2005年10月30日
原创:Windows Server 2003的信任关系
大庆油田高级人才培训中心 张东辉



  企业由于公司兼并,或与业务伙伴的合作,在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问,而不必去记那么多的用户名和密码了。
  03的信任关系与2000相比,操作界面上有了较大的变化,并增加了林信任关系、选择性身份验证、名称后缀路由等新功能。这些变化再加上林、域功能级别的增强,使得一般的小型网络的网管员(平时极少用到信任关系)更加摸不着头脑。本文将从信任关系的基础知识、2000的信任关系开始介绍,由浅入深,重点讨论新增的林信任关系选择性身份验证
  本文包括很多操作、排错细节,建议收藏此文,需要时查询。

一、信任关系基础知识

1、信任关系有什么用?
  域是安全边界,若无信任关系,域用户帐户只能在本域内使用。信任关系在两个域之间架起了一座桥梁,使得域用户帐号可以跨域使用。确切地说就是:信任关系使一个域的DC可以验证其它域的用户,这种身份验证需要信任路径。

2、A域与B域没有信任关系,A域的用户将不能访问B域上的资源
  常见的错误理解:A域与B域没有信任关系,A域上的员工(注意:我没有使用“用户”这个词)将不能访问B域上资源。
  实际上当然是可以访问的,但你必须在随蟮龅验证界面,提供B域上的用户帐号、口令才行(类似于我们访问工作组上的资源,必须提供目标计算机上的用户帐号、口令才行),提供本域的任何帐号都不好使。
  所以这句常见于各种教材的话,应该这样理解:“A域与B域没有信任关系,A域上的员工使用自己在A域的用户帐号,将不能访问B域上的资源”。

3、A域信任B域,信任关系方向表示为:A—>B。这使得B域的员工使用自己在B域的用户帐号(后面为了描述上的方便,还是采用惯例,表示为:B域用户)可以直接访问A域上的资源(当然,用户得具有访问所需的权限才行),而不会弹出身份验证对话框。访问方向表示为:A<—B,我们需要记住的要点:访问方向与信任方向相反

4、要想实现上述信任关系,使B能访问A。应首先在B提出申请,然后在A上批准。与我们的社会生活相类比(下级提出申请,上级领导批准)记住操作要点:在信任关系对话框中(如下图:2000的信任关系对话框)在界面的下框提出申请(在B上操作),在界面的上框进行批准(在A上操作)。(这样不用去记或理解那些绕道人的话了)

 

二、2000中的信任关系

1、父域-子域间的、树根域间的默认、双向、可传递的信任关系,在添加域到林时自动创建信任路径。

2、林内域间的快捷信任关系:手动、单向、可传递,可用建两个单向来实现双向。


 
  如上图,默认:在林内B域的用户可以访问域C、域2上的资源。但为了提高验证、访问的速度,可以手动创建域间的直接连接的快捷信任关系,从而缩短信任路径。

3、与NT4域、其它林的域、Kerberos V5领域间的不可传递的信任关系。需要手动创建,可用建两个单向来实现双向。
【说明】
(1)NT4域上的信任关系都是不可传递的
(2)Kerberos V5领域是指一种与2000/03域相类似的非Windows(如:UNIX)的、使用Kerberos V5协议的安全区。

三、03中的信任关系
 
1、预备知识:域功能级别、林功能级别



  与2000相同之处,下面将不再赘述。我们看一下03新特色:
2、可传递的林信任关系(又名:联合森林)
  (1) 两个林必须都是03林功能级别
  (2) 只能在两个林的林根域之间建立,可单向也可双向。
  (3) 操作权限要求:林管理员,即企业管理员。默认林根域的域管理员即是林管理员。
  (4)传递性是指由林根域向其下的林内各域进行传递,从而使两个林中的所有域之间存在可传递的信任关系。需要注意的是:此信任关系并不会在林之间传递,比如:A林信任B林,B林信任C林,并不能推出:A林信任C林。

3、实施前的DNS准备:以保证两个林能互相找到。
  在两个林的林根域所用的DNS服务器上,互建存根区域是最好的办法。
【说明】即使目标林有多个树、多个域,有多台DNS,只要目标林原来DNS结构是正确完善的,那么就只在林根域上互建存根区域即可。
  常见错误:“不是由DNS服务器加载的区域,尝试加载区域时DNS服务遇到一个问题。来自主服务器的区域数据复制失败……” 
  解决:在相应的源区域上/右键/属性/“区域复制”标签下,设置允许区域复制即可。

4、创建林信任关系(全林身份验证)
  以A林(林根域为a.com)信任B林(林根域为b.com),即信任关系方向为:A—>B为例:
  (0) 在b.com上(实际上对于03,在哪个林上操作都可以,这里只是为了条理清晰)
  (1) 开始/程序/管理工具/AD域和信任关系
  (2) 在林根域:b.com上/右键/属性/“信任”标签下,单击“新建信任”,弹出向导
  (3) 信任名称,输入:a.com
  (4) 信任类型,选择“林信任”(说明:林信任外部信任的不同之处就在于具有可传递性,使得林内的用户可以在另一林中的任何域中得到身份验证)
  (5) 信任方向,按照我们前面假设的场景,应选择:“单向:内传”
  (6) 信任方,这里提供两个选项“只是这个域”、“这个域和指定的域”。选择前者,回头需要在A上再做一遍“批准”操作;若选择后者,接下来输入A林中林管理员的身份,可以一次就完成了。在这我们选择后者“这个域和指定的域”。
  (7) 用户名和密码,输入A林的林管理员用户名和密码
  (8) 传出信任身份验证级别——指定林,这里我们选择“全林身份验证”,关于“选择性身份验证”等一下将专门讨论。
  (9) 选择信任完毕,下一步
  (10) 信任创建完毕,下一步
  (11) 确认传入信任,选择“是,确认传入信任”来验证一下唇ǖ男湃喂叵礬n  (12) 路由名称后缀——本地林,默认选中B林中所有的名称后缀(林根的、另一树的),下一步
  (13) 完成。
  至此林信任关系创建完成,B林中的员工使用自己在B林中的用户帐户就可以直接访问A林中的资源,而不会弹出验证对话框。
  但要注意的是:要想真能访问,还需要在A林的具体资源上设置B林用户/组的权限才行。具体:在A林的具体资源/右键/属性/安全/添加/位置,选择B林(由于此时已经完成了林信任关系的创建,所以此时可以看到B林了),输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对B林AD有读权的一个普通帐号即可,不必非得B的林管理员。
  另外,明白了单向的信任关系的创建,双向的就更简单了不再赘述。

四.创建林信任关系(选择性身份验证)

  我先来看一个微软的案例:企业B收购兼并了企业A,这样新企业中就有了两个林:a.com和b.com,要求利用信任关系实现:
  (1)b.com林的用户可访问a.com林上的所有资源,
  (2)而a.com林的用户只可访问b.com林上的部分(某台服务器或某个域)资源。

  实现要求(1),利用我们前面的步骤4:创建林信任关系(全林身份验证)即可;要想实现要求2,就得用到林信任关系的选择性身份验证了。具体如下:
1、参照前面的步骤4,在a.com上创建信任,过程中选择“选择性身份验证”即可。
  【说明】在信任关系/属性/“身份验证”标签下的身份验证级别是可修改的。利用这一点,我们可简化此案例的解决步骤:先创建双向、全林身份验证的林信任关系,再在b.com上(上框、下框操作均可以,实际是同一内容),将对A的信任关系上由“全林身份验证”改为“选择性身份验证”。以上步骤甚至可以在向导中一次全部完成,但建议初学者最好按步骤分解执行,以利于对知识点的理解。

