NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 硬件 .: 服务器 .: Windows Server服务器日常管理技巧

Windows Server服务器日常管理技巧

Q1、客户机无法加入到域?

 一、权限问题。 要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。

二、不是说2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。吗?这时如何在这台计算机上登录到域呀! 显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现拒绝访问提示。 这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域,或用于域的AD域控制器无法联系上。 2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC IP 地址,然后开始进行网络身份验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINSlmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。 加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。 加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应该是可以的。 若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC(具体见前)。能找到的话,再ping一下DC看是否通。

 

 

 Q2、用户无法登录到域?

 一、用户名、口令、域 确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。

二、DNS 客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。

三、计算机帐号 基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示计算机帐号已被禁用。可到AD用户和计算机中,将计算机帐号启用即可。 对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:计算机帐户丢失……”此工作站和主域间的信任关系失败。解决办法:重设计算机帐户,或将该计算机重新加入到域。

四、默认普通域用户无权在DC上登录。

五、跨域登录中的问题 2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。  

如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。

Q3、如何解决本地或域管理员密码丢失?  

本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到凤凰万能启动盘中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。

1、上网搜索凤凰启动盘凤凰万能启动盘,大约178M

2、下载后解压缩,将其内容刻录成光盘;

3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;

4、出现选择菜单,选择第一项:ERD Commander 2002

5、出现类似XP的启动界面

6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;

7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith

8、进入ERD Commander 2002 locksmith向导界面,下一步;

9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)

10、选择Start/Logoff,点OK

11、稍候片刻,点reboot后重新启动计算机 凤凰启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码,均已实验证明。 由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。

Q4、无法使用域内的共享打印机?

现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机, 为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。 其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你拒绝访问,无法连接当前打印机安装有问题“RPC服务不可用等等(在不同的操作系统或应用程序中提示会所不同)。 解决办法有3种,最好还是用方法1

1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。 说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。

2、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。

3、在客户机上每次要使用打印机前,在开始运行:[url=file://printserver/]\\PrintServer[/url],这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。

 

高效管理服务器一直离不开有效的服务器管理技巧,尽管你已经掌握了不少这方面的技巧,但服务器还有许许多多的技巧在等着你的总结,等着你的挖掘;这不,下面的一些服务器管理窍门就是笔者在最近的工作中总结出来的,相信有不少是你很少遇到过的!

  高效管理服务器一直离不开有效的服务器管理技巧,尽管你已经掌握了不少这方面的技巧,但服务器还有许许多多的技巧在等着你的总结,等着你的挖掘;这不,下面的一些服务器管理窍门就是笔者在最近的工作中总结出来的,相信有不少是你很少遇到过的!

  拒绝服务器重新启动

  一般情况下,在Windows 2003 Server系统中安装完补丁程序后,系统总会提示你要重新启动一下服务器。可是许多急性子的朋友,他们往往无法容忍Windows 2003 Server服务器“慢吞吞”的启动操作,于是希望打完安全补丁之后服务器不再重新启动的想法就应运而生了。那么是不是有一种合适的方法,的确能让Windows 2003 Server服务器在安装完补丁之后不会重新启动呢?其实,Windows 2003 Server服务器是否会重新启动,跟当前的系统补丁特性有一定的关系;对于那些强制需要系统启动的安全补丁,我们一般是无法让服务器拒绝重新启动的;但对于那些没有强制要求系统启动特性的补丁来说,我们就能采取如下的方法来阻止服务器系统重新启动:

  首先在Windows 2003 Server服务器系统桌面中,依次单击“开始”/“运行”命令,在随后打开的系统运行对话框中,输入字符串命令“cmd”,单击“确定”按钮之后,将系统工作模式切换到MS-DOS状态下;

  其次在DOS命令行中,通过“cd”命令将当前目录切换到补丁程序所在的目录,然后执行“aaa /?”字符串命令(其中aaa就是当前需要安装的系统补丁名称),在其后出现的提示界面中,检查一下当前补丁是否带有“-z”参数,要是带有该参数的话,就表明当前补丁在安装完毕后可以不强制要求系统进行重新启动;

  接着在DOS命令行中,再输入字符串命令“aaa -z”,单击回车键后,该补丁程序就会自动安装到系统中,并且不会要求服务器系统进行重新启动了。

  取消对服务器的限制访问

  为了提高员工的工作效率,单位最近打算把Windows 2003终端服务器的访问权限向每一个员工进行开放,但考虑到安全性,网络管理人员仅为所有员工提供了相同的一个帐号来登录Windows 2003终端服务器。可是员工们在用该帐号登录终端服务器时,发现同一时间内服务器只能允许一个人登录进服务器,而且后来的员工一登录进服务器后,前一个员工就会“被迫”退出终端服务器的登录。出现这种现象到底是怎么回事呢,那有没有办法让所有员工在同一时间内,使用同一帐号都能顺利登录进行服务器呢?

