机做登录时的验证以及对时的操作,所以这两个出了故障就会引起登陆域的故障。

Q:宋老师您好:刚好现在正在做一个项目,不过是windows 2003 server活动目录的,有些东西没有弄明白,所以向您请教了,麻烦您了。

我现在应用场景是在一用户的企业网络里,想通过防火墙对内外网进行划分,简单如下的拓扑:
 windows 2003 server(认证服务器)

   内网                        |                外网

client1:--->-               |

                  |    -----------------

client2:-------------->|     firewall        |------------->internet

                  |    -----------------

client3:---->-

当内网的client通过防火墙访问外网的时候,我们需要对其身份以及权限进行认证,这时候我的想法是利用2003 server中的AD对其进行认证,为了加强用户敏感信息的安全性,我在配置CISCO防火墙的时候用了SASL机制,分别用的是kerberos和 digest-md5。对于kerberos我不太清楚在2003上需要配置些什么,才能让AD支持,在目前的流程里,我用DN发送绑定请求后,AD回应的给我一个错误地返回码,pre-authenticated required.反复检查后,仍然有此问题,还想请教宋老师,2003 AD如何配置kerberos支持。

同时我又尝试了另外一种机制,即利用md5对敏感信息加密,在交互的流程里都是严格按照RFC2829的6.1所描述的步骤,但是,将dn发送到服务器作绑定请求时,服务器返回的错误吗是,无效的凭证(错误码14),但我检查了2003以及我配置的密码都是正确的,我没有检查出来原因,还想请教下宋老师。

罗索了半天,还麻烦宋老师多指点一下,多谢了。

A:大概看明白了你的问题,网络中的防火墙应该如何设置来让用户正常访问AD的所有资源,请参考下面的设置:

当我们为企业部署好基础架构服务后为了安全起见都会启动windows server 2008自带的windows 防火墙,并且很多企业还会单独部署一些安全解决产品(如ISA)。那么,要很好的完成这些产品的部署,我们就要了解活动目录的服务以及DC上的网络连接端口,以便大家在部署防火墙产品的时候开放必要的端口来让我们的企业合法用户及时连接服务。

DC的网络连接端口:在这里我解释为DC上为域用户和成员计算机提供的与域相关的应用服务所开放的端口号。

下面我们来具体看看会提供哪些服务并开放哪些端口:

首先,在DC上打开DNS服务管理工具,展开正向查找区域的域名wgs.com(这里以wgs.com域为例),里面有_tcp和_udp这两项SRV资源记录,而通过查看SRV资源记录就可以看到DC上提供活动目录相关服务所开放的连接端口:

a . 选择_tcp,查看DC上活动目录相关服务所开放的TCP端口

 b. 大家可以看到有_ldap(端口为tcp的389)、_kpasswd(端口为tcp的464) 、_kerberos(端口为tcp的88)、_gc(端口为tcp的3268)

 

c. 选择_tcp,查看DC上活动目录相关服务开放的UDP端口

 

d. 大家可以看到有_kerberos(端口为UDP的88) _kpasswd(端口为UDP的464)

 

小结:以上看到的端口都是需要开放的,各自有不同的作用,并相互配合完成域环境中的各种业务交付:

_ldap(TCP[389])是活动目录复制服务的端口:允许客户机在指定域中找到ldap服务器

_gc(TCP[3268])是全局编录查询的时候所要使用的服务端口:允许客户机找到使用活动目录根域的全局目录服务器

_kerberos(TCP[88])票据管理服务的端口:允许客户机找到对本域的kerberosKDC服务

_kpasswd(TCP[464])密码更改相关服务端口:允许客户机找到域中的kerberos改变密码服

----------------------------------------------------------------------------------------

_kerberos(UDP[88])票据管理服务的端口:允许客户机找到对本域的kerberosKDC服务

_kpasswd(UDP[464])密码更改相关服务端口:允许客户机找到域中的kerberos改变密码服务

接下来,我们来用一台加入域的成员计算机使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务,并且观察一下连接端口:

通过上面两副截图大家可以看到当192.168.99.11(成员计算机)使用 'Active Directory 用户和计算机'工具连接DC上的活动目录服务时,在192.168.99.2(DC)上运行netstat 命令查看到DC的389端口被成员计算机连接使用。

ok,结合上面大家了解到的端口,现在我们就可以在跨地域的网络中通过发布活动目录相关服务端口的方式让互联网中的用户来连接到DC了(加入域/登录域,并享受域环境中的资源)。

下面,我们看看如何设置windows 防火墙来满足上面的企业应用需求(让互联网中的用户来连接到DC)。

 如上面两副图片所示,您的防火墙必须例外设置 Active Directory 域服务[389][3268] Kerberos密钥分发中心[88][464] 文件复制[389] 文件和打印机共享[445][139]

在了解到上面的这些必须添加到例外的服务之后,我们再遇到活动目录服务不可用的提示时就可以根据这些服务的默认端口来判断问题所在,并采取相应措施了。

PS:如果您的服务器放至在内网,您要通过端口映射来实现外网用户对此服务器的访问,现在您也可以更具本文中谈及的端口来做映射了。

Q:Windows 2008 Server SP1活动目录+Exchange 2007的组合。请问怎样像windows 2003那样用NTbackup 来备份Exchange?

A:备份工具变了,现在2008中使用的是windows server backup工具来实现备份的。具体方法请参考25楼的回答

Q:你好,请问在exchange 2003里怎么设置日历共享?并且有相应权限才可以在outlook客户端上查看?

A:给用户在相应的功用文件夹中设置创建文件夹的权限即可,此时用户就可以在outlook中创建并设置日历共享了。

【编辑推荐】

  1. [136期]阅卷组长解析:软考网络系列重难点与论文写作
  2. [135期]金牌网管实战篇:Cisco/H3C交换机配置与管理
  3. [134期]VSFTP服务的日常应用及疑难问题解析
责任编辑:张攀 来源: 51cto
相关推荐

2013-12-02 16:17:52

Windows桌面管理工具

2012-03-06 15:16:22

ibmdw云计算

2013-05-14 09:44:34

大数据时代企业管理

2012-03-27 11:01:55

天玑科技企业管理IT服务

2010-08-30 15:57:25

2011-06-16 11:21:29

百卓上网行为管理

2011-01-05 10:30:42

活动目录Powershell

2013-12-25 10:18:42

网络·安全技术周刊

2011-07-12 16:22:31

活动目录

2011-09-16 15:04:37

2016-10-27 14:41:45

SaaS企业SaaS

2010-04-02 17:25:00

Oracle企业管理器

2021-06-29 09:50:35

大数据大数据技术

2010-10-20 16:12:40

SQL Server角

2017-11-09 17:00:55

技术企业管理

2015-06-25 12:37:27

XToolsCRM

2012-03-20 14:17:33

活动目录

2012-08-30 09:47:16

企业社交

2010-04-13 09:06:26

Oracle企业管理器

2016-05-31 14:28:21

云计算混合云
点赞
收藏

51CTO技术栈公众号