2、在B林的具体资源(想允许A林用户访问的部分资源)上,设置相应的访问权限。

  至此A林用户仍不能访问B林上的允许其访问的那部分资源(虽然已设置了相应权限),否则“选择性身份验证”与“全林身份验证”就没有什么不同了。此时访问的出错提示为: 



  接下来的内容,是我们讨论的重点,这部分内容无论是联机帮助,还是微软的技术文档都未做详细介绍。

3、基于计算机帐号设置“允许身份验证”权利。
(1)在B林上,开始/程序/管理工具/AD用户和计算机
(2)选中“查看”标签下的“高级功能”
(3)在Computers容器或具体OU下,找到要允许A林用户访问的那台计算机帐号
(4)右键/属性,在“安全”标签下,添加/位置,选择A林(由于此时已经完成了林信任关系的创建,所以可以看到A林)
(5)输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对A林AD有读权的一个普通帐号即可,不必非得A的林管理员。
  【说明】
  I、可根据需要,选择A林中各域的用户或组,某一域的所有用户可利用Domain Users组。
  II、Win03系统在此处的BUG问题
  假设A林情况如下:林根域a.com,子域sub.a.com、sub2.a.com,另一树根域tree.com。比如同时添加此四个域的Domain Users(或其它用户/组),则会在“安全”标签的“组和用户名称”框中标识不清,显示为:
Domain Users (A\Domain Users),大写A表示林根域,很稳定。
Domain Users (a\Domain Users)
Domain Users (a\Domain Users)
Domain Users (a\Domain Users),这项有时能标识清楚,为:Domain Users (TREE\Domain Users)。但嗍焙蚝颓傲较钜谎谷朔植磺逵没?组是哪个域的,只能去试。这时如果还有其它故障,那对管理员排错来讲,就会非常麻烦。
但大家也不必过于担心,只要你设对了,系统本身能将其识别清楚的。
  III、常见问题:当添加A林中另一树(如tree.com)下的域用户/组时,提示:tree.com的域控制器不可用(如下图)。

 

  产生原因:在创建信任完成时,若选择“否,不确认传出(或传入)信任”,则在名称后缀路由中仅启用林根域*.a.com的路由,树根域*.tree.com的路由默认禁用。
解决:在信任关系/属性/“名称后缀路由”标签下,启用*.tree.com的路由即可。

 (6)添加的A林用户或组将出现在列表中,设置其“允许身份验证”权利,确定。

  那么到这里,A林中的用户就可以访问B林上的允许其访问的某台服务器上的资源了。
  但假如A林用户需要访问B林中的多台服务器,甚至B林中某一域的所有计算机上的资源,那么该怎么办呢?微软不会让我们逐台去设吧!经过研究发现,我们其实可以基于OU或域来设置“允许身份验证”这项权利。

5、基于OU或域设置“允许身份验证”权利。
(1)开始/程序/管理工具/AD用户和计算机
(2)选中“查看”标签下的“高级功能”
(3)在相应的OU或域上右键/属性,在“安全”标签下,添加/位置,选择A林
(4)输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对A林AD有读权的一个普通帐号即可,不必非得A的林管理员。
(5)添加的A林用户或组将出现在列表中(注意:此时直接设置“允许身份验证”权利,你是找不到这项权限的,接下来的操作步骤是关键)
(6)点“安全”标签上的“高级”
(7)“权限”标签上,保证光标在A的林用户或组上,点“编辑”
(8)对“对象”标签,“应用到”下拉框中选择“计算机对象”(9)选中“允许身份验证”权利即可,确定。

【最后的说明】实验中发现,建立林信任关系后,再在林中添加域。要想使新的域也获得传递的林信任关系,需要重新建立林信任关系。

Automated Deployment Services (ADS)系列学习
—— 部署 Windows Server 2003 实录
•实录背景
•ADS 简要概述
•ADS 产品特性
•实验环境介绍
•部署 ADS 服务器
•准备原型机
•创建原型机系统映像
•为客户端部署映像
•实录感想
•相关链接

实录背景
ADS发布已经有一段时间,早先曾做过ADS1.0的实验,但因技术参考资料贫乏,而且了解的人不多无法共同学习讨论。那段时间几乎都在看技术资料,MVP文章,Webcast课程,反复实验但都总因为不知名的错误而停滞不前,最后几乎走火入魔(英文阅读能力差,机器配置低,反复实验经常要等待,而且要重复很多步骤),实在无法继续下去,决定暂停!待有更加全面的资料公布或新版本发布后再作实验。
1个多月过去了,偶然发现微软在其网站发布了ADS1.1,于是兴奋的下载下来准备再次准备实验。在经过前期准备后开始了此次利用 ADS来部署WinSrv2003的实验。中间也遇到了很多问题,反复查资料看KB最终换来了成功。而这篇文章实际意义主要是为了给自己的实验作备忘,汇总每个资料中的关键信息,并通过每个实验细节的介绍使那些希望学习ADS的朋友们不必再因为参考资料的某些问题而走弯路。
希望大家能从此篇文章中获得有价值的东西。因本人并不是微软的技术专家,所以篇中用词可能并不规范并且不免有遗漏或错误,还请大家谅解指正。

ADS 简要概述
Automated Deployment Services,自动化部署服务,简称ADS。
在Windows Server 2003中,Microsoft对平台进行了扩展,管理员可以通过它容易地构建和管理超大型的可伸缩Windows服务器部署。自动部署服务(Automated Deployment Services,ADS)包括一组Microsoft开发的新映像工具,以及一个可以用来在裸机服务器上快速部署Windows 2000 Server和Windows Server 2003的、更安全且具有远程操作能力的基础结构。此外,ADS提供了一个更加安全、可靠的脚本执行,允许管理员像管理一台服务器那样简单地在1000台服务器上执行基于脚本的管理工作。