  其实上述这种现象,主要是由于Windows 2003终端服务器在默认状态下,启用了“限制每一个用户只能使用一个会话”功能造成的;要想消除这种现象,你只要按照如下步骤,来取消“限制每一个用户只能使用一个会话”功能就可以了:

  首先单击Windows 2003终端服务器系统桌面中的“开始”菜单,并依次执行其中的“设置”/“控制面板”命令,然后双击其中的“管理工具”图标,进入到终端服务配置窗口;

  接着在该配置窗口中,用鼠标双击一下“服务器设置”处的“限制每一个用户只能使用一个会话”选项,在其后出现的选项设置对话框中,将“限制每一个用户只能使用一个会话”的复选框取消选中,最后单击“确定”按钮,并重新启动一下服务器系统,这样员工们日后使用相同的帐号,就能同时登录进Windows 2003终端服务器系统中了。

  远程查看服务器日志文件

  如果你是一位细心的人,完全可以利用服务器的日志文件,来实现保护服务器安全的目的,毕竟任何对服务器的非法攻击都会在服务器日志文件中留下蛛丝马迹,只要你足够细心,就能知道服务器当前是否受到了攻击,一旦发现有攻击痕迹的话,只要及时采取相应的应对措施就能保证服务器的安全了。不过话又说回来,服务器的日志文件通常只能在服务器本地查看到,可是万一网络管理人员出远门,该如何保证服务器日志文件能被网络管理人员随时远程查看到呢?

  要做到这一点,你只要利用Windows 2003服务器的远程维护功能,并通过IE浏览界面,就能对服务器的日志文件进行远程查看了,当然在默认状态下,Windows 2003服务器的远程维护功能并没有开通,需要我们手工启动才可以。下面,就是远程查看服务器日志文件的具体步骤:

  首先检查一下Windows 2003服务器是否已经安装了II6.0组件及其相关组件,要是还没有安装的话,必须先要这些组件安装到服务器中去;

  其次在服务器系统桌面的“开始”菜单中,依次单击“设置”、“控制面板”命令,在其后出现的窗口中,用鼠标双击一下“添加或删除程序”图标,接着单击其后界面中的“添加/删除Windows组件”按钮,并在弹出的组件安装向导窗口中,把“应用程序服务器”复选项选中,再单击一下对应窗口中的“详细信息”按钮;

  随后的设置界面,选中“Internet信息服务(IIS)”复选项,然后继续单击对应窗口中的“详细信息”按钮;

  在接着出现的向导设置窗口中,选中“万维网服务”项目,并继续单击一下对应窗口中的“详细信息”按钮,在弹出的向导界面中,再把“远程管理(html)”项目选中;完成上面的设置后,单击“确定”按钮,并把Windows 2003服务器系统的安装光盘放入到光驱中,然后系统会自动完成剩余的安装设置任务;

  以后,网络管理人员无论走到哪里,只要能找到一台可以上网的计算机,并通过IE浏览器界面输入“http://aaa.aaa.aaa.aaa:8098”地址(其中aaa.aaa.aaa.aaa表示Windows 2003服务器的有效IP地址),在稍后打开的服务器帐号验证界面中,正确输入系统管理员帐号,就能远程登录到服务器的管理维护页面中了,在该页面中网络管理人员就能很方便地查看到服务器中的日志文件了。

Q1、客户机无法加入到域?

 一、权限问题。 要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。

二、不是说2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。吗?这时如何在这台计算机上登录到域呀! 显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现拒绝访问提示。 这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域,或用于域的AD域控制器无法联系上。 2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC IP 地址,然后开始进行网络身份验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINSlmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。 加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。 加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应该是可以的。 若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC(具体见前)。能找到的话,再ping一下DC看是否通。

 

 

 Q2、用户无法登录到域?

 一、用户名、口令、域 确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。

二、DNS 客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。

三、计算机帐号 基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示计算机帐号已被禁用。可到AD用户和计算机中,将计算机帐号启用即可。 对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:计算机帐户丢失……”此工作站和主域间的信任关系失败。解决办法:重设计算机帐户,或将该计算机重新加入到域。

四、默认普通域用户无权在DC上登录。

五、跨域登录中的问题 2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。  

如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。

Q3、如何解决本地或域管理员密码丢失?  

本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到凤凰万能启动盘中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。

1、上网搜索凤凰启动盘凤凰万能启动盘,大约178M

2、下载后解压缩,将其内容刻录成光盘;

3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;

4、出现选择菜单,选择第一项:ERD Commander 2002

5、出现类似XP的启动界面

6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;

7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith

8、进入ERD Commander 2002 locksmith向导界面,下一步;

9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)

10、选择Start/Logoff,点OK

11、稍候片刻,点reboot后重新启动计算机 凤凰启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码,均已实验证明。 由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。

Q4、无法使用域内的共享打印机?

现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机, 为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。 其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你拒绝访问,无法连接当前打印机安装有问题“RPC服务不可用等等(在不同的操作系统或应用程序中提示会所不同)。 解决办法有3种,最好还是用方法1

1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。 说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。

2、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。

3、在客户机上每次要使用打印机前,在开始运行:[url=file://printserver/]\\PrintServer[/url],这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。

 


这篇文章对你多有用?

相关文章

article Windows server 2012体验之服务器池管理
Windows server...

(No rating)  1-22-2013    Views: 912   
article Windows Server 2003 服务器群集简介
简介服务器群集是一组协同工作并运行 Microsoft...

(No rating)  9-24-2012    Views: 863   
article Windows服务器安全加固
Windows

(No rating)  3-17-2015    Views: 1741   

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited