文心春萌 - 服务器

禁用windows server 2008 域密码复杂性要求策略

peijialai@qingdaotse.com (文心春萌) — Tue, 07 Jul 2009 08:47:58 +0800

在windows server 2008 里禁用密码复杂性要求，基本设置和windows server 2003是一样的。具体步骤如下：
1.Start–Programs–Administrative Tools–Group Policy Management 展开组策略管理器
选择–Forest–Domains–Group Policy Objects–Default Domain Policy，右键选择Edit,点击:
Computer Configuration–Policies–Windows Settings–Security Settings–Password
Policy
2.设置以下几项：
Password must meet complexity requirements（密码必须符合复杂性要求) 设置为disabled
Minimun password length(最小密码长度) 设置为0，如果默认用6，则新的密码不能少于6位
以下两个可选
Minimum password age（密码最短使用期限）改为0，默认是1，也就是说你两个不同密码设置间隔必须是1天
Enforce password history (强制密码历史) 改为0
，默认在域控上时24，独立服务器为0，设置24就是表示设置24次密码不能重复，目的是为了防止用户使用旧密码从而降低系统安全性。
强制密码历史和密码最短使用期限结合使用，要使强制密码历史有效，比如将密码最短使用期限设置为0以上，
设置完成后，在start–run 运行cmd,输入：gpupdate /force 强制刷新组策略，刷新完成后即可重设一个简单密码。

windows server 2008 的几点优化设置

peijialai@qingdaotse.com (文心春萌) — Mon, 30 Mar 2009 08:50:19 +0800

1、关闭事件跟踪

依次双击：计算机配置——管理模板——系统——显示“关机事件跟踪程序”——勾选“已禁用”

2、无须按ctrl+alt+del直接进系统

依次双击：计算机配置——windows配置——安全设置——本地策略——安全选项——交互式登录：无须按ctrl+alt+del——勾选“已启用”

3、每次开机都要手动输入登录密码你或许觉得不爽，那么我们来让WIN2008自动登录。

在运行框中键入“rundll32 netplwiz.dll,UsersRunDll”开始用户帐号管理界面，将“要使用本机，用户必须输入用户名和密码”前面的勾去掉，点“应用”，在接下来的选框中键入你的管理员密码（就是第一次安装完毕提示你创建的管理员密码）后，点确定就OK了。
觉得卡或者玩游戏时画面一闪就没了,或者干脆就没有游戏的开机玏面，来，一起配置我们的WIN2008。右键单击”计算机“，依次点选①属性——高级系统配置——性能设置——高级——调整以优化性能——程序（因为是服务器操作系统，默是为系统后台服务的）。②.”数据执行保护——仅为基本Windows程序和服务启用 DEP"

4、优化完后，开始设置我们的系统吧，点击快速运行栏的“服务器管理器”，开启服务器管理器。
a.勾选“登录时不要显示此控制台”
b.点击“配置IE ESC”，将对“管理员”和“用户”设置成“禁用”
c.点击“添加功能”进入添加功能界面，勾选“.NET Framework 3.0功能”，“高质量Windows音频视频体验”，“简单TCP/IP服务”，“桌面体验”（如果想打开AERO玻璃效果，还要勾选“Windows PowerShell")后点击安装，安装完后提示需要重启，重启复查安装成功后，一个适合家用的稳定WINDOWS SERVER 2008系统就呈现在你面前了。

5、WIN2008和Windows vista一样，默认会在“本地连接”上捆绑很多的协议，给其带来不必要的负担。事实上，根据网络原理，网卡上捆绑的协议越少，越容易做到“轻装上阵”，迅雷下载的速度自然也会快出许多。打开Windows 2008“控制面板”，双击“网络和共享中心”，在打开窗口中单击左侧的“管理网络连接”，在打开窗口中右击“本地连接”，选择“属性”，再在打开窗口中取消相应的协议即可。一般来说，“QoS 数据包计划程序”和“Internet 协议版本 6(TCP/IPv6)”可以取消掉，因为目前国内国际看来，用IP V6协议的还很少。如果只是上互联网而不访问特殊的网络，也可以去掉“链路层拓扑发现映射器I/O 驱动程序 ”和“Link-Layer Topology Discovery Responder”。如果不在局域网里共享文件，可以去除“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”。但是为了上网，现在“Internet 协议版本 4(TCP/IPv4)”一定不能去掉。

配置ISA Server 2004日志使用SQL Server

peijialai@qingdaotse.com (文心春萌) — Thu, 12 Mar 2009 23:29:50 +0800

前天觉得日志文件增长太快了，决定把日志放到Sqlserver服务器里面去
一、首先，从isaserver光盘里面找到两个.sql文件fwsrv.sql和w3proxy.sql，在光盘目录的\fpc\program
files\microsoft
isa server,然后在sqlserver的企业管理器里面新建一个数据库，库名随意；

用查询分析器执行这两个sql文件后会生成两个表，一个用来储存防火墙日志，另外一个储存web代理日志

二、在sqlserver里面新建一个登陆，在日志那个数据库里面设置这个登陆对刚才生成的两个表的具有insert,select两个权限，其它权限并不需要

三、在isasever服务器上_odbc-系统dsn-新建一个数据源连接到sqlsever，在isa管理界面设置日志使用sqlserver

在ISA2004的日志选项卡的右边的任务栏有个配置防火墙日志

设置帐目的按钮里面设置登陆数据库的用户名和密码，重新启动ISA2004,OK了

How to : 如何配置ISA Server 的网络环境

peijialai@qingdaotse.com (文心春萌) — Thu, 12 Mar 2009 23:28:11 +0800

很多朋友提出在他的网络环境中是否有必要安装ISA、是否可以安装ISA、安装前ISA保护的内部网络中的客户如何进行配置、安装后的访问规则如何设置等问题，我在这篇文章阐述一下。
ISA Server
2004是目前世界上最好的路由级软件防火墙，它可以让你的企业内部网络安全、快速的连接到Internet，性能可以和硬件防火墙媲美，并且深层次的应用层识别功能是目前很多基于包过滤的硬件防火墙都不具备的。你可以在网络的任何地方，如两个或多个网络的边缘层（Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等）、单个主机上配置ISA
Server 2004来对你的网络或主机进行防护。
ISA Server
2004对于安装的要求非常低，可以说，目前的服务器对于ISA Server 2004的硬件系统需求都是绰绰有余的，具体的系统要求见“[url=http://www.isacn.org/info/info.php?sessid=&infoid=120]ISA Server
2004标准版安装指南[/url]”一文。
ISA
Server作为一个路由级的软件防火墙，要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等，它并不像其他单机防火墙一样，只需安装一下就可以很好的使用。在安装ISA
Server时，你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和配置，这样才能做到安装ISA
Server后即可很容易的使用，而不会出现客户不能访问外部网络的问题。
再谈谈对在单机上安装ISA
Server 2004的看法。ISA Server 2004可以安装在单网络适配器计算机上，它将会自动配置为Cache
only的防火墙，同时，通过ISA Server 2004强大的IDS和应用层识别机制，对本机提供了很好的防护。但是，ISA Server
2004的核心是多网络，它最适合的配置环境是作为网络边缘的防火墙；并且作为单机防火墙，它太过于庞大了，这样会为服务器带来不必要的性能消耗。所以，我不推荐在单机上安装ISA
Server 2004。对于单机防火墙，我推荐Sygate Personal Firewall Pro（SPF
Pro）、Zonealarm、Blackice等，它们都是非常好的单机防火墙。不过对于需要提供服务的主机，最好安装Zonealarm或者Blackice，SPF
Pro因为太过于强大，反而不适合作为服务器使用。对于基于IIS的Web服务器，你还可以安装IISLockdown和UrlScan工具，这样就可以做到比较安全了。对于单网络适配器的ISA
Server，我会在后面的实例中介绍。
至于安装ISA
Server前内部的客户如何进行配置，我以几个实例来进行介绍：
　
1、边缘防火墙模型
如下图，ISA Server
2004上安装有两个网络适配器，它作为边缘防火墙，让内部客户安全快速的连接到Internet，内部的Lan我以192.168.0.0/24为例，不考虑接入Internet的方式（拨号或固定IP均可）。