ADS 产品特性
在ADS中,计算机被称之为设备(Device),所有被管理的设备都需要安装ADS中的Administration Agent(简称:代理程序)。ADS服务器需要由三部分组成,它们是:Controller Service(用来集中管理设备)、Network Boot Services(简称NBS,用来客户端的远程计算机启动)、Image Distribution Services(负责映像创建和部署)。这三个部分可以被分散在多台计算机,也可以集中安装在一台计算机。
ADS使用数据库来存储信息,在ADS安装源中包含有他的本地MSDE,或者使用一个本地或远程的SQL Server 2000服务器。
ADS需要一台DHCP服务器来为客户端作引导服务,同时ADS服务器本身也支持动态IP分配,因此ADS服务器静态IP配置不是必须的。另外建议不要在ADS服务器上部署DHCP服务。
ADS客户端需要支持PXE引导,或被利用RIS工具创建PXE引导盘,前提是你的网卡在RIS所支持的清单中。
ADS不依赖微软的活动目录,一个简单的LAN环境就可以实现ADS。它的任务脚本强大,可以实现对客户端更加细微的管理能力(如:为客户端分区)。
ADS的设计目标前面提过了,主要是用来大规模部署服务器。但是在微软讲师和MVP的技术资料中提及ADS同样可以用来部署Win2000Pro或XPPro,不过我想可能会有很多需要修改的地方,这也是我以后的实验目标。
以下是ADS的关键属性表,大家可以参考:
ADS关键属性表
典型场景 数据中心,计算机中心,大规模部署
部署的操作系统 Windows Server 2003:所有32位版本
Windows 2000:所有服务器版本(SP3以上)
可用性 可以运行在Windows Server 2003企业版和数据中心版
部署方式 基于映像
部署初始化 部署控制服务,推模式
支持多播部署 是
每服务器部署的并发数量 最大128(多播),部署速度不受服务器并发部署数量影响
每计算机多个卷的部署 是
部署映像文件格式 NTFS,FAT16,FAT32
映像编辑工具 是
根据硬件抽象层(HAL)自动映像过滤 否
DHCP服务器类型 任意
活动目录需求 否
配置信息存储源 Microsoft SQL Server
编程可扩展性 是
为了方便在有防火墙的环境下实验,以下列出ADS所涉及到的端口:
Communication ports used by ADS
Device to the DHCP server
Protocol Direction Port Notes
DHCP Device (PXE firmware) to DHCP service UDP 67 
DHCP DHCP service to Device UDP 68 
Device to Network Boot Services
Protocol Direction Port Notes
PXE Device (PXE firmware) to the ADS PXE service UDP 67 and/or UDP 4011 Required to support a device’s boot to the Deployment Agent (using PXE). You can configure the use of port 4011 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices\ADSPXE\Parameters\PxeUseDhcpPort registry entry.
PXE ADS PXE service to the device UDP 68 
TFTP Device (PXE firmware) to the TFTPD service UDP 69 Required to download Startnbs into RAM.
DHCP Device running Startnbs to the Deployment Agent Builder service UDP 4012 You can configure the use of port 4012 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetServices\ADSBUILDER\parameters\ServerPort registry entry.
DHCP Device (Ntldr) to the Deployment Agent Builder service UDP random port 
TFTP Device (Ntldr) to the TFTPD service UDP 69 Required to download the Deployment Agent image into RAM.
Device to the Image Distribution service
Protocol Direction Port Notes
Image download (multicast) Device to the Image Distribution service UDP 30877 or 30878 Required for image capture and deployment. Requires DHCP multicast address allocation. IP addresses are not the device’s, but allocated multicast address.
Image download (unicast) Device to the Image Distribution service TCP 30877 
Image transfer Image Distribution service to the device UDP 30877 through 31878 
Device to the Controller
Protocol Direction Port Notes
BMDP Device to the Controller UDP 8197 Required for remote execution of jobs on the device (both in Deployment Agent and in Administration Agent). You can configure the use of port 8197 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl\BMSS\BmdpIpPort registry entry.
BMDP Controller to the device TCP 8198 You can configure the use of port 8197 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl\BMSS\BmcpIpPort registry entry.
BmFileXfer file transfer Controller to the device TCP 19778 
Controller to Network Boot Services
Protocol Direction Port Notes
BMDP  UDP 8197 Required to support NBS. You can configure the use of port 8197 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl\BMSS\bmdpIpPort registry entry.
BMDP  TCP 8198 You can configure the use of port 8197 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl\BMSS\BmcpIpPort registry entry.
Controller to the Image Distribution service
Protocol Direction Port Notes
BMDP  UDP 8197 Required to support the Image Distribution service. You can configure the use of port 8197 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl\BMSS\bmdpIpPort registry entry.
BMDP  TCP 8198 You can configure the use of port 8197 using the \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControl\BMSS\BmcpIpPort registry entry.

实验环境介绍
因为我没有实际的测试环境所以需要依靠虚拟系统来搭建实验环境,为了提高虚拟机的运算性能,我在VMwareGSX下部署ADS服务器,在Virtual PC部署客户端。每台虚拟机都会分配128M内存,并为ADS服务器和原型机部署Windows Server 2003企业版。DHCP则使用实际环境下的服务器。因为服务器和客户端都使用动态IP分配,所以在这里就不再只能每台设备的IP地址。当然大家也可以根据自己的习惯选择虚拟机软件。
呵呵,忘记介绍我做实验用的宿主机配置。PIV2.4G/512M/80G,跑两个虚拟机是没有问题的,就这样的配置曾经还跑过三台虚拟机作群集实验,不过我想磁盘寿命估计已经大大减少。

部署 ADS 服务器
微软为我们提供了ADS的免费下载,你可以从本文相关链接中获取它的下载地址。下载得到的文件是一个自解压文件包,我将其解压缩在系统所在磁盘并将目录命名为ADS_Setup。当解压缩完毕后ADS的安装主界面会自动载入。

ADS的配置信息都保存在数据库中,为此要先安装MSDE。当然也可以安装SQL Server 2000,这个我们在之前已经提醒过。


    点击ADS主安装界面中的“Install Automated Deployment Services”开始安装。


在此次实验中,我将会把ADS的三个组件都安装在这台服务器上,为此在安装类型选择中选择“Full Inetallation”。这里要注意的是请使用默认的安装路径,否则在下来的部署中可能会遇到意外错误。(这是微软专家们提到的,我想还是照办为好!毕竟ADS才刚刚发布没多久,免不了有Bug。)


在点击下一步后会弹出一个警告,因为安装了NBS服务,它包含ADS PXE服务,所以要求在此网络环境中应该禁止存在RIS服务器。点击“OK”继续下一步。


选择数据库,如果没有使用SQL Server那么请保持默认选择。并选择创建一个新的ADS数据库。


    这里请在光盘驱动器中放入Windows Server 2003的安装光盘,ADS需要从中拷贝文件来创建客户端引导代理环境所需要的虚拟启动磁盘(RAM Disk),在磁盘上对应的目录是%Program Files%\Microsoft ADS\WindowsCD。


    这一步是创建WinPE预部署环境,我放入WinPE光盘发现并不能安装,可能是因为我的安装光盘不符合要求,或者有其他安装方法,这里我选择不创建WinPE。


    注意,请使用默认的安装路径,原因嘛我就不再重复,这个文件夹是用来保存捕获的映像文件的。


    在完成ADS的安装后,我们首先要作的是将ADS附带的任务执行脚本模板导入ADS管理器中。有了这些任务模板,我们的工作可是事半功倍,就不需要再去自己编写任务脚本了。为此,需要运行%Program Files%\Microsoft ADS\Samples\Sequence目录中的Create-template.bat文件。


文件执行完成后,在Windows程序项中找到Microsoft ADS菜单项,点击运行“ADS Management”,就打开了ADS的MMC管理界面。展开Job Templates查看是否显示出导入的模板。


    为了能够管理客户端执行部署任务,我们需要将计算机添加到ADS中,为此我们在Devices中添加一个设备。


    之前我已经创建了一台原型机,获取该原型机的名称及网卡MAC地址并填写在这里。


    至此客户端的添加就完成了,但是该客户端端还无法执行任务,为此需要右键单击并选择Take control。


    客户端设备默认通过PXE引导,为了能正确进入代理程序,我们需要修改该设备属性中General下的Default job Template选项为boot-to-da。

准备原型机
    上面我们已经安装好了ADS服务器,并将原型机添加至设备中。但是如果要成功捕获原型机的系统映像,则必须在原型机上安装ADS代理程序,之后还要再作其他设置。

    首先我们将ADS安装包下的ADSAgentSetup.msi拷贝到原型机上并运行它。


    ADS和设备之间的安全认证方式与RIS不同,RIS使用活动目录来做验证,而ADS并不需要活动目录环境,所以只能依靠证书来做认证。ADS安装后在其目录下有证书目录,里面有个名字为adsroot.cer的证书,我将其拷贝到我的原型机下,并在这里填写正确的路径。当然,除了使用ADS自带的证书外,也可以使用自己的企业CA。


    登录方式选择中,我指定使用系统权限来运行服务。


    还是那句话不要修改安装位置。

创建原型机系统映像
    在安装完代理程序后,可以回到ADS服务器上,这时你会发现设备中的计算机上的红叉消失了,如果还没有请刷新或者进入此设备属性中填写原型机的IP地址,确认后你的原型机GUID值和正确的计算机名称将被传递过来。在此实验中我是先添加的设备后安装的代理程序,你可以反向操作,这样可以直接成功,ADS也支持自动查找,只要安装有ADS代理程序都能被ADS服务器查找到。另外需要注明的是:如果你要为一台设备部署操作系统,那么只要添加设备时直接填写MAC和名称就可以。

