向域管理轉型所遇到的問題- -
許多從工作組轉向域管理模式的朋友們都會遇到許多麻煩,突然面對一個陌生的架構而感到無所侍從,在很多論壇社群裡朋友們所提到的一些問題,就反映了這個現象。碰巧在CSDN windows 版塊遇到了porlam (慢波) 朋友問的一個問題,比較具有代表性,特在這裡将回複貼一下。“求教“此工作組的伺服器清單目前無法使用”錯誤怎樣處理?”
呵呵,從工作組過渡過來的管理者往往都會這麼作,比較典型。
首先讓我們來了解一下工作組,工作組模式是基于廣播來通訊的,工作組中的每台計算機互為伺服器,互為用戶端。為了保持每台計算機都能夠獲得工作組中的資源共享清單,每當一台計算機啟動或者連入網絡或者産生新的共享資源,它都會向目前工作組中所有的計算機發送廣播,宣告自己的身份、位置及共享資源等,這個宣告将遵循一定的規則進行選舉,以最終确定主浏覽伺服器,獲得該身份的計算機負責維護工作組中的浏覽清單,并定期向其他計算機廣播。這個規則通常是以OS的版本或者在工作組中擔任的角色作為評判标準(關于主浏覽服務可以參考 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;188001)。但是大家都知道,廣播在網絡中不穩定的,這就可能導緻工作組中的每台計算機所持有的浏覽清單各不相同,在導緻工作組中的計算機互相通路出現問題的同時(此類問題請參考 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;318030),也會産生更多的廣播,這可能導緻工作組中的計算機加劇對于主浏覽伺服器的選舉(這樣類似的問題請參考 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;143153),進而又加劇了這些問題的出現。
ActiveDirectory活動目錄的出現解決了這個問題,由目錄服務統一的維護和釋出域中的資源,這個資源清單可以使用LDAP進行友善快捷的查詢,并可以結合DNS進行定位,這就可以讓使用者不再需要關心那些資源的實體位置,使用者可以以一種邏輯的方式來搜集和整理自己所需要的資源。
相對于工作組那種不穩定的工作模式,ad對于網絡管理來說是一個巨大的成功,那麼作為管理者應該盡快的适應和使用新的管理模式,而對于工作組的網絡鄰居通路予以摒棄。
那麼在ad中如何釋出那些共享資源呢?MS為此推出了一系列的服務,比如printer server\file server \sql server\dns server\wins server\ISA\SMS\WSS\EXG\SPS\WSUS 等等,而這些服務都可以一定的形式整合到ad中來,在services container中建立連接配接點,在與ad整合的dns中建立資源記錄。
那麼下面針對您的描述,給出一些說明。您的這些問題,在很多小型網絡環境中經常遇到,也是非常典型的。
※其中一台Winxp安裝了雙網卡,利用其中一隻網卡連接配接ADSL撥号上網,另一隻網卡連接配接區域網路的交換機,此機安裝Sygate服務共享上網,其他所有電腦都可以正常通過此電腦浏覽Internet。
》作為企業内部的安全關控,不建議讓使用者直接共享上網,應該實施Proxy Service,而MS對應的産品是ISA 2004,這個産品比較熟悉,功能也很強大。這個産品您可以浏覽 http://www.microsoft.com/china/isaserver/
※每一台用戶端都分别建立了一個具有本機超級管理者權限的使用者,在伺服器上添加了相應的隻具有普通user權限的使用者。
》在域中,除非有特殊需求,都不應給予使用者管理者權限。每個使用者所使用的計算機在加入域後,可以使用域帳戶登陸到域。通常,域使用者在登陸到域後,可能會在軟體使用上遇到問題,關于此問題,請參考 http://gnaw0725.blogdriver.com/gnaw0725/396833.html 。但對于企業中大規模部署軟體及應用,應該使用SMS,關于這個服務請參考 http://www.microsoft.com/china/smserver/
※所有用戶端和伺服器都隻安裝了 norton antivirus 8.0 企業版病毒防火牆,全部都沒有安裝木馬防火牆。
》一旦将企業内部網絡與外界隔離開,并對于網絡出口實施管制,外界木馬和病毒應該得到有效控制,而企業内部使用者隻需要部署一些小型的防病毒用戶端即可,比如norton antivirus enterprise edition client。norton firewall在安全防範上比較嚴格,但這也妨礙了dc與client之間的有效通訊,在隔離病毒和木馬的同時,往往也阻擋了dc的遠端控制和政策分發,即便實施winxp firewall,也需要使用政策模闆對其行為實施控制,否則,過于嚴格的防火牆可能切斷ad的管理架構。在域中實施防火牆,應該謹慎。
※平時用戶端登入的時候預設使用本機超級管理者使用者登入到域。
