解決Windows域管理的幾個經(jīng)典問題

1、解決Windows域管理的幾個經(jīng)典問題2008-05-30 10:57 近日在為公司配置域管理架構(gòu)的時候，遇到了一些問題，上網(wǎng) google 發(fā)現(xiàn)這些問題的提問者眾 多，堪稱“經(jīng)典”問題。 Windows 域管理已經(jīng)不是什么新鮮玩意兒了，可網(wǎng)上各類答案很多驢唇 不對馬嘴，互相抄來抄去，讓提問者不得要領(lǐng)。特撰此文， 將我實(shí)際解決問題的小小經(jīng)歷記錄下 來與大家分享，避免大家遇到相同問題的時候走彎路。我公司的網(wǎng)絡(luò)結(jié)構(gòu)采用 VLAN劃分部門，服務(wù)器單獨(dú)一個 VLAN通過在核心交換機(jī)上配置 路由和ACL實(shí)現(xiàn)各部門之間不可互訪， 通過訪問服務(wù)器進(jìn)行數(shù)據(jù)交換。 服務(wù)器是 Win2003企業(yè)版, 不記得用什么

2、光盤裝的了， 反正網(wǎng)上下的，裝完后打過SP2補(bǔ)丁，安裝的Win2000域控制器模式 （有 Win2000 的服務(wù)器）。域名： binhu.local主域控制器： 192.168.0.6/24192.168.0.254/24（雙網(wǎng)卡）這個網(wǎng)段只有網(wǎng)管部門可訪問，本來是調(diào)試用的，還沒有正式遷移到服務(wù)器網(wǎng)段，不過可以和服務(wù)器網(wǎng)段建立通信。額外域控制器： 192.168.2.254/24服務(wù)器網(wǎng)段DNS：192.168.2.254DHCP: 192.1682254已經(jīng)通過交換機(jī)的 UDPHelp把各個 VLAN的DHCF網(wǎng)段都做好了，只配置了 IP 、網(wǎng)關(guān)、 DNS。局域網(wǎng)計(jì)算機(jī)有 Win2k Pro

3、和WinXP Pro，W2k是用自己封裝的 ghost批量安裝的，xp是用的 YlmF_GhostXP_SP3_Y1.0 ，當(dāng)然都是會隨機(jī)產(chǎn)生 SID 啦，全部采用自動獲取 IP 地址， 安裝后默認(rèn)設(shè)置不變， XP 自帶防火墻開啟，配置如圖 1 。F Tindovs防火肓常規(guī)J例外 高級石4三防火墻已關(guān)閉°燃的計(jì)算機(jī)存在彼外部源機(jī)攻擊和 人侵的風(fēng)險(xiǎn)口建曲單擊“高規(guī)"選項(xiàng)卡并選掾“啟用"B程序和服務(wù)世)：名稱UPnP框架| WinAows JtF 網(wǎng)貉詼針0求件和打印機(jī)井李 畫證程協(xié)助0匾程莫衛(wèi)喬加程序©).忝加嚥口迎工編 it (£).| |

4、冊瞬防火睹阻止程序時通知我皿(圖1 )在客戶端可以 Ping通服務(wù)器IP地址以及binhu.local?？傊W(wǎng)絡(luò)層的互聯(lián)互通是OK的，下面的問題全都不是由網(wǎng)絡(luò)配置問題造成的，如果您確定您的網(wǎng)絡(luò)配置都正確，并且網(wǎng)絡(luò)結(jié)構(gòu)和我大系統(tǒng)提示“找不到網(wǎng)絡(luò)致相同或比我的還簡單，可以繼續(xù)往下看！問題1:新計(jì)算機(jī)在添加到域的過程中，按提示輸入了域帳戶和密碼后,路徑”。答：啟動計(jì)算機(jī)的“ TCP/IP NetBIOS Helper ”服務(wù)。很不幸，我做的 w2k鏡像和ylmf的xp 鏡像剛好都把該服務(wù)設(shè)為了手動，為了這個問題我專門硬裝了一遍xp，剛裝好是可以加入域的，而在我習(xí)慣性的“優(yōu)化”完系統(tǒng)以后，又“找不到網(wǎng)

5、絡(luò)路徑”了，經(jīng)過逐項(xiàng)排除，終于鎖定到這還是值得的，至少不個問題的關(guān)鍵，從發(fā)現(xiàn)問題到解決問題花了我2個小時用理會某些人說的“要在域環(huán)境下正常工作就不要使用ghost ”之類的話。問題2：加入到域的計(jì)算機(jī)，無法在域控制器上打開“計(jì)算機(jī)管理”。答：剛把計(jì)算機(jī)test加入到域，我就迫不及待的登陸到域控制器，想通過AD控制臺遠(yuǎn)程打開該計(jì)算機(jī)的“計(jì)算機(jī)管理"，結(jié)果又彈岀提示“找不到test.bi nhu.local的網(wǎng)絡(luò)路徑"，郁悶ing。嘗試在域控制器上pi ng 了一下 test.b in hu.local，居然提示"Pi ng request could notfind