要完成客户端的自动化部署,需要使用sysprep工具在原型机上重新生成唯一的SID,因为执行sysprep后系统会进入最小化安装状态,所以我们还要创建sysprep方式的应答文件。在以前的权威资料中指出的操作是将%Program Files%\Microsoft ADS\Samples\Sysprep下对应的应答文件拷贝到原型机的C:\sysprep\i386下并更名为sysprep.inf,其实我实际测试中此举并不能完成最小化的自动安装。也就是因为这个sysprep,让我反复复位系统了n次。想起来我都头大,郁闷!就这个问题难道资料中就不能指出来么?经过我的反复测试,最终是这样顺利完成实验的。
首先,在C盘下建立名为sysprep的目录,将系统安装盘下deploy.cab文件中的setupcl.exe、sysprep.exe、setupmgr.exe提取拷贝至C:\sysprep目录下。
然后,使用setupmgr.exe制作sysprep方式的全自动应答文件,保存在C:\sysprep目录下,并命名为sysprep.inf。对比ADS自带的应答文件你会发现有所不同,ADS自带的应答文件中没有包含OemSkipEula的值,这样将直接导致在客户端设备进入最小化安装后,会提示你确认协议。另外关键的地方在产品安装钥匙、计算机名、超级用户密码、工作组名这四处。(其中最关键的是前三项,不过我实验过程中发现如果在原型机上已经设置了超级用户的密码,那么你只需要关注前两项就可以了,因为就算你在应答文件中重新输入新的密码仍然不会更该之前的密码。)他们是类似^ADS_Computer_Name^这样的字符串,这就是ADS变量。而我做的自动应答文件是不会被ADS所识别的,必须修改其中关键的那四项字符串。为此请对照两个文件修改!
最后,一定要在C:\sysprep目录下建立一个名为i386的目录并在其下建立名为$oem$的子目录,否则你的自动应答文件写的再好,sysprep后进入最小化安装模式也不会被应用。就这个问题,我实在不知道该怎么泄愤了,也许官方的资料并没有错,而是我哪里疏忽了,但实际中却必须要这样做。具体可以参考我的一篇Blog:http://goxia.maytide.net/p/sysprep.php


    因为没有按照权威资料来做实验,所以我们需要修改任务模板,启动ADS程序组中的Sequence Editor,打开捕获映像的模板capture-image.xml,修改sysprep的路径为你原型机中sysprep的实际路径。


    我们要为捕获的映像包起一个便于记忆识别的名字,为此在Capture Image中填入自己需要的映像包名称,为了快速顺利的完成实验,我没有选择Compress这个选项来压缩我的映像包。


    要捕获原型机的系统镜像,需要为原型机指定任务。为此,在设备上右键选择Run Job…


    因为之前我已经导入任务模板,所以这里选择Use an existing job template


    在列表中选择我之前修改过的任务模板:capture-image


    此时原型机开始执行所分配的任务,在执行Sysprep后系统重新启动进入PXE引导。


    此时载入RAM Disk,为进入代理模式作准备。记得第一次实验ADS1.0时就在这里被卡了,反复测试都无法通过这里,也不知道因为什么,看capture-image中的命令没有什么不对,后来也就是因为这个问题才结束了实验。后来在ADS1.1的首次测试中,一次就过去了。估计不是因为我当时的实验环境不稳定就是因为ADS1.0有Bug。关于ADS1.1的首次测试记录可以访问我的blog:http://goxia.maytide.net/p/ads.php


    兴奋的时刻到来了,设备成功进入代理环境,并开始执行捕获系统镜像的任务。现在可以休息一下了!休息一下!秋天到了,天气比较干燥,我建议大家多吃些洋葱,喝些菊花茶。菊花茶,嘿嘿!我去接水喝,一会见!


系统映像捕获完毕后,就可以关闭这台原型机。这里不能提到ADS的一个功能,或者应该说是命令。ADS捕获的镜像被打成包保存在C:\Image下,此包的扩展名是.img,ADS中imgmount.exe命令可以将这个映像包映射为本地磁盘以便我们查看其中的内容甚至修改里面的内容。在命令行环境下键入imgmount /m /w filesname.img,其中/m参数就是加载映像也可以/mount。/w参数能够实现映像文件映射为本地磁盘后对其的写操作。
如果要卸载这个磁盘则运行:imgmount /u filesname.img,更多的命令可以使用/?来查看。

为客户端部署映像
完成了系统映像的捕获实验,大家是不是心里很开心。映像得到了,我们就该完成此次ADS实验的最后一个环节。这样心里才舒坦,您说是不!俏皮话就不多说了,我只是为了缓解一下我写此文时的疲劳感!
我用Virtual PC创建了一台虚拟机使用client命名计算机,分配了16G的硬盘空间,内存还是128M,首次开机引导之后将其关闭,然后打开.vmc文件,也就是虚拟机的配置文件。记录下MAC地址以备之用。(不这样做,你新创建好的虚拟机配置文件中是不会产生MAC地址的。)

    客户端的部署仍然需要在ADS将其添加到设备中。


    同样将其默认任务配置为boot-to-da,因为只有这样客户端在PXE引导后才能进入代理模式接受ADS服务器的管理。


    还记得前面提到的sysprep的应答文件么?因为在应答文件中使用了ADS的变量,所以我们要为这个设备指定对应的变量值,以便自动完成客户端系统的部署。为此,在User Variables下创建三个必要的值:“productkey、adminpassword、machinename”,同时我们也可以加密这些值使之无法被查看,为此请钩选“Encrypt value”,其中产品安装钥匙的格式应该为xxxxx-xxxxx-xxxxx-xxxxx-xxxxx,同时我们还可以创建更多的变量值来满足我们的部署需要。如指定客户端的IP、DNS等等。此外ADS在群集系统的部署中能够帮助我们减少很多宝贵时间。


    现在,我们需要使这个设备处于被管理状态,为此请执行Take control


    在ADS服务器端的准备已经完成,我们可以重新开启客户端计算机了。这时客户端通过PXE引导载入RAM Disk进入代理环境,等待服务器发布执行任务。


要执行部署,需要指定部署所需要的任务,所以使用模板编辑器打开da-deploy-image-wg.xml,这个文件是ADS自带的部署模板,如果没有它们可以想象我们要费多少精力。
自带的这个模板默认是5G的分区,如果你的原型机分区与之不符就会导致部署失败,所以在此修改容量值。


    之前捕获的映像名还记得么?所以我们需要在Download image中指定正确的映像名称。


    由于我更该了sysprep.exe的默认位置,所以需要在Set sysprep custom info in the sysprep.inf file中修改正确的路径。


    回忆一下是否正确的完成上述步骤,OK!检查完毕,让我们我们开始完成此次实验的最后一步,为客户端指派部署任务。注意:使用Virtual PC+PXE虚拟磁盘的朋友请将这个任务模板中最后两个boot-to-hd删除。否则你会失败!