ISA Server
2004上的内部网络适配器作为内部客户的默认网关，根据惯例，它的IP地址要么设置为子网最前的IP（如192.168.0.1），或者设置为最末的IP（192.168.0.254），在此我设置为192.168.0.1；对于DNS服务器，只要内部网络中没有域，那么内部可以不建立DNS服务器，不过推荐你建立，具体介绍可以见“建立内部的DNS服务器”一文。在此例中，我们假设外部网卡（或拨号连接）上已经设置了DNS服务器，所以我们在此不设置DNS服务器的IP地址；还有默认网关，内部网卡上切忌不要设置默认网关，因为Windows主机同时只能使用一个默认网关，如果在外部和内部网络适配器上都设置了默认网关，那么ISA
Server可能会出现路由错误。
接下来是客户机的TCP/IP设置和代理设置。SNAT客户和Web代理客户有些区别，防火墙客户兼容SNAT客户和Web代理客户的设置。在身份验证不是必需的情况下，请尽量考虑使用SNAT客户，因为它是标准的网络路由，兼容性是最好的。
SNAT客户的TCP/IP配置要求：
必须和ISA
Server的内部接口在同个子网；在此，我可以使用192.168.0.2/24～192.168.0.254/24；
配置ISA
Server的内部接口为默认网关；此时默认网关是192.168.0.1；
DNS根据你的网络环境来设置，可以使用ISP的DNS服务器或者你自己在内部建立一台DNS服务器；但是，DNS服务器是必需的。
Web代理客户和SNAT客户相比，则要复杂一些：
IP地址必须和ISA
Server的内部接口位于同个子网；在此，我可以使用192.168.0.2/24～192.168.0.254/24；
默认网关和DNS服务器地址都可以不配置；
必须在IE的代理属性中配置ISA
Server的代理，默认是内部接口的8080端口，在此是192.168.0.1:8080；
对于其他需要访问网络的程序，必须设置HTTP代理（ISA Server），否则是不能访问网络；
至于关闭SNAT客户的访问，在ISA
Server的访问规则中不要允许所有用户访问，改为所有通过验证的用户即可。
防火墙客户默认会配置IE为web代理客户，然后对其他不能使用代理的Winsock应用程序进行转换，然后转发到所连接的ISA防火墙。对于防火墙客户，你最好先按照SNAT客户进行设置，然后安装防火墙客户端，安装防火墙客户端后它会自动配置客户为Web代理客户。
在安装ISA
Server时，内部网络配置为192.168.0.0/24。安装好后，你可以根据你的需要，自行配置访问规则。ISA
Server中带了五个网络模型的模板，可以让你只是点几下鼠标就可以设置好访问规则，但是希望你能手动设置规则，这样可以让你有更深的认识，具体操作可以参见ISA中文站其他的文章。
对于ISA
Server的这三种客户更详细的描述，请见“[url=http://www.isacn.org/info/info.php?sessid=&infoid=116]ISA
Server客户端类型[/url]”一文。
下图中是一种特殊的情况，在内部网络中还有其他子网的内部客户。此时，你首先得将这些子网的地址包含在ISA Server的内部网络中，然后在ISA
Server上配置到这些子网的路由，其他的就和单内部网络的配置一致了，具体请参见[url=http://www.isacn.org/info/info.php?sessid=&infoid=145]How
to：在存在多条路由的内部网络中配置ISA Server 2004[/url]一文。

　

2、多网络模型中的边缘防火墙
如下图，我只是简单的设计了一个三周长的多网络模型。ISA Server
2004是专为多网络而设计的，所以，对于这种环境，配置起来非常得心应手。

在这种环境中，LAN（192.168.0.0）的客户和ISA
Server上连接LAN的网络适配器，按照上面的方法进行配置，在此我重点给大家讲解一下DMZ网络的配置。
DMZ中的客户以及ISA
Server上连接DMZ网络的网络适配器，也按照上面的办法进行配置，但是，对于DMZ中的服务器，请配置为SNAT客户，这样可以得到最好的性能，配置为Web代理客户可能会让它不能正常工作，配置为防火墙客户会导致它性能的降低。
在安装ISA
Server时，内部网络只是选择192.168.0.0，安装好后，在ISA管理控制台的配置的网络中，新建一个DMZ网络，选择172.16.0.0网段。另外对于多网络，你还需要设置网络规则。另外你利用ISA
Server自带的三周长网络模板就可以很方便的实现DMZ网络的配置。其他访问则根据你的需要来自行设置。
　
　
3、单网络适配器的环境
如下图，ISA Server
2004安装在一台只有一个网络适配器的Internet主机上，此时，ISA Server将自动配置为Cache
only的防火墙，可以用做Web代理、缓存、Web发布、OWA发布等等，由于ISA Server
2004强大的IDS系统，它也可以为主机提供非常强大的保护。关于在这种环境下如何发布ISA Server上的Web服务，请参见[url=http://www.isacn.org/info/info.php?sessid=&infoid=181]How
to：发布位于本地主机上的Web站点[/url]一文。
　

在单网卡网络适配器环境下安装ISA
Server的时候，会自动在内部网络中包含所有的IP地址，所以在你建立访问规则时，一定要注意允许内部访问本地主机和允许本地主机访问内部（此时，外部网络已经没有实际作用了）。同样的，通过ISA
Server自带的单一网络适配器模板，你也可以很轻松的完成单网络适配器模型的ISA Server 2004的配置。

浅谈ISA Server 2004、KWF中的路由

peijialai@qingdaotse.com (文心春萌) — Thu, 12 Mar 2009 23:26:19 +0800

无论是ISA Server 2004还是KWF，都可以让你在你的内网中划分多个子网或者VLAN，然后让这些VLAN通过ISA
Server 2004或KWF所做的NAT Server 访问外部网络。不过ISA Server
2004和KWF都建议你对不同的网络使用不同的网络接口（网卡），如果在同个网络接口（网卡）上实现不同的网络，那么ISA Server
2004和KWF的部分网络间的路由功能将会受到限制，或者出现一些未知的问题。
一、同个接口上实现多个网段
图一是一个在相同网络接口上实现多个网络的实例。在NAT
Server的内部接口上同时具有192.168.0.1/24和192.168.1.1/24两个IP，而且内部网络中也存在这两个相应的网段，内部两个网段的客户的默认网关设置为NAT
Server内部接口上对应网段的IP。在具体的配置上，ISA Server
2004需要你在内部网络中明确这两个网段，而KWF则是从接口的IP配置中获取这两个网段的信息，只要你明确允许这两个网段的内部用户访问外部网络，那么这两个网段的计算机都可以正常的访问外部网络。对于这两个网段之间用户互访，则需要通过防火墙策略来设置。除了ISA
Server
2004上具有对应的路由外，你还得建立一条防火墙策略以允许内部网络访问内部网络。同样的，KWF中专门有个路由定义的选项，如果你定义了这条路由，KWF会转发给对应的客户，就算收到、发出数据包的是同样的接口。
注意：在ISA Server 2004中，即使你在NAT Server
的内部接口上只配置了192.168.0.1/24这个IP，你也可以在内部网络中加入192.168.1.1/24这个网段的定义。但是如果内部的192.168.1.1/24客户把数据包发送到ISA
Server 2004要求转发到外部网络，ISA Server 2004会提示配置错误，并且丢弃该数据包。
　
图一同个接口多个网段