6、 host test.binhu.local.”，域名解析失?。≮s緊檢查 DNS記錄，發(fā)現(xiàn) test.binhu.local主機(jī)記錄安然的躺在正向搜索區(qū)域中，看來不是DNS服務(wù)器的問題。猛然想起 本地DNS緩存，趕緊關(guān)閉“ DNS Client ”服務(wù)，再次嘗試問題解決。原來 即使是在DNS服務(wù)器上進(jìn)行域名解析，也 不是直接查找的 DNS數(shù)據(jù)庫?。】偨Y(jié)經(jīng)驗(yàn)：在局域網(wǎng)部署過程中，網(wǎng)絡(luò)節(jié)點(diǎn)變化比較頻繁，建議 關(guān)掉網(wǎng)絡(luò)計(jì)算機(jī)上的本地DNS緩存服務(wù)，待局域網(wǎng)正常運(yùn)作之后，網(wǎng)絡(luò)節(jié)點(diǎn)變化較少，再根據(jù)DNS服務(wù)器響應(yīng)DNS請求的負(fù)荷來考慮是否有必要打開該服務(wù)。問題3:加入到域的計(jì)算機(jī)，在域控制器上打開“計(jì)算

7、機(jī)管理”，部分項(xiàng)無法管理。答：打開“計(jì)算機(jī)管理”后，發(fā)現(xiàn)“本地用戶和組”打，除了可以查看“共享文件夾”下的內(nèi)容外，其它項(xiàng)目都不能正常查看。在經(jīng)歷了上面2道磨難后，又遇到這種問題，是不是倍受打擊呢？其實(shí)對于稍微“馬虎”一點(diǎn)的管理員，一般都不會碰到這個問題。無奈我配置域管理的目的是為了便于分發(fā)安全策略，不得不“精細(xì)化管理”，從組策略到服務(wù)到共享到防火墻統(tǒng)統(tǒng)折騰了一遍還是很有收獲的！在無數(shù)次的“ gpupdate"之后，摸索到一些既不影響“計(jì)算機(jī)管理”，又能一定程度提高安全性的方法。（1 ）共享：有IPC$即可，其它默認(rèn)共享都可以關(guān)掉。（2 ）網(wǎng)絡(luò)組件：必須安裝“ Microsoft網(wǎng)絡(luò)文

8、件和打印機(jī)共享"，且必須打鉤。（3 ）內(nèi)置防火墻：需要允許“文件和打印機(jī)共享"，且不限制135、137、138、139、445等端口的監(jiān)聽。（當(dāng)然您可以用更強(qiáng)大的防火墻進(jìn)行數(shù)據(jù)篩選，看個人功力了:）（4）服務(wù)：需要啟動“ Server "、“ TCP/IP NetBIOS Helper "、“ Remote Registry ”服 務(wù)。（5） 組策略：為了增強(qiáng)網(wǎng)絡(luò)訪問安全性，我在安全選項(xiàng)中啟用了“不允許SAM帳戶的匿名枚舉”、“不允許 SAM帳戶和共享的匿名枚舉”、“限制對命名管道和共享的匿名訪問”等三 個選項(xiàng)，事實(shí)證明不會影響到“計(jì)算機(jī)管理”。由于進(jìn)行

9、了（1）（4）項(xiàng)配置，只有以其它方式來禁止共享文件夾了。我在“用戶權(quán)限分配”中將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)為僅有“ DomainAdmins "組，又把 拒絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)"設(shè)為“ Domain Users、Users、Power Users 、Guests ”，不能從域控制器遠(yuǎn)程打開計(jì)算機(jī)管理”了。經(jīng)過分析，是由于我登陸到域控制器的管理員帳戶默認(rèn)也是“ Doma in Users ”組的成員，將它拿岀來，再試還是不行，直到我把Users組從拒絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”選項(xiàng)中拿岀來以后，又可以正常打開了。原因可能是：1.該管理員帳戶同時也是 Users組成員，在升級為域控制器

10、之后，沒辦法從Users組中拿岀來了，我沒有進(jìn)一步嘗試；2.域管理員帳戶通過網(wǎng)絡(luò)訪問客戶機(jī)，會被自動應(yīng)用到Users組成員中，純屬猜測，沒有詳細(xì)查資料?？偠灾?，只好放任Users組成員不管了，好在我禁用了客戶機(jī)的本地帳戶，只能登陸到域，變成Doma in Users就歸我管了，嘿嘿，基本解決了禁止文件夾共享的問題了吧，現(xiàn)在即使是在客戶機(jī)設(shè)置了Every One 完全訪問的共享文件夾，普通用戶也拒絕訪問。當(dāng)然你也可以完全不理會是否打得開“計(jì)算機(jī)管理”，那就得自己測試一下是否能正確分 發(fā)組策略了。問題4： Domain Users 無法運(yùn)行 AutoCAD R14等軟件的問題。答：說到域環(huán)境下部

11、署應(yīng)用程序的問題，這涉及到企業(yè)軟件管理制度、計(jì)算機(jī)管理制度等方面， 可談的話題十分寬泛，這里僅從不控制軟件使用的角度上講一講在域環(huán)境下部署應(yīng)用程序的一些 思路。（1 ）在FAT32目錄下安裝的軟件、綠色軟件等等，很多是可以不用部署直接運(yùn)行的。（不到萬不得已不推薦用 FAT32）（2）在組策略上啟用“ 軟件限制策略 ”，按默認(rèn)即可，大部分軟件馬上能夠正常運(yùn)行。（3）按（ 2）設(shè)置后，對于 Autocad r14 這樣的老軟件，不妨 試一試新版本 ， Autocad 2006 就 可以正常運(yùn)行，經(jīng)我測試的 Matlab6.5 、 Protel99se 、 SolidWorks 2006 等都可以正常運(yùn)行。（4）還不能運(yùn)行的軟件，用 組策略的“軟件安裝”功能 ，先把軟件制作成 MSI 安裝包，再放到 共享點(diǎn)，再配置組策略。制作 MSI 包的工具在 Win2003 的安裝光盤上有。（5）軟件不能正常運(yùn)行