許多從工作組轉向域管理模式的朋友們都會遇到許多麻煩,突然面對一個陌生的架構而感到無所侍從,在很多論壇社區裏朋友們所提到的一些問題,就反映了這個現象。碰巧在CSDN windows 版塊遇到了porlam (慢波) 朋友問的一個問題,比較具有代表性,特在這裏將回復貼一下。“求教“此工作組的服務器列表當前無法使用”錯誤怎樣處理?”
呵呵,從工作組過渡過來的管理員往往都會這麼作,比較典型。
首先讓我們來了解一下工作組,工作組模式是基於廣播來通訊的,工作組中的每臺計算機互爲服務器,互爲客戶端。爲了保持每臺計算機都能夠獲得工作組中的資源共享列表,每當一臺計算機啓動或者連入網絡或者產生新的共享資源,它都會向當前工作組中所有的計算機發送廣播,宣告自己的身份、位置及共享資源等,這個宣告將遵循一定的規則進行選舉,以最終確定主瀏覽服務器,獲得該身份的計算機負責維護工作組中的瀏覽列表,並定期向其他計算機廣播。這個規則通常是以OS的版本或者在工作組中擔任的角色作爲評判標準(關於主瀏覽服務可以參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;188001[/url])。但是大家都知道,廣播在網絡中不穩定的,這就可能導致工作組中的每臺計算機所持有的瀏覽列表各不相同,在導致工作組中的計算機互相訪問出現問題的同時(此類問題請參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;318030[/url]),也會產生更多的廣播,這可能導致工作組中的計算機加劇對於主瀏覽服務器的選舉(這樣類似的問題請參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;143153[/url]),進而又加劇了這些問題的出現。
ActiveDirectory活動目錄的出現解決了這個問題,由目錄服務統一的維護和發佈域中的資源,這個資源列表可以使用LDAP進行方便快捷的查詢,並可以結合DNS進行定位,這就可以讓用戶不再需要關心那些資源的物理位置,用戶可以以一種邏輯的方式來蒐集和整理自己所需要的資源。
相對於工作組那種不穩定的工作模式,ad對於網絡管理來說是一個巨大的成功,那麼作爲管理員應該儘快的適應和使用新的管理模式,而對於工作組的網絡鄰居訪問予以摒棄。
那麼在ad中如何發佈那些共享資源呢?MS爲此推出了一系列的服務,比如printer server\file server \sql server\dns server\wins server\ISA\SMS\WSS\EXG\SPS\WSUS 等等,而這些服務都可以一定的形式整合到ad中來,在services container中創建連接點,在與ad整合的dns中創建資源記錄。
首先讓我們來了解一下工作組,工作組模式是基於廣播來通訊的,工作組中的每臺計算機互爲服務器,互爲客戶端。爲了保持每臺計算機都能夠獲得工作組中的資源共享列表,每當一臺計算機啓動或者連入網絡或者產生新的共享資源,它都會向當前工作組中所有的計算機發送廣播,宣告自己的身份、位置及共享資源等,這個宣告將遵循一定的規則進行選舉,以最終確定主瀏覽服務器,獲得該身份的計算機負責維護工作組中的瀏覽列表,並定期向其他計算機廣播。這個規則通常是以OS的版本或者在工作組中擔任的角色作爲評判標準(關於主瀏覽服務可以參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;188001[/url])。但是大家都知道,廣播在網絡中不穩定的,這就可能導致工作組中的每臺計算機所持有的瀏覽列表各不相同,在導致工作組中的計算機互相訪問出現問題的同時(此類問題請參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;318030[/url]),也會產生更多的廣播,這可能導致工作組中的計算機加劇對於主瀏覽服務器的選舉(這樣類似的問題請參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;143153[/url]),進而又加劇了這些問題的出現。
ActiveDirectory活動目錄的出現解決了這個問題,由目錄服務統一的維護和發佈域中的資源,這個資源列表可以使用LDAP進行方便快捷的查詢,並可以結合DNS進行定位,這就可以讓用戶不再需要關心那些資源的物理位置,用戶可以以一種邏輯的方式來蒐集和整理自己所需要的資源。