　
二、不同接口不同网段
图二是不同网络接口连接到不同网段的情况（VLAN划分的情况一样），这也是ISA Server 2004和KWF的推荐方案。在ISA
Server
2004中，你需要设置网络规则和防火墙策略以允许他们之间的互访；KWF则会从网络接口的属性中自动获取网络的信息。此时，只要你允许这些内部网络访问外部网络，它们就可以进行正常的访问。
　
图二不同接口不同网段

三、内部网络存在路由的情况
图三是在内部网络中还存在路由的情况。和“同个接口上实现多个网段“中描述的一样，如果192.168.0.0/24网段的用户想把数据包发送到172.16.0.0/16网段，作为它们的默认网关，如果你在ISA
Server
2004中明确的允许内部网络到内部网络，那么就可以进行数据包的转发，就算使用相同的接口，否则是不会进行数据包转发的。同样的，如果是在KWF中定义了这条路由，它也会进行转发。
图三内部网络存在路由的情况

在存在多条路由的内部网络中配置ISA Server 2004

peijialai@qingdaotse.com (文心春萌) — Thu, 12 Mar 2009 22:07:51 +0800

在许多企业的内部网络中，因为计算机数量多或者部门隔离的原因，通常划分了多个子网或者VLAN，通过三层交换机或者路由器来实现子网（VLAN）间的互连。许多朋友提出了这个问题，如果我在其中的一个子网中配置了通往Internet的连接，那么我应该如何配置ISA
Server 2004，以便其他子网的客户能够共享这个子网的Internet连接呢？
　　
　　关于这个问题，我已经在“浅谈ISA Server
2004、KWF中的路由”和“How to ：如何配置ISA Server 的网络环境”中进行了介绍，在这篇文章中，我给大家详细的介绍一下具体在ISA
Server上如何实现。
　　
　　当内部网络中存在多条路由的时候，由于ISA
Server不能将内部的接口IP地址设置为默认网关，所以必须手动添加到达这些子网的路由；另外还需要在ISA Server中定义这些子网为内部网络，否则ISA
Server会警告配置错误。配置好这些以后，ISA Server就会认为这些子网属于内部网络了，然后任何对于内部网络的访问规则设置都适用于这些子网。

　　
　　注意，这篇文章中我没有详细的列出具体操作的每一个细节，如如何安装ISA
Server、如何配置访问规则等等，这些方法在ISA中文站里面已经有很多文章介绍了，我希望你在看这篇文章的时候，已经对ISA
Server的操作比较熟悉，并且对网络、路由知识还是有些了解。这篇文章已经跳出了ISA
Server的范畴，更多的是属于网络路由的知识，如果你想更好的掌握，建议你最好看看MCSE课程 70-216 如何实现Windows网络基础服务和CCNA
801的书籍，另外，请不要在论坛问我该如何使用route命令来添加路由，WIndows的帮助是最好的老师。
　　
　　下图是我们的试验网络：

　　
　　LAN1（172.16.1.0/24）和LAN2（172.16.2.0/24）两个子网通过Router相连，位于172.16.1.0/24子网的Client1想通过连接到172.16.2.0/24子网的ISA
Server防火墙访问外部网络，Server1是Internet上的一台FTP服务器。
　　　
　　各计算机的TCP/IP设置如下，此试验中不涉及DNS操作，DNS服务器IP地址均设置为空；Router只负责这两个子网间的路由，试验中不会涉及：

　　
　　Client1：
　　
　　IP：172.16.1.2/24

　　
　　DG：172.16.1.1（Router）
　　
　　Router：
　　
　　LAN1
Interface：
　　
　　IP：172.16.1.1/24
　　
　　DG：None
　　
　　LAN2
Interface：
　　
　　IP:172.16.2.254/24
　　
　　DG：None
　　
　　ISA
Server：
　　
　　LAN2 Interface：
　　
　　IP：172.16.2.1/24

　　
　　DG：None
　　
　　Internet Interface：
　　
　　IP：61.139.0.1/24

　　
　　DG：61.139.0.1
　　
　　Server1：
　　
　　IP：61.139.0.8/24

　　
　　DG：None
　　
　　我们会按照以下步骤执行试验：
　　
　　在ISA
Server上添加到LAN1的路由；
　　
　　安装ISA Server 2004或配置ISA Server
2004，使它的内部网络中包含LAN1；
　　
　　添加访问规则，允许内部访问外部；

　　
　　在Client1上连接Server1进行测试。
　　
　　1、在ISA Server上添加到LAN1的路由

　　首先我们在ISA Server上执行route print，查看当前ISA Server上的路由：
　　
　　c:\>route
print
　　
　　IPv4 Route Table
　　
　　Interface List
　　
　　0x1
........................... MS TCP Loopback interface
　　
　　0x10003 ...00
03 ff fe ff ff ...... Intel 21140-Based PCI Fast Ethernet Adapter

　　(Generic)
　　
　　0x20004 ...00 03 ff fd ff ff ...... Intel
21140-Based PCI Fast Ethernet Adapter
　　(Generic) #2
　　Active Routes:

　　
　　Network Destination NetmaskGateway Interface Metric

　　
　　0.0.0.0 0.0.0.061.139.0.1 61.139.0.1 20 61.139.0.0 255.255.255.0
61.139.0.1 61.139.0.1 20
　　61.139.0.1 255.255.255.255 127.0.0.1 127.0.0.120

　　61.255.255.255 255.255.255.25561.139.0.1 61.139.0.1 20
　　127.0.0.0
255.0.0.0127.0.0.1127.0.0.1 1
　　172.16.2.0255.255.255.0 172.16.2.1
172.16.2.1 20
　　172.16.2.1 255.255.255.255 127.0.0.1 127.0.0.1 20

　　172.16.255.255 255.255.255.255 172.16.2.1 172.16.2.120
　　224.0.0.0
240.0.0.0 61.139.0.1 61.139.0.1 20
　　224.0.0.0240.0.0.0 172.16.2.1
172.16.2.1 20
　　255.255.255.255 255.255.255.255 61.139.0.1 61.139.0.1 1

　　255.255.255.255 255.255.255.255 172.16.2.1 172.16.2.1 1
　　Default
Gateway: 61.139.0.1

　　===========================================================================

　　Persistent Routes:
　　
　　None

　　　
　　可以看出，当前的默认路由是61.139.0.1，没有到达LAN1（172.16.1.0/24）的路由，所以，在ISA
Server上Ping Client1的IP是不通的，
　　
　　c:\>ping 172.16.1.2 -n 2

　　
　　Pinging 172.16.1.2 with 32 bytes of data:
　　
　　Request timed
out.
　　
　　Request timed out.
　　
　　
　　Ping statistics for
172.16.1.2:
　　
　　Packets: Sent = 2, Received = 0, Lost = 2 (100% loss),