》在計算機加入域後,那麼無論是使用者還是群組,安全主體通常會區分為兩類,一是本地安全性主體,而是域安全性主體,而前者僅作用于本地。本地帳戶是不能登陸到域的。之是以會出現使用本地帳戶進行本地登陸後,不需要使用者參與即可使用網域資源,通常是由于兩者的使用者名和密碼相同。由于此時計算機或者使用者并沒有登陸到域,那麼目前所建立的連接配接是基于工作組的NTLM驗證,而不是域的Kerboers。同樣,不應該給予使用者管理者權限,這将會導緻用戶端和網域維護成本的上升。
※有時重新啟動或登出一次後就可以重新打得開網路上的芳鄰裡域的計算機清單視窗,有時候重新開機多少次都不行。
》這個問題,就是由于工作組工作模式的弊端,原因在前面已經說明。
※一般在資料總管的位址欄中輸入“\\計算機名”不能連接配接到目标計算機的話,一般重新開機後就可以了,但域的計算機清單還是無法打開。
》同上
※有時候在資料總管的位址欄中輸入“\\ip位址”打不開目标計算機,出現“\\ip位址 無法通路。您可能沒有權限使用網絡資源。請與這台伺服器的管理者聯系以查明您是否有通路權限。目前沒有可用的登入伺服器處理登入請求。”
》同上
※出現上面“......沒有可用的登入伺服器處理登入請求”這一錯誤的時候一般重新開機伺服器就可以消除這個錯誤
同上,如果在域中正确部署了那些服務,并正确的予以登陸、驗證,仍舊産生這些問題,那麼則可能是由于諸如dns、dns suffix或者是網絡參數設定錯誤以及相關的網絡服務尚未可用所緻,關于這樣的問題debug,請參考 http://gnaw0725.blogdriver.com/gnaw0725/632520.html
後話:
還有一些從Winnt過渡的朋友,或者習慣于工作組管理的朋友們,也會經常的問到這些問題:
1、如何在ad的網路上的芳鄰中,想工作組一樣,将那些計算機按組分類放置呢?ad的網路上的芳鄰看起來亂糟糟的 。
如同前面我們所講到的,ad已經脫離了實體的管理模式,取而代之的是邏輯的更為便捷的管理模式,故而對于實體的管理模式予以摒棄。在ad中通過将計算機、使用者帳戶放置于不同OU及群組中并實施政策,進而将網域中的資源自動分發給使用者,使用者無需再關心那些資源的實體位置,甚至可以象使用本地資源一樣使用它們。而另一方面,管理者可以LDAP查詢、DNS資源記錄更為友善快捷的管理網域中的資源,而這種定位方式,使用者隻需簡單的示範就可以讓自己的工作更為高效。通過這些體驗,無論是管理者還是使用者,都會感覺到,ad比工作組要好看、好用的多了。關于用戶端使用LDAP and DNS定位,請參考 http://gnaw0725.blogdriver.com/gnaw0725/999709.html
2、使用者怎樣才能共享和搜尋共享資源呢?比如共享檔案夾、共享列印機?
進入ad的管理模式之後,管理者應該真正改變自己的管理模式,以有限的資源提供高效而安全的服務,進而有效的改善使用者體驗。管理者不應該再高高淩駕于使用者之上,而讓使用者百般等待,當您真的做到這一點的時候,會發現使用者有多麼的感激,在您向财務部門申請資金的時候,也會減少很多阻力,當然年終績效考核的時候,自然會為您添上濃重的一筆。
那麼作為管理者為什麼不把這些共享資源送到使用者手邊,而讓他們自己費時費力的去搜尋呢?其實使用者也不願意這麼作。我們該如何作呢?通過架設FileServer 和PrintServer,就可以将網域中資料和列印機集中共享出來,然後通過使用者登陸腳本直接将這些資源分發給使用者,當使用者登入後,就會發現這些資源已經可以使用了,真是友善。通過集中共享,一方面能夠減少硬體資源,降低成本,另一方面可以為這些共享資源提供管控和稽核機制,之前在工作組中随意共享的病毒問題、資料資料洩漏問題、成本核算問題、使用記錄問題等等都迎刃而解了。
同時還可以利用MSCS、NLB來提高這些共享資源的高可用性,讓使用者進一步體驗到IT部門的優質服務。
關于FileServer架設過程中建立目錄及共享的原則,可以參考 http://gnaw0725.blogdriver.com/gnaw0725/943717.html
關于啟用稽核機制及安全機制 ,可以參考 http://www.microsoft.com/china/technet/security/guidance/secmod144.mspx,http://support.microsoft.com/default.aspx?scid=kb;zh-cn;315416,http://support.microsoft.com/kb/301640/zh-cn ,或者采用一些第三方的稽核程式 。
關于架構MSCS、NLB,可以參考 http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/clustering/newclust.mspx