    选择da-deploy-image-wg为部署任务。


    这时客户端开始执行部署任务,你会发现客户端此时已经开始获取映像。兴奋!!!吸根烟,闭目养神休息会,嘿嘿!别告诉你办公室不能抽烟,那叫惨!注意:使用Virtual PC创建客户端的朋友们注意,此时最好把你载入的虚拟PXE引导盘out出去,否则接下来的启动你会失败。


    忘记告诉大家,ADS还为我们提供了一个任务监视功能,请在ADS控制器中的Running Jobs下双击当前正在执行的任务,这时你就能够监视到每个任务的执行情况。


    在映像获取成功后,客户端重新启动计算机进入最小化安装,此过程将一路闪过,就因为我们使用了正确的应答文件及配置方式。


完成最小化安装后,系统再次重新启动。这时系统将完成最后的任务,将ADS设备属性中的默认任务改为boot-to-hd(从磁盘引导)。在实际环境中因为默认是网卡引导,所以可能会导致设备重新启动后进入PXE引导环境进入代理环境。看看人家微软在设计的时候考虑的多么周到啊!:-P
至此使用ADS部署WinSrv2003的实验就成功完成了。大家心里怎么想的?希望能来五月时节社区参与讨论,网址是:http://forum.maytide.net

实录感想
从第一次开始ADS实验到最终成功完成实验到完成这篇文章,历时近2个月,实际中试验用就去了了1个多星期的时间。其间真是波折起伏,总想放弃但又实在狠不下心,就这样跌跌撞撞中完成了实验。不过好赖总算给自己了一个完美的交代,心里也畅快了很多。
机器配置差,中文资料不丰富,英文资料读不全照实让我吃了一次亏。我想大部分的朋友也跟我差不多少。该反思一下了,反思之后发现做这行对我真没什么前途,具体的心思保密啦,个人隐私!
回到主题,让我们回忆一下之前的操作步骤,其实并不十分繁琐。相反利用微软的ADS完全可以实现我们的自动化部署任务。怪不得微软谈到利用ADS使管理员可以轻松的完成1000台服务器的部署。我很希望能尽快完成客户端的部署实验,大家可能更加关注的也是这个话题。假设,在一个200台客户端的企业环境中,如果使用的是相同的硬件并支持PXE引导,那么管理员对系统的部署将会多么轻松。一切都是在服务器端控制下完成,客户端只需要完成PXE的引导设置就可以。而且利用ADS还可以搭建一个管理平台,利用ADS强大的脚本功能来控制管理客户端,这些都等待着大家去发掘,不要去考虑ADS能干什么,完全看你利用ADS都做了什么,这才是最关键的。如何有效利用工具才是真理。
从这次实验中再次证明!!!
•只有敢于攀登顶峰的人,才能将顶峰踩在脚下。
•不怕失败,超越自我
文章到此也该结束,实在太累了!本人文学功底不强,技术能力也是在学习中得以提高。斗胆写此文章,希望没有浪费大家的宝贵时间,反而更希望能帮助到大家,这才能激励我、鼓舞我。

——帮助别人,从中得到快乐。希望能和大家共同学习、讨论!

五月时节 – MayTide.Net
By gOxiA 
2005年10月28日

 
相关链接
ADS主页:
http://www.microsoft.com/china/windowsserver2003/technologies/management/ads/default.mspx

ADS技术概述:
http://www.microsoft.com/windowsserver2003/techinfo/overview/ads.mspx

ADS相关问答:
http://www.microsoft.com/windowsserver2003/community/centers/management/setupdeply_faq.mspx

ADS的系统要求:
http://www.microsoft.com/china/windowsserver2003/techinfo/overview/adssysreq.mspx

ADS与RIS的比较:
http://www.microsoft.com/china/windowsserver2003/techinfo/overview/risvsads.mspx

ADS在线技术指南:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/ADS/en-us/default.asp

ADS1.0下载:
http://www.microsoft.com/china/windowsserver2003/techinfo/overview/adsbenefits.mspx

ADS1.1下载:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d99a89c9-4321-4bf6-91f9-9ca0ded26734&DisplayLang=en

2005年10月28日

概要
本文介绍如何对计算机上的 Microsoft Windows 2000 Active Directory 域控制器执行灾难恢复,该计算机与执行 Active Directory 备份的计算机具有不同的硬件配置。

如果不存在其他域控制器,或者没有与发生故障的域控制器具有类似的硬件配置的计算机,您可能必须使用此过程。本文适用于在执行备份操作时运行的是 Windows 2000 Service Pack 2 (SP2) 或更高版本的计算机。
警告:本文中所介绍的过程适用于不存在其他域控制器的单个域的灾难恢复。该过程不适用于在多域环境中将域控制器从旧的硬件操作系统移动到新的硬件操作系统。仅当需要进行灾难恢复时,才应使用该过程。恢复域控制器后,请不要将恢复的域控制器用于生产。执行这种恢复的目的是还原 Active Directory 功能以及使新的域控制器联机。新的域控制器联机后,请降低恢复的服务器的级别,从域中删除它,然后重新安装 Windows。
更多信息
要在与执行备份的计算机具有不同硬件的计算机上执行 Windows 2000 Active Directory 域控制器的灾难恢复,请按照下列步骤操作。警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。1. 执行域控制器的完全备份,包括系统状态和包含系统卷的驱动器。
2. 在新的计算机上,执行 Windows 2000 的全新安装,将其安装为工作组中的独立服务器。

注意:文件系统、安装驱动器以及 Windows 安装文件夹名称必须与所还原的服务器相同(例如 C:\Winnt 或 D:\Winnt35)。此外,当您要还原的计算机具有与执行备份的计算机类似的视频总线时,恢复结果通常会更好。例如,如果原系统使用 AGP 总线,而要还原到的系统使用 PCI 视频总线,则恢复可能比较困难。
3. 执行灾难恢复。为此,请按照下列步骤操作:a. 单击“开始”,指向“程序”,指向“附件”,指向“系统工具”,然后单击“备份”。
b. 单击“还原向导”,然后在“还原向导”对话框中,单击“下一步”。
c. 单击“导入文件”,单击“浏览”,找到保存备份文件的磁盘,然后单击“打开”。
d. 单击“确定”。
e. 在“还原项目”列表中,单击以选中要还原的计算机分区和“系统状态”对应的复选框。
f. 单击“下一步”,然后单击“高级”。
g. 在“将文件还原到”列表中,单击“原位置”,然后单击“下一步”。
h. 单击“无条件替换磁盘上的文件”,然后单击“下一步”。
i. 执行“还原向导”中其余的步骤,完成灾难恢复。
j. 在还原的域控制器中,将“BurFlags”值更改为“d4”。为此,请按照下列步骤操作:1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入 regedit,然后单击“确定”。
3. 在左窗格中,展开“我的电脑”。
4. 展开“HKEY_LOCAL_MACHINE”,然后展开“SYSTEM”。
5. 展开“CurrentControlSet”,然后展开“Services”。
6. 展开“NtFrs”,然后展开“Parameters”。
7. 展开“Backup/Restore”,然后单击“Process at Startup”。
8. 在右窗格中,右键单击“BurFlags”,然后单击“修改”。
9. 在“数值数据”框中,键入 d4,然后单击“确定”。