　　
　　现在，我们来手动添加一条路由，
　　
　　c:\>route add 172.16.1.0 mask
255.255.255.0 172.16.2.254
　　
　　命令执行成功，我们再Ping一下，

ISA Server 2004。　　
　　c:\>ping 172.16.1.2 -n 2
　　
　　Pinging
172.16.1.2 with 32 bytes of data:
　　
　　Reply from 172.16.1.2: bytes=32
time=7ms TTL=63
　　
　　Reply from 172.16.1.2: bytes=32 time=1ms TTL=63

　　
　　Ping statistics for 172.16.1.2:
　　
　　Packets: Sent = 2,
Received = 2, Lost = 0 (0% loss),
　　
　　Approximate round trip times in
milli-seconds:
　　
　　Minimum = 1ms, Maximum = 7ms, Average = 4ms

　　
　　此时，Ping成功了，同样的，我们在Client1上Ping ISA Server试试
　　　
　　如图，也成功了，至此，ISA Server到LAN1的路由配置就已经完成了。
　　
　　2、安装ISA
Server 2004或配置ISA Server 2004，使它的内部网络中包含LAN1
　　我这台ISA Server是已经安装好了ISA
Server 2004的，所以只需要修改内部网络的属性即可。但是从网络规划的角度，你应该是先配置好你的基础网络，再安装ISA
Server，这样可以避免很多难以预料的问题。
　　
　　如图，在ISA Server
2004控制台，点击配置，再点击网络，右击内部网络，选择属性。注意：此时可以看到，内部网络中的地址只包含172.16.2.0/24这一个子网。
　　　
　　在弹出的内部属性对话框，点击地址，删除过去的172.16.2.0/24，点击添加适配器
　　　
　　在弹出的选择网卡对话框，勾选连接内部网络的Internal
Connection，注意看网络接口信息中显示的内容，显示了路由信息包括172.16.1.0－172.16.2.255，它会自动从路由表中获取网络地址信息。一般情况下，建议你都采取添加适配器的方式来添加你的内部网络，因为它可以自动识别你的网络路由情况，但是如果这样获取的内部网络地址中包括了多余的地址，请删去并检查你的路由表。
　　　
　　点击确定后，内部网络属性如下
　　　
　　再次点击确定；
　　
　　3、添加访问规则，允许内部访问外部
　　添加访问规则是ISA
Server最基本的操作，在此我就不多重复了。如下图，我建立好了一条允许本地主机、内部访问本地主机、内部和外部网络的所有协议的访问规则。点击应用以保存修改和更新防火墙策略；

　　　
　　4、在Client1上连接Server1进行测试
　　我现在Client1上Ping Server1试试，

　　
　　c:\>ping 61.139.0.8 -n 2
　　
　　Pinging 61.139.0.8 with 32
bytes of data:
　　
　　Reply from 61.139.0.8: bytes=32 time=13ms TTL=126

　　
　　Reply from 61.139.0.8: bytes=32 time=9ms TTL=126
　　
　　Ping
statistics for 61.139.0.8:
　　
　　Packets: Sent = 2, Received = 2, Lost = 0
(0% loss),
　　
　　Approximate round trip times in milli-seconds:

　　
　　Minimum = 9ms, Maximum = 13ms, Average = 11ms

　　
　　成功了，我们再使用ftp连接上去试试：
　　
　　C:\>ftp 61.139.0.8

　　
　　Connected to 61.139.0.8.
　　
　　220 Serv-U FTP Server v5.1 for
WinSock ready...
　　
　　User (61.139.0.8:(none)): anonymous
　　
　　331
User name okay, please send complete E-mail address as password.

　　
　　Password:
　　
　　230 User logged in, proceed.

　　
　　ftp> dir
　　
　　200 PORT Command successful.
　　
　　150
Opening ASCII mode data connection for /bin/ls.
　　
　　drw

Windows 2008中的活动目录备份和还原

peijialai@qingdaotse.com (文心春萌) — Sun, 08 Mar 2009 21:10:53 +0800

概览:
　　◆NTBACKUP 与 Windows Server Backup
　　◆备份工具和选项
　　◆恢复工具和选项
　　◆可靠 Active Directory 备份策略的关键
　　大家都知道 Active Directory 域服务 (ADDS) 是 Windows 基础结构中针对关键任务的组件。如果 Active
Directory 出现故障，网络实际就崩溃了。因此，Active Directory 的备份和恢复计划是
　　安全性、业务连续性和法规遵从性的基础。
　　Windows Server? 2008 为 Active Directory? 带来了许多新功能，其中对备份和恢复计划具有重大影响的两个功能是：新的
Windows Server Backup 实用工具，以及获取和使用 Active Directory
的“卷影复制服务”快照的能力。在本文中，我将介绍这些增强功能所带来的变化，以及如何利用这些变化来简化 Active Directory 备份活动。
　　NTBACKUP 与 Windows Server Backup
　　组策略设置
　　Windows Server Backup
提供了若干组策略设置，使您可以在一定程度上控制备份在您服务器上的工作方式。使用这些备份策略，人们通过未经授权的备份访问未授权数据的风险会降低。选项包括：
　　仅允许系统备份如果设置了此选项，则 Windows Server Backup 只能备份关键的系统卷。它无法执行卷备份。
　　不允许本地附加的存储作为备份目标如启用此设置，它不允许备份至本地附加的驱动器。只能备份至网络共享。
　　不允许网络作为备份目标此设置不允许备份至任何网络共享。
　　不允许光学媒体作为备份目标如设置了此选项，Windows Server Backup 无法备份至任何光学媒体，例如可记录的 DVD 驱动器。
　　不允许一次性运行备份此设置不允许 Windows Server Backup 运行非计划的特定备份。仅通过 Windows Server
Backup MMC 管理单元计划的备份可以运行。
　　您所了解和喜爱的 NTBACKUP 自 Windows NT? 3.5 之后已消失。代替它的是 Windows Server
Backup。这一新工具不是仅仅对 NTBACKUP 的改进;它是一个全新的备份技术，使您必须重新思考备份系统的方法。
　　尽管 Windows? Server 备份是 Windows Server 2008 唯一的现成备份解决方案，但它并不是替换 NTBACKUP
的另一种功能。最大的差异在于：Windows Server Backup
是磁盘到磁盘的备份解决方案;它不支持备份至磁带。您可以在直接附加的磁盘卷、网络共享，甚至是外部 USB 硬盘和可记录的多卷 DVD
上创建备份映像。但您不能备份至磁带。这里明确一点，您仍可以在 Windows Server 2008 服务器上挂接磁带驱动器，并将 Windows Server
Backup 生成的备份映像复制到磁带驱动器——但您必须使用其他方软件才能完成此操作。