關于釋出share folder and share printer,可以參考 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;234270,http://support.microsoft.com/default.aspx?scid=kb;zh-cn;234619,http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=6&rootid=341773&id=341773,http://gnaw0725.blogdriver.com/gnaw0725/379949.html
3、用戶端的應用及服務無法運作了,使用者為之抱怨。
進入ad管理模式之後,使用者登陸到域所使用的是domain user帳戶,這個帳戶在用戶端計算機本地的權限基本等同于users受限使用者。那麼之前使用者在管理者權限下所運作的一些應用及服務可能無法正常啟動,但您會發現如果用戶端的磁盤分區格式如果是FAT32就沒有問題。很好,您注意到了一個解決問題的切入點。應用和服務在管理者環境下能夠運作,而受限使用者無法運作,大多有兩種,一是權限,二是政策。另外一些是由于應用和服務自身的設定,例如ASP.NET或者一些第三方的程式。通過檢視是否是NTFS,通過執行GPresult,我們就可以很好的切入這個問題。那麼通常權限有兩種,一是安裝目錄,二是系統資料庫鍵、值,三是服務的啟動帳戶。前者可以在相應的目錄上編輯ACL,二者可以通過執行regedt32來編輯系統資料庫鍵、值的ACL,而後者可以通過諸如services.msc\dcomcnfg等修改使用者或者使用者組來達到目的。通過這些修正,往往可以使這些應用及服務得以運作。具體的操作方式,可以參考。但這些手動調試的方式方法,僅限于個案,大規模的部署,還需要架構SMS或者相應的服務。關于SMS,請參考 http://www.microsoft.com/china/smserver/
gnaw0725注:通常,無論是ITPro還是Programmer,把握一個排查問題的分水嶺或者說切入點是很重要的,這也是在工作中所要用心去不斷體會積累的。朋友們經常會發現面臨一個問題無所适從,或者解決起來事倍功半,那麼就是沒有把握好這個切入點。比如通過了解問題發生在所有的工作站上還是某些個别的工作站上,往往能夠迅速判斷問題到底是出在一些服務性的資源上還是僅是一些個案;比如通過檢視使用者端是否應用了服務端的控制措施,能夠判斷到底是控制措施出了故障,還是用戶端的問題;比如通過檢視運作環境是否是NTFS,就能夠判斷問題是否是因為權限;等等諸如此類。那麼如果這個問題之前未曾遇到過,該如何做呢?通過了解整個運作環節和機制,來對整個流程分段排查,如果不能斷定某個環節是否正常,那麼我們不妨架設這個環節是沒有問題的,而對其他環節進行排查,往往在對其他環節的排查過程中,我們能夠印證或者推斷前面的環節。但嘗試一定要有政策性和針對性,否則隻能是費時費工而又毫無意義的。
編後:
AD的管理模式,就是讓使用者不再關心資源的實體位置,盡可能減少用戶端之間c2c的傳遞模式,而轉向用戶端與伺服器之間c2s的通訊模式,那麼一方面讓資料、應用、服務脫離用戶端,另一方面将工作重點轉移到管理這些Server及其中的共享資源中來,這無論從靈活的拓展網絡架構,還是降低維護成本,或者提高資源及資料安全性、可用性,提高客戶滿意度,或者提升商業軟體及管理人員自身價值等等來說都是至關重要的。這種模式不僅在MS的架構平台上适用,也适用于其他廠商的基礎架構,同樣也通行于其他行業。但這個模式的實施與方式需要一個過程,同時這個模式也并不能替代P2P所具有的價值。
誠然一個新的事物推出,需要考慮到向前相容性,需要考慮使用者投入使用的成本。但一些基本架構性的變化,對于這些問題 就無法避免了。故而向域管理模式轉型過程中必然會遇到各種問題,而面對這些問題就需要作為管理者的我們,需要積極的去思考、求證,通過把握一些規律性的東西,通過了解MS産品架構體系(關于MS産品體系的把握,可以參考郭安定的Webcast http://www.microsoft.com/china/technet/webcasts/ondemand/episode.aspx?newsID=msft092104vx),來達到快速掌握MS産品特性的目的,進而讓自己得以提升。在掌握原理并得以成功部署之後,您會發現成倍的提升工作效率是完全可行的。
關于這個轉型過程中所遇到的一些典型問題,一時隻想到這些,如果朋友們有其他一些代表性的問題,歡迎提出來,我再作些适當補充。同時建議同時建議大家,多關注Technet,多參加Webcast,比如之前的從管理和營運的角度看IT 系列,對于開拓管理者的視野,以及提升管理者價值,提升服務品質,提升使用者體驗都很有助力。在Webcast之後送出回報調查表時,大家可以将自己感興趣的産品以及了解MS産品的方式勾選上,MS相當注重您的選擇,Technet将會适時的以各種形式将您所關注的資料送到您的手中。記得之前Technet發出的關于建構安全機制和建構企業IT基礎架構等小冊子都很不錯。
轉自:http://gnaw0725.blogdriver.com/gnaw0725/1116686.html
http://forum.51nb.com/index.php
