许多从工作组转向域管理模式的朋友们都会遇到许多麻烦,突然面对一个陌生的架构而感到无所侍从,在很多论坛社区里朋友们所提到的一些问题,就反映了这个现象。碰巧在CSDN windows 版块遇到了porlam (慢波) 朋友问的一个问题,比较具有代表性,特在这里将回复贴一下。“求教“此工作组的服务器列表当前无法使用”错误怎样处理?”呵呵,从工作组过渡过来的管理员往往都会这么作,比较典型。 首先让我们来了解一下工作组,工作组模式是基于广播来通讯的,工作组中的每台计算机互为服务器,互为客户端。为了保持每台计算机都能够获得工作组中的资源共享列表,每当一台计算机启动或者连入网络或者产生新的共享资源,它都会向当前工作组中所有的计算机发送广播,宣告自己的身份、位置及共享资源等,这个宣告将遵循一定的规则进行选举,以最终确定主浏览服务器,获得该身份的计算机负责维护工作组中的浏览列表,并定期向其他计算机广播。这个规则通常是以OS的版本或者在工作组中担任的角色作为评判标准(关于主浏览服务可以参考 [url]/default.aspx?scid=kb;zh-cn;188001[/url])。但是大家都知道,广播在网络中不稳定的,这就可能导致工作组中的每台计算机所持有的浏览列表各不相同,在导致工作组中的计算机互相访问出现问题的同时(此类问题请参考 [url]/default.aspx?scid=kb;zh-cn;318030[/url]),也会产生更多的广播,这可能导致工作组中的计算机加剧对于主浏览服务器的选举(这样类似的问题请参考 [url]/default.aspx?scid=kb;zh-cn;143153[/url]),进而又加剧了这些问题的出现。
ActiveDirectory活动目录的出现解决了这个问题,由目录服务统一的维护和发布域中的资源,这个资源列表可以使用LDAP进行方便快捷的查询,并可以结合DNS进行定位,这就可以让用户不再需要关心那些资源的物理位置,用户可以以一种逻辑的方式来搜集和整理自己所需要的资源。
相对于工作组那种不稳定的工作模式,ad对于网络管理来说是一个巨大的成功,那么作为管理员应该尽快的适应和使用新的管理模式,而对于工作组的网络邻居访问予以摒弃。
那么在ad中如何发布那些共享资源呢?MS为此推出了一系列的服务,比如printer serverfile server sql serverdns serverwins serverISASMSWSSEXGSPSWSUS 等等,而这些服务都可以一定的形式整合到ad中来,在services container中创建连接点,在与ad整合的dns中创建资源记录。那么下面针对您的描述,给出一些说明。您的这些问题,在很多小型网络环境中经常遇到,也是非常典型的。
Q:其中一台Winxp安装了双网卡,利用其中一只网卡连接ADSL拨号上网,另一只网卡连接局域网的交换机,此机安装Sygate服务共享上网,其他所有电脑都可以正常通过此电脑浏览Internet。
A:作为企业内部的安全关控,不建议让用户直接共享上网,应该实施Proxy Service,而MS对应的产品是ISA ,这个产品比较熟悉,功能也很强大。这个产品您可以浏览 [url]/china/isaserver/[/url]
Q:每一台客户端都分别建立了一个具有本机超级管理员权限的用户,在服务器上添加了相应的只具有普通user权限的用户。
A:在域中,除非有特殊需求,都不应给予用户管理员权限。每个用户所使用的计算机在加入域后,可以使用域帐户登陆到域。通常,域用户在登陆到域后,可能会在软件使用上遇到问题,关于此问题,请参考 [url]/gnaw0725/396833.html[/url] 。但对于企业中大规模部署软件及应用,应该使用SMS,关于这个服务请参考 [url]/china/smserver/[/url]
Q:所有客户端和服务器都只安装了 norton antivirus 8.0 企业版病毒防火墙,全部都没有安装***防火墙。
A:一旦将企业内部网络与外界隔离开,并对于网络出口实施管制,外界***和病毒应该得到有效控制,而企业内部用户只需要部署一些小型的防病毒客户端即可,比如norton antivirus enterprise edition client。norton firewall在安全防范上比较严格,但这也妨碍了dc与client之间的有效通讯,在隔离病毒和***的同时,往往也阻挡了dc的远程控制和策略分发,即便实施winxp firewall,也需要使用策略模板对其行为实施控制,否则,过于严格的防火墙可能切断ad的管理架构。在域中实施防火墙,应该谨慎。
Q:平时客户端登录的时候默认使用本机超级管理员用户登录到域。