NTBACKUP 是基于文件的备份和还原工具，而 Windows Server Backup 是以卷和块为基本对象。Windows Server
Backup 将其备份源处理为卷集，每个卷均作为一个磁盘块集合。与通过文件系统备份文件相比，这样效率要提高很多。以块为基础处理备份还使 Windows
Server Backup 能利用“卷影复制服务”快照来执行块级别增量备份，以及在目标卷上创建快照以简化多个备份的使用(并减少其所占用的空间)。
　　即使您正在执行的是完整备份，Windows Server Backup 也能在目标磁盘上提供很大的空间效率。例如，您可对同一卷执行多个完整备份。由于
Windows Server Backup
在存储备份映像的目标磁盘上使用“卷影复制服务”快照，因此，快照将仅存储已发生更改的块。这极大地减少了多个完整备份所占用的空间。这样即不必通过执行多个还原操作恢复增量备份。尽管快照仅存储每个备份的变化量，但“卷影复制服务”会确保每个备份的完整性。
　　不过，请注意，您只有在备份至本地硬盘时才能从目标上的“卷影复制服务”快照中受益——Windows Server Backup 无法对存储在 DVD
或网络共享上的备份执行“卷影复制服务”操作。
　　Windows Server 备份以 Microsoft? 虚拟硬盘 (VHD) 格式存储备份映像，这会产生额外的益处。您可以实际获取备份映像，在
Microsoft Virtual Server 2005 下运行的虚拟机中将其安装成一个卷。您只需在虚拟机中安装 VHD
并浏览特定文件即可，不必通过测试还原磁带来查看哪个磁带上具有文件。(特别注意：您不能从备份映像中启动虚拟机。由于备份的硬件配置与虚拟机的配置不搭配，因此，无法将
Windows Server 备份用作物理到虚拟的迁移工具。)
　　Windows Server Backup
的卷和块定向有一个缺点。因为此新工具将备份源视为一组卷和块，所以它不允许您仅备份选定文件。必须备份整个卷。此外，默认情况下，无法将备份映像存储在所备份的一个卷上(有一些方法可就此进行配置;请参阅
support.microsoft.com/kb/944530)。我将在本文稍后的部分讨论系统状态备份的深刻含义。
　　安装 Windows Server Backup
　　Windows Server Backup 是 Windows Server 2008 中的一项“功能”，默认情况下并不安装。在使用 Windows
Server Backup 执行备份之前，必须使用“服务器管理器”或 SERVERMANAGERCMD 命令行实用工具安装该功能：
C:\> servermanagercmd
-install Backup-Features
　　Windows Server Backup 包括两个子功能，Windows Server Backup 和 Command-line
Tool。请注意，Command-line Tool 是指一组 Windows PowerShellTM cmdlet——而非 WBADMIN .EXE
命令行工具。因此，如果您选择安装这两个子功能，则必须安装 Windows PowerShell 功能。
　　安装 Windows Server Backup 后，您可以在“服务器管理器”的“存储”节点下以及“管理工具”菜单上找到 Microsoft
管理控制台 (MMC) 管理单元。如果您是在 Windows Server 2008 Server Core 安装中安装 Windows Server
Backup，请使用 OCSETUP 命令(请注意，OCSETUP 命令区分大小写，这一点非常重要)：
C:\> ocsetup
WindowsServerBackup
　　可从 go.microsoft.com/fwlink/?LinkId=113146 获得安装过程的完整说明。
　　请注意，Windows Server Backup 不能还原使用 NTBACKUP 创建的映像。为应对这种极特殊的情况，Microsoft 已为
Windows Server 2008 提供了可下载的 NTBACKUP(请参阅
go.microsoft.com/fwlink/?LinkId=113147)。
　　Windows Server Backup 组件
　　组建 Windows Server Backup 应用程序的方式反映出了产生的重大变化。新的备份解决方案由四个组件组成：
　　◆MMC 用户界面 (WBADMIN.MCS)
　　◆命令行界面(WBADMIN.EXE)
　　◆备份服务 (WBENGINE.EXE)
　　◆Windows PowerShell cmdlet 集

将该应用程序拆分为客户端和服务有若干好处，最重要的是提高了可靠性。无论是从 MMC 客户端还是从命令行界面启动备份，均由 WBENGINE
服务完成主要工作。客户端程序只报告备份的状态。因此，终止客户端不会导致备份中途停止。客户端将停止，而服务将继续完成。当然，如果您确实想停止备份，也可以实现，但必须明确执行相应操作。
　　此拆分的体系结构的另一好处是，您可以使用客户端管理远程计算机上的备份。如果必须备份 Windows Server 2008 Core
计算机，这一长处尤其值得称道。
　　Windows Server Backup 支持使用 Windows 恢复环境(即 WinRE)进行裸机还原，Windows Server 2008
安装介质上就有 WinRE。WinRE 简化了从头开始恢复服务器的过程。我将在本文后面的内容中讨论如何执行裸机还原。在此有必要指出，Windows Server
Backup 支持几个用于管理备份的“组策略”设置——“组策略设置”侧栏中有这些设置的概述。
　　卷影复制服务
　　Windows Server Backup 以三种不同的方式使用“卷影复制服务”。当您在 Windows Server 2008
上启动完整备份时，应用程序首先制作一个所有源卷的卷影副本。执行此操作会为备份软件提供一致的文件系统视图供其使用。(这与 NTBACKUP
所执行的操作类似。)Windows Server Backup 然后逐个将这些块从源卷复制到备份目标，在此过程中会为每个已备份的卷构建 VHD 映像。
　　除非另行指定，否则 Windows Server Backup 还会创建源卷的快照，以便“卷影复制服务”跟踪卷上所有发生更改的块。这使得
Windows Server Backup 可以创建块级别增量备份，它们仅需要读取源卷中发生更改的块。Windows Server Backup
可以只读取和写入发生更改的块，而不会因为文件有一点更改便读取和写入整个文件。
　　这使得增量备份效率很高，但代价是源卷的写入操作需要额外的磁盘
I/O。如果您要备份特别繁忙或性能关键的卷，则应禁用源卷上的“卷影复制服务”快照，方法是选择“Configure Performance
Settings”(配置性能设置)链接，然后禁用此卷上的增量备份(如图 1 所示)。
　　
　　Figure 1 Disable incremental backups on busy volumes

当备份完成时，Windows Server Backup 会获取目标卷的快照(假设您是备份到本地连接的硬盘上)。在下一备份期间，会覆盖目标 VHD
文件。但是，由于“卷影复制服务”一直保持目标卷的卷影副本，因此实际上，与每个完整备份相对应的各个 VHD
文件都会有多个版本。您实质上花费的是一个完整备份和更改块的成本，而获得的是多个完整备份。
　　备份至网络共享
　　备份至网络共享就象备份至本地卷一样轻松。两者的主要差异是，它不能创建远程卷的“卷影复制服务”快照。因此，每个完整备份都将覆盖前一完整备份，从而在网络共享上仅为您留下每个服务器的最新完整备份映像。由于此限制，您不能使用
Windows Server Backup 计划程序来计划到网络共享的备份。不过，您可以使用 Windows Task Scheduler 来运行
WBADMIN 命令行程序，执行到网络共享的完整备份。如果您选择以此方式来计划到网络共享的完整备份，请更改每个备份的目标文件夹以避免覆盖先前备份。
　　备份至可记录的 DVD
　　Windows Server Backup 还支持备份至光学媒体，例如可写入的 DVD。您还可以创建包含多个卷的备份集。Windows Server
Backup 始终将备份压缩至 DVD，这意味着，您从 DVD 仅可以还原完整系统或完整卷。Windows Server Backup 不支持使用 DVD
执行系统状态或文件级别的备份和还原。而且，您不能对备份至 DVD 进行计划。
　　系统状态备份和还原
　　系统状态备份仅包括选定的文件和某些应用程序数据库(而不是整个卷)，它虽简单但通常却至关重要。但是，在 Windows Server 2008
的早期版本中，并不支持系统状态备份和还原。备份工具只备份关键的系统卷(即，恢复和重新启动操作系统及关键应用程序所必需的任何卷)。这些关键系统卷等同于面向卷的系统状态备份。
　　应客户反馈的要求，Microsoft 向 Windows Server Backup 添加了系统状态备份和还原功能。该应用程序会创建多个 VHD
文件，每个托管系统状态数据的卷一个 VHD 文件，但它仅将必要的文件和数据库复制到 VHD 中。另一个问题是，当您执行系统状态备份时，Windows
Server Backup 并不创建目标卷的快照，这一点与正常的备份过程不同。而是每个系统状态备份生成一个全新的 VHD
文件集，这意味着没有基于快照的卷备份所具备的空间效率。
　　您仅可以使用 WBADMIN.EXE 命令行程序执行系统状态备份——MMC 管理单元不提供此选项。要执行系统状态备份，请使用以下命令：
C:\> wbadmin start
systemstatebackup
–backuptarget:e:
　　WBADMIN 然后会将关键系统文件和应用程序数据库备份至目标卷(在为系统状态备份而保留的文件夹中)。系统状态备份在具有默认目录信息树 (DIT) 的
32 位 Windows Server 2008 域控制器 (DC) 上运行时要稍大于 6GB——这比在 Windows Server 2003 上大
5GB，部分原因是 Windows Server Backup 捕获核心操作系统文件，而 NTBACKUP 并不捕获此类文件。
　　如您所料，备份系统状态所需的时间也会更长。当然，这些初始数字是以操作系统的预发布版本为基础的。您必须在自己的环境下对此进行测试，如果您要将域控制器移至
Windows Server 2008，您需要针对更大的系统状态备份(以及更长的备份时间)做出计划。
　　使用 MMC 备份服务器
　　运行 Windows Server Backup MMC(请参见图 2)时，您可以选择设置备份计划或立即运行特定备份。在本例中，我选择“Backup
once”(立即备份)以立即执行备份。
　　
　　Figure 2 Windows Server Backup MMC