相對於工作組那種不穩定的工作模式,ad對於網絡管理來說是一個巨大的成功,那麼作爲管理員應該儘快的適應和使用新的管理模式,而對於工作組的網絡鄰居訪問予以摒棄。
那麼在ad中如何發佈那些共享資源呢?MS爲此推出了一系列的服務,比如printer server\file server \sql server\dns server\wins server\ISA\SMS\WSS\EXG\SPS\WSUS 等等,而這些服務都可以一定的形式整合到ad中來,在services container中創建連接點,在與ad整合的dns中創建資源記錄。
那麼下面針對您的描述,給出一些說明。您的這些問題,在很多小型網絡環境中經常遇到,也是非常典型的。
※其中一臺Winxp安裝了雙網卡,利用其中一隻網卡連接ADSL撥號上網,另一隻網卡連接局域網的交換機,此機安裝Sygate服務共享上網,其他所有電腦都可以正常通過此電腦瀏覽Internet。
》作爲企業內部的安全關控,不建議讓用戶直接共享上網,應該實施Proxy Service,而MS對應的產品是ISA 2004,這個產品比較熟悉,功能也很強大。這個產品您可以瀏覽 [url]http://www.microsoft.com/china/isaserver/[/url]
※每一臺客戶端都分別建立了一個具有本機超級管理員權限的用戶,在服務器上添加了相應的只具有普通user權限的用戶。
》在域中,除非有特殊需求,都不應給予用戶管理員權限。每個用戶所使用的計算機在加入域後,可以使用域帳戶登陸到域。通常,域用戶在登陸到域後,可能會在軟件使用上遇到問題,關於此問題,請參考 [url]http://gnaw0725.blogdriver.com/gnaw0725/396833.html[/url] 。但對於企業中大規模部署軟件及應用,應該使用SMS,關於這個服務請參考 [url]http://www.microsoft.com/china/smserver/[/url]
※所有客戶端和服務器都只安裝了 norton antivirus 8.0 企業版病毒防火牆,全部都沒有安裝***防火牆。
》一旦將企業內部網絡與外界隔離開,並對於網絡出口實施管制,外界***和病毒應該得到有效控制,而企業內部用戶只需要部署一些小型的防病毒客戶端即可,比如norton antivirus enterprise edition client。norton firewall在安全防範上比較嚴格,但這也妨礙了dc與client之間的有效通訊,在隔離病毒和***的同時,往往也阻擋了dc的遠程控制和策略分發,即便實施winxp firewall,也需要使用策略模板對其行爲實施控制,否則,過於嚴格的防火牆可能切斷ad的管理架構。在域中實施防火牆,應該謹慎。
※平時客戶端登錄的時候默認使用本機超級管理員用戶登錄到域。
》在計算機加入域後,那麼無論是用戶還是羣組,安全主體通常會區分爲兩類,一是本地安全性主體,而是域安全性主體,而前者僅作用於本地。本地帳戶是不能登陸到域的。之所以會出現使用本地帳戶進行本地登陸後,不需要用戶參與即可使用網域資源,通常是由於兩者的用戶名和密碼相同。由於此時計算機或者用戶並沒有登陸到域,那麼當前所建立的連接是基於工作組的NTLM驗證,而不是域的Kerboers。同樣,不應該給予用戶管理員權限,這將會導致客戶端和網域維護成本的上升。
※有時重新啓動或註銷一次後就可以重新打得開網上鄰居里域的計算機列表窗口,有時候重啓多少次都不行。
》這個問題,就是由於工作組工作模式的弊端,原因在前面已經說明。
※一般在資源管理器的地址欄中輸入“\\計算機名”不能連接到目標計算機的話,一般重啓後就可以了,但域的計算機列表還是無法打開。
》同上
※有時候在資源管理器的地址欄中輸入“\\ip地址”打不開目標計算機,出現“\\ip地址 無法訪問。您可能沒有權限使用網絡資源。請與這臺服務器的管理員聯繫以查明您是否有訪問權限。目前沒有可用的登錄服務器處理登錄請求。”
》同上
※出現上面“......沒有可用的登錄服務器處理登錄請求”這一錯誤的時候一般重啓服務器就可以消除這個錯誤
同上,如果在域中正確部署了那些服務,並正確的予以登陸、驗證,仍舊產生這些問題,那麼則可能是由於諸如dns、dns suffix或者是網絡參數設置錯誤以及相關的網絡服務尚未可用所致,關於這樣的問題debug,請參考 [url]http://gnaw0725.blogdriver.com/gnaw0725/632520.html[/url]