A:在计算机加入域后,那么无论是用户还是群组,安全主体通常会区分为两类,一是本地安全性主体,而是域安全性主体,而前者仅作用于本地。本地帐户是不能登陆到域的。之所以会出现使用本地帐户进行本地登陆后,不需要用户参与即可使用网域资源,通常是由于两者的用户名和密码相同。由于此时计算机或者用户并没有登陆到域,那么当前所建立的连接是基于工作组的NTLM验证,而不是域的Kerboers。同样,不应该给予用户管理员权限,这将会导致客户端和网域维护成本的上升。
Q:有时重新启动或注销一次后就可以重新打得开网上邻居里域的计算机列表窗口,有时候重启多少次都不行。
A:这个问题,就是由于工作组工作模式的弊端,原因在前面已经说明。
Q:一般在资源管理器的地址栏中输入“计算机名”不能连接到目标计算机的话,一般重启后就可以了,但域的计算机列表还是无法打开。
A:同上
Q:有时候在资源管理器的地址栏中输入“ip地址”打不开目标计算机,出现“ip地址 无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。目前没有可用的登录服务器处理登录请求。”
A:同上※出现上面“......没有可用的登录服务器处理登录请求”这一错误的时候一般重启服务器就可以消除这个错误同上,如果在域中正确部署了那些服务,并正确的予以登陆、验证,仍旧产生这些问题,那么则可能是由于诸如dns、dns suffix或者是网络参数设置错误以及相关的网络服务尚未可用所致,关于这样的问题debug,请参考 [url]/gnaw0725/632520.html[/url]后话:还有一些从Winnt过渡的朋友,或者习惯于工作组管理的朋友们,也会经常的问到这些问题:
1、如何在ad的网上邻居中,想工作组一样,将那些计算机按组分类放置呢?ad的网上邻居看起来乱糟糟的 。
如同前面我们所讲到的,ad已经脱离了物理的管理模式,取而代之的是逻辑的更为便捷的管理模式,故而对于物理的管理模式予以摒弃。在ad中通过将计算机、用户帐户放置于不同OU及群组中并实施策略,进而将网域中的资源自动分发给用户,用户无需再关心那些资源的物理位置,甚至可以象使用本地资源一样使用它们。而另一方面,管理员可以LDAP查询、DNS资源记录更为方便快捷的管理网域中的资源,而这种定位方式,用户只需简单的演示就可以让自己的工作更为高效。通过这些体验,无论是管理员还是用户,都会感觉到,ad比工作组要好看、好用的多了。关于客户端使用LDAP and DNS定位,请参考 [url]/gnaw0725/999709.html[/url]
2、用户怎样才能共享和搜索共享资源呢?比如共享文件夹、共享打印机?进入ad的管理模式之后,管理员应该真正改变自己的管理模式,以有限的资源提供高效而安全的服务,从而有效的改善用户体验。管理员不应该再高高凌驾于用户之上,而让用户百般等待,当您真的做到这一点的时候,会发现用户有多么的感激,在您向财务部门申请资金的时候,也会减少很多阻力,当然年终绩效考核的时候,自然会为您添上浓重的一笔。
那么作为管理员为什么不把这些共享资源送到用户手边,而让他们自己费时费力的去搜索呢?其实用户也不愿意这么作。我们该如何作呢?通过架设FileServer 和PrintServer,就可以将网域中数据和打印机集中共享出来,然后通过用户登陆脚本直接将这些资源分发给用户,当用户登录后,就会发现这些资源已经可以使用了,真是方便。通过集中共享,一方面能够减少硬件资源,降低成本,另一方面可以为这些共享资源提供管控和审核机制,之前在工作组中随意共享的病毒问题、资料数据泄漏问题、成本核算问题、使用记录问题等等都迎刃而解了。
同时还可以利用MSCS、NLB来提高这些共享资源的高可用性,让用户进一步体验到IT部门的优质服务。
关于FileServer架设过程中创建目录及共享的原则,可以参考 [url]/gnaw0725/943717.html[/url]
关于启用审核机制及安全机制 ,可以参考 [url]/china/technet/security/guidance/secmod144.mspx[/url],[url]/default.aspx?scid=kb;zh-cn;315416[/url],[url]/kb/301640/zh-cn[/url],或者采用一些第三方的审核程序 。
关于架构MSCS、NLB,可以参考 [url]/china/technet/prodtechnol/windowsserver/technologies/clustering/newclust.mspx[/url]
关于发布share folder and share printer,可以参考