如您在图 3 中所见，我可以选择是备份服务器上的所有卷，还是只备份所选的特定卷。如果选择“Full server”(完整服务器)，则 Windows
Server Backup 将备份所有装入的卷，但我无法备份至装入的硬盘驱动器——只能备份至可记录的 DVD 或网络共享。
　　
　　Figure 3 Using the backup configuration dialog to specify all or select
volumes
　　在本示例中，我希望备份至本地硬盘驱动器，因此，我选择“Custom”(自定义)选项。然后会显示一个对话框，让我选择要备份的卷(请参见图
4)。默认情况下，Windows Server Backup 会选中“Enable system recovery”(启用系统恢复)框，这会让 Windows
Server Backup 选择引导卷、操作系统卷，以及具有关键系统文件和应用程序数据库的任何其他卷。在 DC 上，这包括托管 SYSVOL、Active
Directory DIT 以及 Active Directory
日志的卷。这等同于系统状态备份，但它备份所有关键卷，而不仅仅是这些卷上的关键文件。实际上，我甚至可以从系统恢复备份集执行系统状态恢复。
　　
　　Figure 4 Selecting specific volumes to back up

在选择目标类型(本地驱动器或网络共享)并指定目标后，Windows Server Backup 会提示我选择“VSS copy”(VSS
副本)备份或“VSS full”(VSS 完整)备份。这个术语有点令人困惑，因为这两个选项均将完整地备份选定卷。区别在于备份源文件后 Windows
Server Backup 处理它们的方式。如果您选择副本选项，则 Windows Server Backup
将原样保留备份的文件。如果您选择完整选项，Windows Server Backup 将随后重置存档。
　　从命令行备份服务器
　　如果您要编写备份过程的脚本，或在 Server Core 安装上备份服务器，则可以使用 WBADMIN.EXE 命令行程序。WBADMIN
提供一个完整的选项集，这些选项实质上执行与 MMC 管理单元相同的功能，包括管理备份计划。
　　假设我想启动 WBENGINE 服务，它会随后执行备份。我仅需输入以下命令即可：
C:\> wbadmin start backup
–include:c:,d:
–backuptarget:e:
　　若要备份所有关键的系统卷，可以输入以下命令：
C:\> wbadmin start
backup -allcritical
–backuptarget:e:
　　启动备份后，WBADMIN 继续运行并显示备份进度。如果终止 WBADMIN，则备份将继续在后台执行。然后可以使用以下命令重新将 WBADMIN
连接至正在运行的备份：
C:\> wbadmin get
status
　　如果希望终止正在运行的备份，只需输入以下内容：
C:\> wbadmin stop
job　　
　　使用 MMC 计划备份
　　与 Windows Server Backup
集成的备份计划程序实际上是为专门完成一项任务：简化每日对本地磁盘卷做完整系统备份的计划。您可以使用内置的计划程序自动在多个目标卷中轮换备份。如果您具有便于移动的硬盘驱动器(或者正在使用通过
USB
连接的硬盘驱动器)，则可以使用此功能来建立转换方案，在此方案中，您取下备份磁盘并将其存储在外部，然后将最早的备份磁盘返回到服务器以供下一个计划的备份使用。
　　Windows Server Backup
计划程序仅让您计划始终每日发生的备份。也就是说，没有单独针对各个星期一、星期三和星期五计划备份的方法。因此，如果您不希望每日都运行计划的备份，就必须直接使用
Windows Task Scheduler。
　　当建立到本地磁盘的计划备份时，Windows Server Backup 负责磁盘，即格式化磁盘、建立特定的文件夹结构，并使 Windows
资源管理器中不显示目标磁盘。目标磁盘必须为基本卷——Windows Server Backup 无法备份至被配置为动态卷的磁盘。

通过 MMC 管理单元计划备份十分容易。在此示例中，我首先选择“Backup Schedule”(备份计划)链接、指定备份类型以及要备份的卷，然后
Windows Server Backup 即会显示“Specify backup time”(指定备份时间)对话框(请参见图 5)。
　　
　　Figure 5 Specifying when daily backups should occur
　　选择希望备份执行的时间后，我可以选择备份的一个或多个目标卷。在本例中，我选择备份卷 E:，如图 6 所示。Windows Server Backup
会尽量为您选择一个合适的目标卷，但是，如果您要备份的目标磁盘未出现，则可以使用“Show All Available
Disks”(显示所有可用磁盘)按钮来查看所有连接的磁盘设备。在显示两个“confirm”(确认)对话框之后，Windows Server Backup
会格式化目标卷并使用 Windows Task Scheduler 来计划备份任务。
　　
　　Figure 6 Specifying the destination disk for a scheduled backup

每次计划的备份完成时，Windows Server Backup 都会获取目标卷的快照。而且每隔七天，它会创建一个新的基本映像。活动则记录在
Microsoft/Backup/Operational
日志中。您可以在那里检查备份是否成功完成，也可以将某一任务(例如发送电子邮件消息)与成功和失败事件相关联，以便始终了解计划备份的状态。
　　从命令行计划备份
　　如果您正在计划 Server Core 安装上的备份，或者只是想编写该过程的脚本，则可以使用 WBADMIN
命令行来管理备份计划。要添加计划的备份，可使用 WBADMIN ENABLE BACKUP 命令指定目标、源以及计划的时间，如下所示：
C:\> wbadmin enable backup
–addtarget:e:
-include:c:,d:
-schedule:06:00,12:00,18:00