注意:如果还原的域控制器的“BurFlags”值没有更改为“d4”,sysvol 将无法共享。

成功完成灾难恢复过程后,可能会出现以下三种情形:• 情形 1:Windows 成功启动。
• 情形 2:当您尝试启动 Windows 时,Windows 停止响应或挂起,但是当您选择“安全模式”选项时,Windows 成功启动。出现这种情况的原因是新的计算机中存在总线体系结构芯片集或不兼容的驱动程序。您可能必须运行就地修复或升级操作。
• 情形 3:计算机在“正常启动 Windows”模式和安全模式中都停止响应。您必须运行就地修复或升级。这通常是由不匹配的硬件抽象层 (HAL) 所导致的。要使操作系统能够成功启动,您可能需要在 Windows 启动过程中按 F7 键以强制使用 HAL 的标准版本。
要解决情形 2 和情形 3 中描述的问题,请执行就地升级或修复。为此,请按照下列步骤操作:a. 使用 Windows 2000 安装光盘启动计算机。在您接受许可协议,并且安装程序搜索要修复的以前的 Windows 安装之后,将开始修复操作。
b. 安装程序找到损坏的安装后,请按 R 键修复所选的安装。安装程序将重新枚举计算机的硬件(包括 HAL),并执行就地升级,同时保留您的程序和用户设置。此过程还将使用可用于修复操作的准确信息刷新 %SystemRoot%\Repair 文件夹。
有关在就地升级或修复过程中如何通过按 F7 键关闭高级配置和电源接口 (ACPI) 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
237556 如何解决 Windows 2000 硬件抽象层问题
注意:如果就地修复操作失败,并且 Windows 在每次开机自检 (POST) 后都重新启动,请使用故障恢复控制台启动计算机,然后运行下面的命令以禁用 ACPI:
disable acpi
禁用 ACPI 后,请重新启动就地修复。要强制 Windows 使用标准 PC HAL,请在系统提示下面的消息时按 F7 键:
如果您需要安装第三方 SCSI 或 RAID 驱动程序,请按 F6 键。
修复或升级操作启动,并且安装程序进入 Windows 安装程序的图形用户界面 (GUI) 部分后,Windows 通常可以成功安装。

重要说明:当在安装过程的 GUI 部分中显示“可选组件”对话框时,请确保选中“网络组件”下的“DNS”复选框。此外,还请确保选中“Internet 信息服务”下的“SMTP”复选框。选中“SMTP”复选框时,以下相关服务也会被安装到 Internet 信息服务 (IIS) 下:• 公用文件
• Internet 信息服务管理单元
• 万维网服务器
注意:如果安装了 Microsoft Exchange Server,请不要单击以选中“Internet 信息服务”下的“SMTP 服务”复选框。在这种情况下,Exchange Server 会提供 SMTP 服务的安装。不过,Active Directory 要求您安装其他的 IIS 项目,例如,公共文件、Internet 信息服务管理单元和万维网服务器。

如果支持动态更新协议的 DNS 安装位于域中的另一台成员服务器上,在就地升级要恢复的 Windows 2000 域控制器的过程中,您必须安装“可选组件”的 DNS 选项。需要安装该选项的主要原因是 Active Directory 以前绑定到的网络适配器实际上已被删除。新的网络适配器将保留当前的协议,但是它们的设置已丢失,并且在就地升级和修复操作中,您无法重新配置这些选项。在升级和修复过程中,如果域控制器无法访问支持动态更新协议的 DNS 服务器,将不会还原任何目录服务组件。您可以通过在事件查看器中查看所有与 Active Directory 有关的丢失的事件日志来了解这一点。仅显示系统日志、应用程序日志和安全日志。因此,必须将 DNS 安装到不同的硬件上正在进行就地修复和升级的域控制器上。在类似的硬件上,这通常不会有什么问题,因为网络适配器相同,并且保留了所有的协议设置。
4. 完成就地升级和修复操作后,启动注册表编辑器,然后验证 ClientProtocols 项位于下面的注册表子项下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
为此,请按照下列步骤操作:a. 单击“开始”,然后单击“运行”。
b. 在“打开”框中,键入 regedit,然后单击“确定”。
c. 在左窗格中,展开“我的电脑”。
d. 展开“HKEY_LOCAL_MACHINE”,然后展开“SOFTWARE”。
e. 展开“Microsoft”,然后展开“Rpc”。
如果没有 ClientProtocols 项,说明用于还原操作的网络适配器与原服务器的适配器不同。当网络适配器被意外地从服务器中删除时,ClientProtocols 项将被删除。如果没有 ClientProtocols 注册表项以及它所包含的值,将无法实现网络连接。 如果没有 ClientProtocols 项,您可以手动重新创建它以及它所包含的所有值,也可以使用注册表编辑器从另一个 Windows 2000 域控制器中导入它。• 要从另一个 Windows 2000 域控制器导出 ClientProtocols 项,请按照下列步骤操作:a. 单击“开始”,然后单击“运行”。
b. 在“打开”框中,键入 regedit,然后单击“确定”。
c. 在左窗格中,展开“我的电脑”。
d. 展开“HKEY_LOCAL_MACHINE”,然后展开“SOFTWARE”。
e. 展开“Microsoft”,然后展开“Rpc”。
f. 单击“ClientProtocols”。
g. 在“注册表”菜单上,单击“导出注册表文件”。
h. 在“保存在”列表中,选择一个可移动媒体设备或网络共享。
i. 在“文件名”框中,键入文件的名称,然后单击“保存”。
j. 在恢复的服务器上,双击该 .reg 文件以导入注册表项。

• 要手动重新创建 ClientProtocols 项及其值,请按照下列步骤操作:a. 单击“开始”,然后单击“运行”。
b. 在“打开”框中,键入 regedit,然后单击“确定”。
c. 在左窗格中,展开“我的电脑”。
d. 展开“HKEY_LOCAL_MACHINE”,然后展开“SOFTWARE”。
e. 展开“Microsoft”,然后展开“Rpc”。
f. 右键单击“Rpc”,指向“新建”,然后单击“项”。
g. 键入 ClientProtocols。
h. 右键单击“ClientProtocols”,指向“新建”,然后单击“字串值”。
i. 在右窗格中,为数值的名称键入 ncacn_http。
j. 右键单击“ncacn_http”,然后单击“修改”。
k. 在“数值数据”框中,键入 rpcrt4.dll,然后单击“确定”。
l. 重复步骤 h 到 k,在 ClientProtocols 注册表项中创建下列注册表值:

数值名称 数值类型 数值数据
ncacn_ip_tcp REG_SZ rpcrt4.dll
ncacn_nb_tcp REG_SZ rpcrt4.dll
ncacn_ip_udp REG_SZ rpcrt4.dll
ncacn_np REG_SZ rpcrt4.dll



5. 重新启动服务器。
6. 重新配置服务器的 Internet 协议 (IP) 设置,以便“首选 DNS 服务器”指向它自身的 IP 地址。如果在单独的 Windows 2000 成员服务器上配置 DNS,则可以将主 DNS 指向该 DNS 成员服务器,并且在本文中后面介绍的步骤 9 中,您可以将 DNS 从恢复的域控制器中删除。
7. 启动 DNS 实用工具,右键单击服务器,然后单击“属性”。查看各个选项卡上的条目,确保它们是正确的。完成后,单击“确定”。
8. 在服务器名称下,展开“正向搜索区域”,右键单击适用于您的区域,然后单击“属性”。在“常规”选项卡上,确保选中了“允许动态更新”旁边的“是”选项。

注意:通过将 DNS 配置为接受动态更新,可以确保在启动 Windows 或下一次重新启动 Net Logon 服务时重新创建正确的 Active Directory 记录。
9. 重新启动服务器,然后从命令行运行 DCDiag.exe 以搜索错误。 有关如何使用 DCDiag.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
265706 Windows 2000 中的 DCDiag 和 NetDiag 方便了域的加入和 DC 创建
由于计算机上所进行的活动的特点,您可能会在 DCDiag.exe 输出中看到系统日志错误。您必须对所有其他错误进行分析,并且可以提交给 Microsoft 产品支持专业人员以进行其他疑难解答。
10. 除非您所还原的域控制器是作为操作主机来管理全部五个角色的,否则,您必须管理这些角色以完全恢复 Active Directory。操作主机也称作灵活的单主机操作或 FSMO 控制器。

注意:如果不允许您访问基于 GUI 的工具,请通过命令行实用工具 Ntdsutil.exe 管理这些角色。 有关如何使用 Ntdsutil.exe 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
255504 使用 Ntdsutil.exe 获取 FSMO 角色或将其转移到域控制器

