无法连接到主域控制器,可能有以下几种原因:
1. DNS配置问题,检查DNS配置,是否指向了内部的DNS服务器。
2. DNS上的记录缺失,请检查A记录和SRV记录,看是否有缺失,如果是主域控制器SRV记录缺失,请在主域控制器上,在命令行模式输入 net stop netlogon 和net start netlogon命令,重启netlogon服务,可以重建SRV记录。
3. 在命令行模式,ping ComputerName和ping ComputerIP(ComputerName和ComputerIP为主域控制器计算机名和IP地址),看是否可以ping通。
4. 在命令行模式,net view \\ComputerName和net view \\ComputerIP ,看是否可以看到主域控制器的共享文件夹(ComputerName和ComputerIP是主域控制器的NetBIOS名称和IP地址)。登录到域问题 排错建议
1. 病毒:建议使用两种以上的杀毒软件杀毒,排除病毒的影响。
2. 打开服务管理器,查看是否有可疑的服务,请与正常的系统对比。
3. 在运行中输入msconfig,单击启动,取消自动运行的程序,重启系统,看是否还出现问题。
4. 新建一本地帐户,看是否出现问题,如果新建帐户不会出现问题,可以判断是用户配置文件造成,使用具有本地管理员权限的帐户登录,备份有问题的用户配置文件,如test帐户,系统安装在C盘,位置为C:\ Documents and
Settings\test ,然后删除test文件夹,使用原先帐户登录,系统会生成一个新的配置文件。
5. 如果还未解决,请在运行中输入SFC /scannow命令检查并替换被破坏的系统文件,重启系统,看是否可以解决问题。
6.请确认一下DNS服务器的前向搜索域是否包含了4个文件夹(_msdcs,_sites,_tcp,_udp)
7.检查客户端的TCP/IP配置是否正确,查看DNS服务器是否正常运行。
8.在客户端 ping 同网段的计算机,加-t参数,看是否会丢包。
9.同样的操作对DC进行测试,如果测试结果显示网络响应时间正常,可以判断问题出在DC上。
10.查看DC上的日志,看有什么报错信息,打开日志查看器,保存所有的日志,操作步骤:选择日志,点击右键\另存日志文件,文件类型选择.evt。
另外注意:如果部署过组策略,看是否有策略需要启用脚本等消耗时间的咚咚。
组策略模板的编写
可以利用一个修改组策略模板的工具
http://www.tools4ever.com/products/utilities/policytemplateeditor/
建立好ADM,然后在组策略中添加模板就可以了。
怎么把exe格式软件安装文件转换成msi?有很多工具都可以实现将exe转换成msi,我们以FLEXnet AdminStudio SMS Edition这个工具为例,直接运行tools里的repachager即可这个可以在微软的网站免费下载到,大致的原理和过程如下:
1.在一台环境较干净的机器上运行AdminStudio,假设为Server A,需要安装的文件为test.exe
2.此工具将以向导模式运行,在过程中你可以设定安装时的一些参数,比如序列号等。
3.在向导过程中会对系统进行一次扫描,产生一个系统快照,然后会在Server A上安装test.exe文件,安装完成后再对系统进行一次扫描,针对2次扫描的结果,此工具会给出一个发生变化的文件及注册表等信息的对比的列表,最后需要你手工去在发生变化的文件及注册表信息中筛选出你所需要的。
4.直接运行tools里的repachager编译生成msi文件
如何解决多台域控下其中一个不可用1、确认服务器上所有的角色,你可以安装好SupportTools(位于2000光盘中Support目录下Tools中的Setup),运行Netdom Query FSMO;如果有角色在坏的那台,而又不可修复,那就
参考:使用 Ntdsutil.exe 获取 FSMO 角色或将其转移到域控制器http://support.microsoft.com/default.aspx?scid=kb;zh-cn;255504
2、确认全局编目服务器GC 是否在坏的那台上,如果是取消其设置,在好的服务器上指定为GC;
3、确认所有客户端指向的DNS 服务器是可用的。
How to:如何建立信任关系
Win2000和win2003之间的信任关系都是使用Kerberos V5和NTLM协议验证的,所以在它们之间建立信任应该是没有问题的。
如果你要创建外部信任,请参考:
http://support.microsoft.com/?id=816301
以下两个连接也许会对你有所帮助:
http://support.microsoft.com/?id=889030
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/7b075a25-9f29-4856-883c-f230a8ccd681.mspx
HOW TO:在客户机上创建和删除隐藏或系统管理共享
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;314984
怎么从安全日志从找到删除文件的记录?