後話:
還有一些從Winnt過渡的朋友,或者習慣於工作組管理的朋友們,也會經常的問到這些問題:
1、如何在ad的網上鄰居中,想工作組一樣,將那些計算機按組分類放置呢?ad的網上鄰居看起來亂糟糟的 。
如同前面我們所講到的,ad已經脫離了物理的管理模式,取而代之的是邏輯的更爲便捷的管理模式,故而對於物理的管理模式予以摒棄。在ad中通過將計算機、用戶帳戶放置於不同OU及羣組中並實施策略,進而將網域中的資源自動分發給用戶,用戶無需再關心那些資源的物理位置,甚至可以象使用本地資源一樣使用它們。而另一方面,管理員可以LDAP查詢、DNS資源記錄更爲方便快捷的管理網域中的資源,而這種定位方式,用戶只需簡單的演示就可以讓自己的工作更爲高效。通過這些體驗,無論是管理員還是用戶,都會感覺到,ad比工作組要好看、好用的多了。關於客戶端使用LDAP and DNS定位,請參考 [url]http://gnaw0725.blogdriver.com/gnaw0725/999709.html[/url]
2、用戶怎樣才能共享和搜索共享資源呢?比如共享文件夾、共享打印機?
進入ad的管理模式之後,管理員應該真正改變自己的管理模式,以有限的資源提供高效而安全的服務,從而有效的改善用戶體驗。管理員不應該再高高凌駕於用戶之上,而讓用戶百般等待,當您真的做到這一點的時候,會發現用戶有多麼的感激,在您向財務部門申請資金的時候,也會減少很多阻力,當然年終績效考覈的時候,自然會爲您添上濃重的一筆。
那麼作爲管理員爲什麼不把這些共享資源送到用戶手邊,而讓他們自己費時費力的去搜索呢?其實用戶也不願意這麼作。我們該如何作呢?通過架設FileServer 和PrintServer,就可以將網域中數據和打印機集中共享出來,然後通過用戶登陸腳本直接將這些資源分發給用戶,當用戶登錄後,就會發現這些資源已經可以使用了,真是方便。通過集中共享,一方面能夠減少硬件資源,降低成本,另一方面可以爲這些共享資源提供管控和審覈機制,之前在工作組中隨意共享的病毒問題、資料數據泄漏問題、成本覈算問題、使用記錄問題等等都迎刃而解了。
同時還可以利用MSCS、NLB來提高這些共享資源的高可用性,讓用戶進一步體驗到IT部門的優質服務。
關於FileServer架設過程中創建目錄及共享的原則,可以參考 [url]http://gnaw0725.blogdriver.com/gnaw0725/943717.html[/url]
關於啓用審覈機制及安全機制 ,可以參考 [url]http://www.microsoft.com/china/technet/security/guidance/secmod144.mspx[/url],[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;315416[/url],[url]http://support.microsoft.com/kb/301640/zh-cn[/url] ,或者採用一些第三方的審覈程序 。
關於架構MSCS、NLB,可以參考 [url]http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/clustering/newclust.mspx[/url]
關於發佈share folder and share printer,可以參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;234270[/url],[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;234619[/url],[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=6&rootid=341773&id=341773[/url],[url]http://gnaw0725.blogdriver.com/gnaw0725/379949.html[/url]