有关服务器元数据清除的信息,请访问下面的 Microsoft Web 站点:
有关故障恢复控制台的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
229716 Windows 2000 故障恢复控制台的说明
有关移动 Windows 2000 的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
249694 如何将 Windows 2000 安装移到不同的硬件
有关如何执行 Windows 2000 就地升级的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
292175 如何执行 Windows 2000 的就地升级


参考资料:http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fservicedesks%2fwebcasts%2fen%2fwc031902%2fwct031902.asp

概要
本文介绍如何在成功获取操作主机角色之后更改它的所有者。当拥有一个或多个角色的域控制器发生故障或在网络上无法使用时,可能必须获取操作主机。本文的目的是帮助有这种需要的管理员将以前拥有操作主机的一个或多个角色的域控制器返回到同一个网络,而不会与操作主机的任何新角色担任者发生冲突。

在完成下列步骤之前,必须先知道每一个角色的所有者。要获取当前角色所有者的列表,请按照以下 Microsoft 文章中概述的步骤操作:

234790 如何查找 FSMO 角色担任者(服务器)

必须在 Active Directory 中找到存储每个角色的对象。可以使用下表来查找保存角色的每个对象的位置:

角色 对象
PDC 模拟器 DC=domain,DC=com
RID 主机 CN=Rid Manager$,CN=System,DC=domain,DC=com
架构主机 CN=Schema,CN=Configuration,DC=domain,DC=com
结构主机 CN=Infrastructure,DC=domain,DC=com
域命名主机 CN=Partitions,CN=Configuration,DC=domain,DC=com


注意:PDC 是主域控制器的缩写,RID 是相对标识符的缩写。

返回页首
在成功获取操作主机角色之后更改角色的所有者
必须从 Windows 2000 Server 安装光盘安装支持工具。这些工具位于 Support 文件夹下。 1. 在需要放回网络中的域控制器上启动 ADSIEdit。
2. 找到保存以前已被转移的角色的对象(从上表中)。右键单击该对象,然后单击属性。
3. 在属性对话框中,在选择要查看的属性下,单击 fSMORoleOwner。

fSMORoleOwner 可以有一个值,该值可以指向以前负责此角色的服务器的 Windows NT 目录服务 (NTDS) 设置。可更改此设置,以引用当前支持此角色(由以前执行的角色列表定义)的服务器的 NTDS 设置: 旧值:
CN=NTDS Settings,CN=Incorrectserver,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com
新值:
CN=NTDS Settings,CN=Correctserver,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=domain,DC=com
4. 在属性对话框上,单击确定。
5. 退出 ADSIEdit。

返回页首



参考
有关常见操作主机角色的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
197132 Windows 2000 Active Directory FSMO 角色
有关转移和获取操作主机角色的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
223787 Flexible Single Master Operation 传送和获取过程

这个更新一定广为受人关注,Exchange Server 2003 Service Pack 2 (SP2) 提供了针对 Exchange Server 2003 的新增功能和改进.新增功能包括对移动和邮件卫生的支持.改进之处主要针对与公用文件夹和数据库大小限制有关的性能和可靠性问题.
新增的移动功能为直接强制,是一种 Exchange 技术,可以用来保持移动设备和服务器之间的打开连接.远程擦除是另一项新功能,它使管理员能够删除丢失或者被盗移动设备中的敏感数据.其他新增功能包括全球地址列表 (GAL) 查询、管理员用以加强支持策略安全性的策略提供、对基于证书的身份验证的支持、使用 S/MIME 对邮件进行签名和加密以及基于服务器的任务同步.
Microsoft Exchange 智能邮件筛选器和发件人 ID 所集成的版本 2 中包含了反垃圾邮件方面的改进 ,其中发件人 ID 是一种业界标准框架.智能邮件筛选器版本 2 包含针对 SP2 的反垃圾邮件领域的重大改进.
对于 Exchange Server 2003 标准版,其硬编码许可数据库大小限制已经从 16 GB 增加到了 75 GB.管理员可以设定保护性数据库大小限制(防止数据库的意外增大).该默认值在标准版本的 SP2 中为 18 GB,并可更改.
公用文件夹现在更易于管理.管理员可以跟踪以下人员:删除公用文件夹的人员、停止与恢复公用文件夹复制的人员、同步公用文件夹层次结构的人员、在公用文件夹层次结构中传播访问控制列表 (ACL) 更改的人员以及在公用文件夹层次结构中传播副本列表更改的人员.许多改进功能的目的在于最大限度地降低复制风暴带来的影响.
新版本的脱机通讯簿 (OAB 4.0) 包含以下新功能:OAB 大小的减小、不同的 OAB 更新文件、基于区域设置的索引以及增强的诊断日志记录.

下载:
English – http://download.microsoft.com/download/2/D/A/2DA38F90-A580-46F7-8812-63DCEC999FE5/E3SP2ENG.EXE

Italian – http://download.microsoft.com/download/D/2/3/D239E44A-C722-448D-9BA0-01354F048498/E3SP2ITA.EXE

Japanese – http://download.microsoft.com/download/C/A/7/CA7424F0-FFBF-400F-982D-612F118E5744/E3SP2JPN.EXE

French – http://download.microsoft.com/download/4/5/9/4593BAA1-605E-4842-BC3B-8F051E8E8B9D/E3SP2FRA.EXE

Chinese-Taiwan – http://download.microsoft.com/download/9/6/8/96878FB8-C723-49E9-BAE0-CF33728CC93A/E3SP2CHT.EXE

German – http://download.microsoft.com/download/9/3/6/9364B008-21AD-4C45-92D3-D6CAA7CA73D3/E3SP2DEU.EXE

Korean – http://download.microsoft.com/download/6/A/3/6A3F5207-B6AC-4D48-BF9F-E957708B8C28/E3SP2KOR.EXE

Chinese-China – http://download.microsoft.com/download/2/C/6/2C6E0453-49B5-4A03-8BD3-F8546A0F8DC7/E3SP2CHS.EXE

Spanish – http://download.microsoft.com/download/E/0/0/E0080B1B-FE8C-40DD-ACDA-099439327593/E3SP2ESP.EXE

Exchange 2003 SP2在大家的热切期待下,终于正式发布了,值得庆贺的日子.前面在连载一中,我们对SP2里的存储容量增强做了描述,大家还记得吗?(不记得了?那再看看以前的文章吧)

今天我们来看看SP2的第二个新功能–SENDER ID(发信人ID).

一.SENDER ID的概要

SENDER ID是一种针对垃圾邮件的伪造发信人来做的防范技术.其本质有点象我们用的很广泛的RDNS(反向DNS解析),它可以保证发信的服务器是真实的域名的提供者,而不是被伪造或钓鱼的.但是它和RDNS的区别在于,RDNS是要依靠注册反向记录(也被称为指针),它依赖于DNS的技术和局限,所以工作起来很有局限(比如在中国,大部分的域名是没有RDNS技术的),SENDERID是一种新的协议,它可以更好的借助DNS由管理员自己主动发布SPF记录来实现.SPF记录会声明正确的有效的发信服务器的信息,以防止被他人伪造.同时该技术不依赖DNS反向区域,因此实现起来比较方便.

二.SENDER ID是如何工作的?

了解了SENDER ID的基本概念,我们要从技术面来看看它是如何工作的了.首先我们来看一个图:

SPF建立向导
一个有效的SPF记录类似这样
v=spf1 ip4:202.108.255.192/26 ip4:202.108.252.129/26 -all
该记录是TXT类型的.任何DNS服务器都支持该记录类型.