　　此命令会每天将 C: 和D:驱动器备份至 E:驱动器三次，时间分别为早上 6:00、中午 12:00 和下午 6:00。(请注意，所有时间均使用 24
小时制指定)。要备份所有关键的系统卷(从其可执行裸机还原或系统状态还原)，请使用 –allcritical 替换 –include 开关。
　　也可以使用 WBADMIN 禁用所有计划的备份，如下所示：
C:\> wbadmin disable
backup
　　此命令将删除所有由 Windows Server Backup 计划程序创建的计划备份工作，并释放所有备份目标卷以供正常使用。请注意，您始终可以使用
WBADMIN MMC 管理单元远程管理 Server Core 服务器的备份和还原活动。
　　域控制器的裸机恢复
　　备份和恢复最激动人心的改进之一是 WinRE 并入安装过程的方式。从安装媒体中启动 Windows Server 2008
时，您可以选择“Repair your computer”(修复计算机)选项，如图 7 所示。由于这一选项极易被错过，所以在此专门做个提醒。
　　
　　Figure 7 The Repair your computer option is available on the installation
screen

在安装屏幕上选择修复选项后，Windows 会让我选择一个恢复选项，如图 8 所示。在本例中，我选择“Windows Complete PC
Restore”(Windows 完整 PC 还原)，这会调用 Windows 恢复环境。
　　
　　Figure 8 Specifying system recovery options
　　在选择要修复的操作系统(通常只有一个选择)后，WinRE 允许您选择要从其进行还原的备份。默认情况下，WinRE
选择最近的完整系统备份，但您可以指定存储在本地磁盘上的其他备份，或在网络中搜索存储在其他服务器文件共享中的备份。
　　在我的示例中，我选择最近的完整系统备份。下一对话框(如图 9
所示)让我先格式化所有磁盘并重新分区，然后再进行还原。如果您正从某种磁盘故障所导致的问题中恢复，或者已替换了服务器中的一个或多个磁盘驱动器，则这是一个合适的选项。
　　
　　Figure 9 You can easily format and repartition disks before they're
restored

在两个确认对话框之后，WinRE 启动还原进程，而且服务器重新启动。此方法极为适合在服务器上执行裸机恢复。
　　域控制器的系统状态恢复
　　如果您需要从某种与 Active Directory 相关的问题中恢复(例如从备份中恢复删除的 OU)，则应将 Active Directory
域服务 (ADDS) 数据库还原至早期状态，而不是还原整个系统。尽管您可以像在 Windows Server 2008 中的服务那样停止
ADDS，但仍需将服务器引导到目录服务还原模式 (DSRM) 中，以对域控制器执行系统状态还原。
　　更改引导选项以将 Windows Server 2008 引导到 DSRM 中并不像以前那样容易。整个 Windows
引导环境经过了重新设计，以支持新的可扩展固件接口 (EFI)，而老式的 boot.ini 文件不再存在。Windows Server 2008
代之以使用引导配置数据 (BCD) 来管理引导过程。
　　管理 BCD 的最简单方法是使用 BCDEDIT 命令行程序。说明所有 BCDEDIT
命令和选项需要一整篇文章，我在此处只向您显示某些有用的示例。
　　要将 Windows Server 2008 DC 重新引导到 DSRM 中，请使用以下命令：
C:\> bcdedit /set safeboot
dsrepair
　　这将为默认的引导加载程序项设置安全引导选项。在全新的 Windows Server 2008 安装中，只有一个引导加载程序项
WINLOAD.EXE。要删除安全引导选项并重新引导到正常模式中，请使用以下命令：
C:\> bcdedit /deletevalue
safeboot
　　您可在 DC 上配置两个引导加载程序项——一个用于正常引导，一个用于 DSRM 引导，这样更为便利。您也就可以使用“System
Settings”(系统设置)下提供的“Startup and
Recovery”(启动和恢复)设置对话框来更改引导选项。要添加新的引导加载程序项，请使用以下命令：
C:\> bcdedit /copy {default}
/d "Directory Service Repair Mode"
　　此操作将通过复制默认的引导加载程序项创建一个新的引导加载程序项。BCDEDIT 将显示与下面类似的内容：
The entry was successfully
copied to
{c50d4710-a1f0-11dc-9580-0003ff402ae9}.
　　GUID 会识别新项。然后，使用以下命令为 BCD 中新的引导加载程序项设置安全引导选项：
C:\> bcdedit /set {}
safeboot dsrepair
　　您现在可以使用“Startup and Recovery”(启动和恢复)设置(如图 10 所示)从正常引导模式切换到 DSRM 引导模式。
　　
　　Figure 10 Disable incremental backups on busy volumes

在使用 WBADMIN 启动系统状态还原之前，必须确定要从其进行还原的备份。WBADMIN
可以从完整系统备份、只包含关键系统卷的备份或系统状态备份执行系统状态还原。在上述任一情况下，必须指定要使用的备份版本。确定可用备份版本的最简单方法是使用下面的
WBADMIN 命令：
C:\> wbadmin get
versions
　　WBADMIN 然后将以与图 11
中所示信息类似的形式显示备份版本。请注意，每个备份都有一个备份时间、备份目标、版本标识符(顺便说一下，它是备份以“通用平均时”启动的时间和日期)以及一个可支持恢复操作的类型列表。
　　◆Figure 11 确定恢复可用的备份
　　wbadmin 1.0 - Backup command-line tool
　　(C) Copyright 2004 Microsoft Corp.
　　Backup time: 11/30/2007 3:47 PM
　　Backup target: Fixed Disk labeled E:
　　Version identifier: 11/30/2007-22:47
　　Can Recover: Application(s), System State
　　Backup time: 12/1/2007 10:46 PM
　　Backup target: Fixed Disk labeled Backup(E:)
　　Version identifier: 12/02/2007-05:46
　　Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery,
System State
　　Backup time: 12/2/2007 5:58 PM
　　Backup target: Fixed Disk labeled Backup(E:)
　　Version identifier: 12/03/2007-00:58
　　Can Recover: Volume(s), File(s), Application(s), Bare Metal Recovery,
System State
　　Backup time: 12/3/2007 11:25 AM
　　Backup target: Fixed Disk labeled E:
　　Version identifier: 12/03/2007-18:25
　　Can Recover: Application(s), System
State

在本例中，我选择最近的备份，并使用以下 WBADMIN 命令启动系统状态还原：
C:\> wbadmin start
systemstaterecovery
–version:12/03/2007-18:25
　　这将执行非权威还原。如果您希望执行 SYSVOL 的权威还原，只需将还原的 SYSVOL 副本标记为权威即可，方法是将 authsysvol
选项添加至 WBADMIN 命令。有关此过程的详细信息，请参阅 go.microsoft.com/fwlink/?LinkId=113152。
　　制作 Active Directory 快照
　　在 Active Directory 的备份方面，最激动人心的变化之一就是根本不再与 Windows Server Backup 发生关联。在
Windows Server 2008 中，Active Directory 能够提供“卷影复制服务”快照，这可充分利用这一功能。这些快照是正在运行的
Active Directory 服务的极轻型时间点备份。更为可喜的是，它们仅需几秒钟即可创建!随后，您可以装入这些快照并使用基于 LDAP
的正常实用工具(例如 LDP 工具)访问它们。
　　使用如下所示的 NTDSUTIL 命令制作 ADDS 或 Active Directory 轻型目录服务 (ADLDS) 的快照：
　　ntdsutil: snapshot
　　snapshot: activate instance ntds
　　Active instance set to "ntds".
　　snapshot: create
　　Creating snapshot...
　　Snapshot set {42c44414-c099-4f1e-8bd8-4453ef2534a4} generated
successfully.
　　snapshot: quit
　　ntdsutil: quit
　　此 NTDSUTIL 命令序列会创建包含 Active Directory DIT、日志和 SYSVOL 的卷的“卷影复制服务”快照。即使
Active Directory 仍在更新，“卷影复制服务”也会使用写入时复制策略来确保正确维护已制作的快照。请注意，快照不是 DIT
的完整副本。它们实际上只是 DIT 中制作快照后经过修改的磁盘块的集合。通过将这些块与 DIT 的当前副本组合在一起，VSS 所呈现的 Active
Directory DIT 正是其在快照时的状态。图 12 显示如何删除旧的或不需要的快照。
　　◆Figure 12 删除不需要的快照