那麼作爲管理員爲什麼不把這些共享資源送到用戶手邊,而讓他們自己費時費力的去搜索呢?其實用戶也不願意這麼作。我們該如何作呢?通過架設FileServer 和PrintServer,就可以將網域中數據和打印機集中共享出來,然後通過用戶登陸腳本直接將這些資源分發給用戶,當用戶登錄後,就會發現這些資源已經可以使用了,真是方便。通過集中共享,一方面能夠減少硬件資源,降低成本,另一方面可以爲這些共享資源提供管控和審覈機制,之前在工作組中隨意共享的病毒問題、資料數據泄漏問題、成本覈算問題、使用記錄問題等等都迎刃而解了。
同時還可以利用MSCS、NLB來提高這些共享資源的高可用性,讓用戶進一步體驗到IT部門的優質服務。
關於FileServer架設過程中創建目錄及共享的原則,可以參考 [url]http://gnaw0725.blogdriver.com/gnaw0725/943717.html[/url]
關於啓用審覈機制及安全機制 ,可以參考 [url]http://www.microsoft.com/china/technet/security/guidance/secmod144.mspx[/url],[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;315416[/url],[url]http://support.microsoft.com/kb/301640/zh-cn[/url] ,或者採用一些第三方的審覈程序 。
關於架構MSCS、NLB,可以參考 [url]http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/clustering/newclust.mspx[/url]
關於發佈share folder and share printer,可以參考 [url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;234270[/url],[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;234619[/url],[url]http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=6&rootid=341773&id=341773[/url],[url]http://gnaw0725.blogdriver.com/gnaw0725/379949.html[/url]
3、客戶端的應用及服務無法運作了,用戶爲之抱怨。
進入ad管理模式之後,用戶登陸到域所使用的是domain user帳戶,這個帳戶在客戶端計算機本地的權限基本等同於users受限用戶。那麼之前用戶在管理員權限下所運行的一些應用及服務可能無法正常啓動,但您會發現如果客戶端的磁盤分區格式如果是FAT32就沒有問題。很好,您注意到了一個解決問題的切入點。應用和服務在管理員環境下能夠運行,而受限用戶無法運作,大多有兩種,一是權限,二是策略。另外一些是由於應用和服務自身的設置,例如ASP.NET或者一些第三方的程序。通過查看是否是NTFS,通過執行GPresult,我們就可以很好的切入這個問題。那麼通常權限有兩種,一是安裝目錄,二是註冊表鍵、值,三是服務的啓動帳戶。前者可以在相應的目錄上編輯ACL,二者可以通過執行regedt32來編輯註冊表鍵、值的ACL,而後者可以通過諸如services.msc\dcomcnfg等修改用戶或者用戶組來達到目的。通過這些修正,往往可以使這些應用及服務得以運行。具體的操作方式,可以參考。但這些手動調試的方式方法,僅限於個案,大規模的部署,還需要架構SMS或者相應的服務。關於SMS,請參考 [url]http://www.microsoft.com/china/smserver/[/url]
gnaw0725注:通常,無論是ITPro還是Programmer,把握一個排查問題的分水嶺或者說切入點是很重要的,這也是在工作中所要用心去不斷體會積累的。朋友們經常會發現面臨一個問題無所適從,或者解決起來事倍功半,那麼就是沒有把握好這個切入點。比如通過了解問題發生在所有的工作站上還是某些個別的工作站上,往往能夠迅速判斷問題到底是出在一些服務性的資源上還是僅是一些個案;比如通過查看用戶端是否應用了服務端的控制措施,能夠判斷到底是控制措施出了故障,還是客戶端的問題;比如通過查看運行環境是否是NTFS,就能夠判斷問題是否是因爲權限;等等諸如此類。那麼如果這個問題之前未曾遇到過,該如何做呢?通過了解整個運作環節和機制,來對整個流程分段排查,如果不能斷定某個環節是否正常,那麼我們不妨架設這個環節是沒有問題的,而對其他環節進行排查,往往在對其他環節的排查過程中,我們能夠印證或者推斷前面的環節。但嘗試一定要有策略性和針對性,否則只能是費時費工而又毫無意義的。