更详细的建立SPF记录的方法请看:
建立自己的SPF记录

2.SENDER ID的检查
建立好自己的SENDER ID后,如何检查是否确实建立了呢?我们还是要用到NSLOOKUP这个熟悉的工具了.
在命令行输入:nslookup -q=TXT domainname
如:
D:\Documents and Settings\Administrator>nslookup -q=TXT 163.net
*** Can’t find server name for address 192.168.1.40: Non-existent domain
Server:  UnKnown
Address:  192.168.1.40

Non-authoritative answer:
163.net text =

        ”v=spf1 ip4:202.108.255.192/26 ip4:202.108.252.129/26 -all”
就可以查找到指定域名的SPF记录.

3.邮件服务器配置
作好了以上的步骤,你就可以在邮件服务器上配置使用SENDER ID技术了.当然,只有安装了Exchange 2003 SP2后你的邮件服务器才支持该技术哦.还没装SP2的赶快装哦.

装好SP2后,你会在全局配置的邮件传递里看到SENDER ID的配置页.见图:
归类于: Exchange 2003 — yinjie[Exchange MVP] @ 4:00 pm 评论(2)

OWA2003里提供了很多的功能,其中拼写检查就是其中之一。OWA2003里内带了多种语言的拼写检查,可惜我们用的是中文,所以我们一般不需要拼写检查功能,下面告诉大家如何关闭它

1、打开注册表

警告:错误编辑注册表将导致系统故障,请编辑前备份!

2、找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWeb\OWA以下键

3、建立类型为DWORD的DisableSpellCheckOnSend键

4、设置其值为0×00000001表示用户不能开启拼写检查功能,设置为0×00000000则表示用户可以选择开启拼写检查功能。

5、该修改无须重新启动计算机或服务,立即有效

前言

我们都用过OWA2003,它的界面比起OWA2000好看了很多,功能也增强了不少,尤其是OWA2003提供了前所未有的表单登录方式(简称FBA),但遗憾的是,为了保证FBA上输入的用户和密码的安全,系统默认只允许在SSL上使用FBA,也就是说,你要使用FBA就一定要配置SSL证书,而证书配置是大家容易出现问题的地方,尤其是证书的客户端信任问题,是所有配置证书的朋友都容易忽视的地方,使得证书配置总是非常的复杂,成功率低。那么能不能不考虑安全的情况下,我们是否可以使用HTTP来访问表单方式的OWA2003呢?我们来看看。

设置

1、要使用HTTP来访问FBA的OWA,必须先按照SSL方式在ESM里配置FBA,在系统提示你需要配置SSL时,你可以安全忽略。

2、接下来打开注册表
警告:错误的编辑注册表会导致系统问题,请在编辑前备份!

3、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeWeb键

4、在其下建立OWA的子键(如果有则忽略)

5、在OWA子键下建立AllowRetailHTTPAuth的DWORD类型值

6、设置其值为1,退出注册表

WINDOWS系统可以做文件服务器,我们在服务器上建立了好多的共享目录.也设置了必要的权限.可是在客户端,没有权限访问目录的用户仍然可以看到目录的存在,这不仅给用户提供了破解目录密码或权限的可能,也不利于管理.现在好了,在WIN 2003 SP1里,MS提供了一个新的东西,叫ABE(Access-based Enumeration),它可以帮助你隐藏那些用户无权访问的目录了.

下载地址:


http://www.microsoft.com/downloads/details.aspx?FamilyID=04a563d9-78d9-4342-a485-b030ac442084&DisplayLang=en


在WIN2003 SP1里,MS在共享文件的control flag上增加了一个全新的属性,我们可以利用文件共享的NetshareSetinfo API来将该属性设置为SHI1005_FLAGS_ENFORCE_NAMESPACE_ACCESS,设置完成后,用户无权访问文件目录,就看不到它了.

安装过程:
1、将下载的安装文件包安装到需要设置ABE的计算机上(注意下载的文件有版本区别,分别是IA64、X64和I386)
归类于: Windows 2003 — yinjie[Exchange MVP] @ 3:51 pm 评论(4)

前言:
Exchange 2003发布到现在有接近2年时间了,MS已经发布了该软件的SP2补丁,该补丁在安全性\反垃圾邮件以及存储工作上有了很大的改进,从今天开始,我们将在本论坛制作一个Exchange2003 SP2专题,预计分为6-8个部分,将分别介绍SP2的新功能,技巧以及使用情况.因为目前SP2只有英文的CTP版,所以其中的图将全部以英文版为主.同时中文版发布时可能和这里的介绍有少许出入,我们将持续跟踪MS的发布进程,给大家带来最新的技术资讯,敬请关注!

今天是SP2新功能介绍的第一部分.

所有文章版权为yinjie所有,转载请注明出处,其中部分资料引用或参考了Exchange开发小组的资料和SP2内部资源.其版权归属原版权提供者和MS公司所有.不得翻录.特此说明

Exchange 2003 SP2新功能之一:存储容量限制改进

我们知道,在EX2003标准版里,存储组被限制在16GB,一直以来这都是一个痛。随着企业邮件消息的日益依赖,16GB的容量很快就会被用完,而SP2里提到将把这一存储限制增加到75GB,这对很多的中小企业来说,无疑是个福音。我们来看看着一功能的情况吧。

在安装有SP2的标准版上,存储容量的限制增加到75GB,但该限制并不立即有效,必须通过修改注册表来生效。请大家注意安全不要擅自修改注册表内容导致错误,并注意备份注册表。这个注册表值在数据库启动(不是服务)或检查容量任务运行时被读取,该注册表值不是默认存在的,你需要自己建立并设置合适的默认值,当你使用了灾难恢复重新安装了EX系统,该注册表值将被恢复。

注册表值存储位置(本机):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ NAME>\Private-013e2e46-2cd7-4a8e-bfec-0e4652b94b00
(其中的GUID是数据库对象在活动目录中的唯一编号)

在安装SP2之前,存储组的容量被硬性限制在16GB,安装SP2后,标准版的容量限制将被默认设置为18GB,其可设置的范围为1-75GB。

无论是标准版还是企业版,都可以设置容量限制,不同的是企业版的默认值为8000GB。

1、存储容量限制
注册表值:Database Size Limit in GB(REG_DWORD)
默认值:标准版为18GB,企业版为8000GB
有效范围:标准版为1-75GB,企业版为1-8000GB

关于为什么要设置18GB为默认值,我咨询MS工程师的答案是这样的,因为原来的系统的限制是16GB,因此有很多的用户的空闲硬盘空间并不多。如果一下将默认值提高到很多,很有可能会出现原有用户硬盘用完而没有警告的情况发生,因此MS默认将容量限制在18GB,10%的警告,因此当存储组容量达到18G-10%(约2G)=16GB的时候,系统就会提出警告,以提示管理员根据实际硬盘情况调整容量限制。
至于为什么以前说企业版是无限容量的,现在怎么也有限制了,这点是这样的,因为EX系统使用的数据库是JET数据库,8192GB是JET数据库的硬性限制。也就是8TB,因为这一数值很大,因此一般我们认为其容量无限。

2、存储数据容量警告设置
当系统存储数据库容量增长到设置的限制容量的90%时(就是空闲10%)时,系统就会在事件里提示警告日志。该数字是可以配置的,最小为1%,最大是100%。(默认是10%)

注册表值:Database Size Buffer in Percentage(REG_DWORD)
默认值:10%
有效值:1-100

3、检查容量存储限制任务
默认情况下,系统每天在5:00AM执行容量限制检查,这也是可以修改的。

注册表值:Database Size Check Start Time in Hours From Midnight(REG_DWORD)
默认值:5AM
有效范围:1-24
意义:表示执行容量检查的开始时间(24小时制)

4、总结


归类于: Exchange 2003 — yinjie[Exchange MVP] @ 3:49 pm 评论(0)