如果你在系统策略中开启了“对象访问审核”,并在文件夹上添加了审核,当你删除了该文件夹中的目录或文件,那么会在安全日志中生成Source为Security,ID为560的对象访问日志(就像你在顶楼的帖子中,贴出来的那个560的Log)。在该Log中,“对象名称”就是被删除的目录或文件名,“主要用户名”是执行删除操作的帐号,“访问”为Delete。
关于Windows中安全日志的相关信息,可以参考以下KB:
174074 Security Event Descriptions
http://support.microsoft.com/?id=174074
SeIncreaseBasePriorityPrivilege的特权
SeIncreaseBasePriorityPrivilege是Increase Scheduling Priority的特权,即:可以改变进程或线程的预定优先级。
你可以打开任务管理器,选择“进程”选项卡,任意选中一个进程,右键单击该进程,选择“设置优先级”,就可以改变该进程的运行优先级。如果没有SeIncreaseBasePriorityPrivilege这个特权,就无法更改进程的优先级。缺省情况下,Administrators组是具有该特权的。
关于Windows中的用户权限,可以参考以下这篇KB:
101366 Definition and List of Windows NT Advanced User Rights
http://support.microsoft.com/?id=101366
Windows 服务
如果是Windows XP或Windows Server 2003的系统,可以用下面的命令行:tasklist /svc
这样会列出当前所有被加载的服务的名称。
用net start不跟参数也可以看到。不过这个列出的是服务的display name.
就好比说Workstation服务,从tasklist /svc看到的就是lanmanworkstation.
这个Workstation就是display name, lanmanworkstation是它真正的codename。在后面提到的注册表里的节点名就是这个codename。
关于没有启动的service,似乎只能够通过类似services.msc/msinfo32.exe的图形界面才可以看到。
其实所有的服务都是存在注册表的下面这个键值下的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
service是如何来设置互相之间的依赖关系的:
比如我们有一个Browser service.
它的配置存在这里:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser
打开到这个注册表,我们很容易发现在右边有这样一个值:
DependOnService
它是一个REG_MULTI_SZ类型的值,可以在里面输入多行的字符串。
每个字符串就是一个它依赖的服务的codename。比如Browser service里就有LanmanWorkstation LanmanServer
其实就是您在Services.msc里看到的Server service和Workstation service。
网络负载均衡后,基于WEB与SQL的程序会不会乱?
通常来说,由于您的网站中使用ASP session。您可能需要重新设计您的网页避免将ASP Session保存在基于Cluster服务器上。
当然您也可以采用更改NLB affinity的方法来强制用户在他的Session存在的环境下始终连接到同一台IIS服务器。
更多信息请参考:
286279 HOWTO: Handle Web Client Session State in an Application Center 2000
http://support.microsoft.com/?id=286279
323437 HOW TO: Configure Network Load Balancing Parameters in Windows Server
http://support.microsoft.com/?id=323437
如果是Asp.Net可以利用Out of Process Session管理, 参考,
http://msdn.microsoft.com/library/en-us/dnaspnet/html/asp12282000.asp
另外,活用Session与Cookies之间的合作, 简单做法是做一个include(感谢刘立提供)
If IsEmpty(session("xxx")) and Not IsEmpty(Request.cookies("xxx")) Then
session("xxx") = Request.cookies("xxxx")
......
这样一理SESSION没了,程序马上能从你的COOKIES里重建SESSION
How TO:设置IIS所需权限(关于本地登录登录设置)
在“本地安全策略”中授予权限
1. 单击“开始”,单击“设置”,然后单击“控制面板”。
2. 双击“管理工具”,然后双击“本地安全策略”。
3. 在“本地安全设置”对话框中,展开“本地策略”,然后单击“用户权利指派”。
4. 修改适当的策略: a. 双击该策略。
b. 对下表中未列出的任一用户,选择并单击“删除”。
c. 添加未列出的任一用户。为此,请单击“添加”,然后在“选择用户或组”对话框中选择该用户。
请注意,因为域控制器策略会替代本地策略,所以必须确保有效策略设置与本地策略设置相匹配。
下表列出了在按照在“本地安全策略”中授予权限 一节中的步骤进行操作时将要应用的权限。
策略
策略 Users
在本地登录 Administrators
IUSR_<计算机名>(匿名)
Users(需要验证)
从网络访问此计算机 Administrators
ASPNet (.NET Framework)
IUSR_<计算机名>(匿名)
IWAM_<计算机名>
Users
作为批处理作业登录 ASPNet
Network
IUSR_<计算机名>
IWAM_<计算机名>
Service
作为服务登录 ASPNet
Network
跳过遍历检查 Administrators
IUSR_<计算机名>(匿名)
Users(基本、集成、摘要)
IWAM_<计算机名>
更多内容参考:
HOW TO:排除 IIS 5.0 中的 ASP 故障
http://support.microsoft.com/kb/309051
如何为 IIS 5.0 设置基本的 NTFS 权限
http://support.microsoft.com/kb/271071
IIS启用如何启用 ASP 支持:
Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,
还需要单独开启对于 ASP 的支持。方法是: 控制面板 -〉 管理工具 -〉
Web服务扩展 -〉 Active Server Pages -〉 允许。
为什么IIS产生的日志中时间老是不对IIS默认的W3C Extended Log用的是GMT格林威治时间以便符合W3C定义好的规范。下面这篇知识库对此有所描述并且给出了两个解决方案:
271196 IIS Log File Entries Have the Incorrect Date and Time Stamp
http://support.microsoft.com/?id=271196
清理IE的垃圾(可解决大部分浏览网页的的问题)
按下面的步骤清除IE的临时文件和插件。
1. 打开C:\Program Files\Internet Explorer\PLUGINS 目录.