編後:
AD的管理模式,就是讓用戶不再關心資源的物理位置,儘可能減少客戶端之間c2c的傳遞模式,而轉向客戶端與服務器之間c2s的通訊模式,那麼一方面讓數據、應用、服務脫離客戶端,另一方面將工作重點轉移到管理這些Server及其中的共享資源中來,這無論從靈活的拓展網絡架構,還是降低維護成本,或者提高資源及數據安全性、可用性,提高客戶滿意度,或者提升商業軟件及管理人員自身價值等等來說都是至關重要的。這種模式不僅在MS的架構平臺上適用,也適用於其他廠商的基礎架構,同樣也通行於其他行業。但這個模式的實施與方式需要一個過程,同時這個模式也並不能替代P2P所具有的價值。
誠然一個新的事物推出,需要考慮到向前兼容性,需要考慮用戶投入使用的成本。但一些基本架構性的變化,對於這些問題 就無法避免了。故而向域管理模式轉型過程中必然會遇到各種問題,而面對這些問題就需要作爲管理員的我們,需要積極的去思考、求證,通過把握一些規律性的東西,通過了解MS產品架構體系(關於MS產品體系的把握,可以參考郭安定的Webcast [url]http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft092104vx[/url]),來達到快速掌握MS產品特性的目的,從而讓自己得以提升。在掌握原理並得以成功部署之後,您會發現成倍的提升工作效率是完全可行的。
關於這個轉型過程中所遇到的一些典型問題,一時只想到這些,如果朋友們有其他一些代表性的問題,歡迎提出來,我再作些適當補充。同時建議同時建議大家,多關注Technet,多參加Webcast,比如之前的從管理和運營的角度看IT 系列,對於開拓管理員的視野,以及提升管理員價值,提升服務品質,提升用戶體驗都很有助力。在Webcast之後提交反饋調查表時,大家可以將自己感興趣的產品以及瞭解MS產品的方式勾選上,MS相當注重您的選擇,Technet將會適時的以各種形式將您所關注的資料送到您的手中。記得之前Technet發出的關於構建安全機制和構建企業IT基礎架構等小冊子都很不錯。
AD的管理模式,就是讓用戶不再關心資源的物理位置,儘可能減少客戶端之間c2c的傳遞模式,而轉向客戶端與服務器之間c2s的通訊模式,那麼一方面讓數據、應用、服務脫離客戶端,另一方面將工作重點轉移到管理這些Server及其中的共享資源中來,這無論從靈活的拓展網絡架構,還是降低維護成本,或者提高資源及數據安全性、可用性,提高客戶滿意度,或者提升商業軟件及管理人員自身價值等等來說都是至關重要的。這種模式不僅在MS的架構平臺上適用,也適用於其他廠商的基礎架構,同樣也通行於其他行業。但這個模式的實施與方式需要一個過程,同時這個模式也並不能替代P2P所具有的價值。
誠然一個新的事物推出,需要考慮到向前兼容性,需要考慮用戶投入使用的成本。但一些基本架構性的變化,對於這些問題 就無法避免了。故而向域管理模式轉型過程中必然會遇到各種問題,而面對這些問題就需要作爲管理員的我們,需要積極的去思考、求證,通過把握一些規律性的東西,通過了解MS產品架構體系(關於MS產品體系的把握,可以參考郭安定的Webcast [url]http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft092104vx[/url]),來達到快速掌握MS產品特性的目的,從而讓自己得以提升。在掌握原理並得以成功部署之後,您會發現成倍的提升工作效率是完全可行的。
關於這個轉型過程中所遇到的一些典型問題,一時只想到這些,如果朋友們有其他一些代表性的問題,歡迎提出來,我再作些適當補充。同時建議同時建議大家,多關注Technet,多參加Webcast,比如之前的從管理和運營的角度看IT 系列,對於開拓管理員的視野,以及提升管理員價值,提升服務品質,提升用戶體驗都很有助力。在Webcast之後提交反饋調查表時,大家可以將自己感興趣的產品以及瞭解MS產品的方式勾選上,MS相當注重您的選擇,Technet將會適時的以各種形式將您所關注的資料送到您的手中。記得之前Technet發出的關於構建安全機制和構建企業IT基礎架構等小冊子都很不錯。
--------轉自三月鳥社區