[url]/default.aspx?scid=kb;zh-cn;234270[/url],[url]/default.aspx?scid=kb;zh-cn;234619[/url],
[url]/forum/itemdisplay.asp?boardid=6&rootid=341773&id=341773[/url],
[url]/gnaw0725/379949.html[/url]
3、客户端的应用及服务无法运作了,用户为之抱怨。
进入ad管理模式之后,用户登陆到域所使用的是domain user帐户,这个帐户在客户端计算机本地的权限基本等同于users受限用户。那么之前用户在管理员权限下所运行的一些应用及服务可能无法正常启动,但您会发现如果客户端的磁盘分区格式如果是FAT32就没有问题。很好,您注意到了一个解决问题的切入点。应用和服务在管理员环境下能够运行,而受限用户无法运作,大多有两种,一是权限,二是策略。另外一些是由于应用和服务自身的设置,例如或者一些第三方的程序。通过查看是否是NTFS,通过执行GPresult,我们就可以很好的切入这个问题。那么通常权限有两种,一是安装目录,二是注册表键、值,三是服务的启动帐户。前者可以在相应的目录上编辑ACL,二者可以通过执行regedt32来编辑注册表键、值的ACL,而后者可以通过诸如services.mscdcomcnfg等修改用户或者用户组来达到目的。通过这些修正,往往可以使这些应用及服务得以运行。具体的操作方式,可以参考。但这些手动调试的方式方法,仅限于个案,大规模的部署,还需要架构SMS或者相应的服务。关于SMS,请参考 [url]/china/smserver/[/url]
gnaw0725注:通常,无论是ITPro还是Programmer,把握一个排查问题的分水岭或者说切入点是很重要的,这也是在工作中所要用心去不断体会积累的。朋友们经常会发现面临一个问题无所适从,或者解决起来事倍功半,那么就是没有把握好这个切入点。比如通过了解问题发生在所有的工作站上还是某些个别的工作站上,往往能够迅速判断问题到底是出在一些服务性的资源上还是仅是一些个案;比如通过查看用户端是否应用了服务端的控制措施,能够判断到底是控制措施出了故障,还是客户端的问题;比如通过查看运行环境是否是NTFS,就能够判断问题是否是因为权限;等等诸如此类。那么如果这个问题之前未曾遇到过,该如何做呢?通过了解整个运作环节和机制,来对整个流程分段排查,如果不能断定某个环节是否正常,那么我们不妨架设这个环节是没有问题的,而对其他环节进行排查,往往在对其他环节的排查过程中,我们能够印证或者推断前面的环节。但尝试一定要有策略性和针对性,否则只能是费时费工而又毫无意义的。
编后:
AD的管理模式,就是让用户不再关心资源的物理位置,尽可能减少客户端之间c2c的传递模式,而转向客户端与服务器之间c2s的通讯模式,那么一方面让数据、应用、服务脱离客户端,另一方面将工作重点转移到管理这些Server及其中的共享资源中来,这无论从灵活的拓展网络架构,还是降低维护成本,或者提高资源及数据安全性、可用性,提高客户满意度,或者提升商业软件及管理人员自身价值等等来说都是至关重要的。这种模式不仅在MS的架构平台上适用,也适用于其他厂商的基础架构,同样也通行于其他行业。但这个模式的实施与方式需要一个过程,同时这个模式也并不能替代P2P所具有的价值。
诚然一个新的事物推出,需要考虑到向前兼容性,需要考虑用户投入使用的成本。但一些基本架构性的变化,对于这些问题 就无法避免了。故而向域管理模式转型过程中必然会遇到各种问题,而面对这些问题就需要作为管理员的我们,需要积极的去思考、求证,通过把握一些规律性的东西,通过了解MS产品架构体系(关于MS产品体系的把握,可以参考郭安定的Webcast [url]/china/technet/webcasts/ondemand/episode.aspx?newsID=msft092104vx[/url]),来达到快速掌握MS产品特性的目的,从而让自己得以提升。在掌握原理并得以成功部署之后,您会发现成倍的提升工作效率是完全可行的。
关于这个转型过程中所遇到的一些典型问题,一时只想到这些,如果朋友们有其他一些代表性的问题,欢迎提出来,我再作些适当补充。同时建议同时建议大家,多关注Technet,多参加Webcast,比如之前的从管理和运营的角度看IT 系列,对于开拓管理员的视野,以及提升管理员价值,提升服务品质,提升用户体验都很有助力。在Webcast之后提交反馈调查表时,大家可以将自己感兴趣的产品以及了解MS产品的方式勾选上,MS相当注重您的选择,Technet将会适时的以各种形式将您所关注的资料送到您的手中。记得之前Technet发出的关于构建安全机制和构建企业IT基础架构等小册子都很不错。