2. 在桌面上建个新目录然后把插件都移进来。
3. 打开Internet Explorer.
4. 选工具下的Internet 选项.
5. 清除临时文件.
6. 清除时选上删除所有脱机内容。
7. 删除Cookies.
8. 删除历史.
9. 选高级标签,不选启动第三方浏览器扩展。
10. 选确定.
11. 删除下面的注册表健。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
12. 删除下面注册表健的所有子健。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension
13. 重启计算机。
相关信息,您可以查看:
如何删除 Internet 临时文件夹内容
http://support.microsoft.com/kb/260897
如何删除 Cookie 文件
http://support.microsoft.com/kb/278835
如何解决连接VPN后无法连接INTERNET的问题
通常情况下,我们可以在VPN连接中禁掉“在远程网络上使
用默认网关”。以下是具体步骤:
1.. Double-click My Computer, and then click the Network and Dial-up
Connections link.
2.. Right-click the VPN connection that you want to change, and then click
Properties.
3.. Click the Networking tab, click Internet Protocol (TCP/IP) in the
Components checked are used by this connection list, and then click
Properties.
4.. Click Advanced, and then click to clear the Use default gateway on
remote network check box.
5.. Click OK, click OK, and then click OK.
更多的信息和解决方法,请参考下面的文档:
317025 You Cannot Connect to the Internet After You Connect to a VPN Server
http://support.microsoft.com/?id=317025
服务器端
HOW TO:在 Windows 2000 中安装和配置虚拟专用网络服务器
http://support.microsoft.com/?id=308208
禁止关机时出现的关机理由选择项:
关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,
对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。
打开”开始“Start -〉”运行“ Run -〉输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-〉 ”管理模板“(Administrative Templates )
-〉 ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”
(Disabled),点击然后“确定”(OK)保存后退出,这样,你将看到类似于windows 2000的关机窗口
网上邻居无法访问
请您检查一下网卡、连接线和hub有没有连接正常。另外,您可以把防火墙禁止掉然后看看这个机器是否可以被其他机器Ping到。
然后,检查一下组策略:
1. 开始-〉运行。
2. 输入gpedit.msc按回车。
3. 选计算机配置-〉Windows 设置-〉安全设置-〉本地策略-〉用户权限分配。
从网络访问此计算机
4. 添加 Everyone。
更多信息,请查看:
无法访问共享文件和文件夹或者浏览工作组中的计算机
http://support.microsoft.com/kb/318030
"An Invalid Operation Was Attempted on an Active Network Connection" Error Message Occurs If You Try to Browse the Network
http://support.microsoft.com/kb/318245
在网上邻居上访问别的电脑(xp系统)时,用户名一栏为灰色.比如用户名一项是:机器名\guest 灰色显示.此时也无法输入已知的可访问的用户名和密码.所以也无法访问那台电脑.
这个是因为Windows XP 中有一种新的本地安全设置。默认会只用本地Guest帐号作authentication(身份验证)。我们可以在Windows XP Professional的组策略中修改它。
1. Start 〉 Run... gpedit.msc
2. 开始〉运行〉gpedit.msc
3. 展开到:
本地计算机策略
-计算机设置
--Windows设置
---安全设置
----本地策略
-----安全选项
4. 右边有一项"本地帐户的共享和安全模式",默认在XP种会设为:"仅来宾 - 本地用户已来宾身份验证"。
您可以将它改为"经典 - 本地用户以自己的身份验证"
5. 按确认.
6. 重新启动这台XP的机器就可以了.
可不可以刪除(pagefile.sys)
其实不管它是没有关系的,不过一定要删除可以:
“本地安全策略”-》“本地策略”-》“安全选项”-》“系统关机时清除 page file ”
禁止默认共享
删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
修改注册表删除共享
想禁止%DriveLetter%$的默认共享,可以在注册表的以下位置
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建名称:AutoShareServer
类型: REG_DWORD
值: 0
想禁止Admin$的默认共享,您可以在注册表的以下位置
HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\LanmanServer\\Parameters
新建名称:AutoShareWks
类型: REG_DWORD
值: 0