C:\> ntdsutil
　　ntdsutil: snapshot
　　snapshot: list all
　　1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
　　2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
　　3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
　　snapshot: delete 1
　　Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as
C:\$SNAP_200712032318_VOLUMEC$\
　　Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as
C:\$SNAP_200712032318_VOLUMED$\
　　snapshot: quit
　　ntdsutil: quit
　　C:\>

装入 Active Directory 快照
　　为了使用这些快照之一，您必须首先指示“卷影复制服务”使快照可供文件系统使用。为达此目的，可使用 ntdsutil
命令列出可用快照，然后装入感兴趣的快照(请参见图 13)。
　　Figure 13 使用 ntdsutil 装入快照

C:\> ntdsutil
　　ntdsutil: snapshot
　　snapshot: list all
　　1: 2007/12/03:23:18 {42c44414-c099-4f1e-8bd8-4453ef2534a4}
　　2: C: {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022}
　　3: D: {2bbd739f-905a-431b-9449-11fba01f9931}
　　snapshot: mount 1
　　Snapshot {c0dd71ba-5bcd-4daf-9fbb-5cfbdd168022} mounted as
C:\$SNAP_200712032318_VOLUMEC$\
　　Snapshot {2bbd739f-905a-431b-9449-11fba01f9931} mounted as
C:\$SNAP_200712032318_VOLUMED$\
　　snapshot: quit
　　ntdsutil: quit
　　C:\>
　　"list all" 命令列出了当前由“卷影复制服务”维护的所有可用 Active Directory 快照。"mount 1" 命令装入
Active Directory DIT 和日志卷的选定快照，然后使它们在文件系统中可用。它们位于
C:\$SNAP_200712032318_VOLUMEC$\ 和 C:\$SNAP_200712032318_VOLUMED$\ 中。
　　如果您查看这些文件夹，则会看到这些卷的整个内容与制作快照时相同。不过，请注意，装入的快照为只读，即：您无法修改已装入快照中的任何文件。
　　从 Active Directory 快照恢复数据
　　装入包含 Active Directory 的卷的快照这一任务看起来有些神秘。该如何访问这些快照中所包含的 Active Directory
数据呢?DSAMAIN 命令就是其中的关键。它是运行 ADLDS 的可执行程序。实质上是一个独立的 LDAP 服务器，几乎与 ADDS
共享其所有代码。您可以使用 DSAMAIN 使装入的快照看起来像只读 LDAP 服务器(包含制作快照时的 Active Directory 数据)。
　　请考虑以下命令：

C:\> dsamain –dbpath
　　c:\$snap_200712032318_volumed$\ntds\dit
　　\ntds.dit -ldapport 10000

这会装入位于 c:\$snap_200712032318_volumed$\ntds\dit 文件夹中的 ntds.dit 文件，并使其可供 TCP 端口
10000(或您指定的任何开放端口)上的 LDAP 操作使用。DSAMAIN 将在所指定数字加一的端口(在本例中为 10001)上打开 LDAPS 端口(用于
LDAP over SSL 的端口)、在所指定数字加二的端口 (10002) 上打开 GC 端口(用于全局编录连接的端口)，在所指定数字加三的端口
(10003) 上打开 GCS 端口(全局编录 over SSL)。
　　您可以使用任何 LDAP 程序(例如 LDP)访问指定端口上装入的 DIT。但在 Windows Server 2008 中，Active
Directory 用户和计算机 (ADUC)、站点和服务、域和信任关系以及 ADSIEDIT 均已经过修改，以允许您使用 DSAMAIN 将它们连接到装入的
DIT。如果您右键单击任何 ADUC 导航窗格中的顶层节点，并选择“Change Domain Controller”(更改域控制器)，则会看到图 14
中所示的对话框。如果您只键入托管已装入快照的服务器的名称或 IP 地址以及端口(在我的示例中为 localhost:10000)，则 ADUC
将连接装入的快照，从而允许您浏览目录的内容(与制作快照时相同)。非常了不起，不是吗?
　　
　　Figure 14 Connecting Active Directory users and computers to a mounted
snapshot
　　能够以此方式访问目录数据使多种数据恢复任务都比以前容易多了。例如，要从备份恢复删除的对象，以前需要对现有 DC
执行备份的非权威还原，然后执行已删除对象的权威还原。如果您还原的备份没有正确数据，则必须使用其他备份再次全部启动。现在，使用逻辑删除恢复和快照，您可以快速找到并恢复删除的数据，甚至不必使域控制器脱机即可执行此操作。
　　不过，有一些限制。例如，每个活动快照都会增加与写入到目录操作关联的磁盘 I/O，因此，生产 DC
任意时间点的活动快照不应超过一或两个。此外，快照保持活动状态的时间越长，“卷影复制服务”变化量存储就会越大——这也会影响性能。当然，简单恢复删除的对象只是恢复问题的第一部分。您可能还必须恢复对象的链接属性，例如组成员身份等。但是，即使在此情况下，快照也可以帮助您确定已删除对象所属的所有组。
　　可靠的 Active Directory 备份和恢复策略
　　Windows Server 2008 带来了一个全新的备份和恢复系统。某些变化起初可能会让人感到不满。但是，一旦 IT
组织接受这些变化并将新的备份技术融入到日常操作中，更加有效的备份和恢复实施将会使其为之一振。
　　即使 Windows Server 2008 中备份服务器的方法发生了诸多变化，备份和恢复 Active Directory
的基本策略实际上并无太大变化。因此，在规划策略时，请确保记住这些最佳实践：
　　计划定期完整备份系统，这样您便可以在硬件出现故障后恢复 DC。计划 DC
完整备份的频率取决于数据更新的频率、停机时间和/或数据丢失的容差，以及从头开始重新构建 DC 可能需要的工作量。
　　计划经常性系统状态备份以备份 Active Directory 中的更改。执行系统状态备份的频率取决于丢失 Active Directory
数据的容差。但是，您一天应至少执行一次这种备份。如果您有硬件，则至少在本地磁盘上保持一个或两个系统状态备份，并将旧的系统状态版本复制到 DVD
或网络共享。
　　确保至少对每个域中的两个 DC 执行系统状态备份。这将在其中一个备份出现错误或不可用时提供一些保障。
　　请确保使用应用程序分区副本(如果它们已定义)来备份 DC。同时，考虑在 DC 上创建 Windows
恢复环境，以便您可以在关键系统驱动器出现故障时能快速引导到 WinRE 中。

Windows Server 2008域环境下组策略两例应用

peijialai@qingdaotse.com (文心春萌) — Sun, 08 Mar 2009 20:52:40 +0800

作为微软最新的服务器平台，Windows Server 2008确实强大。基于Server
2008D的AD功能更强劲，管理更加细化，特别是在组策略方面有了不少改进。比如，笔者将要和大家分享的这两例应用，在实践中就能帮你解决很多难题。
　　1、实现客户端移动设备权限的统一管理
　　使用过Vista的用户应该知道，通过组策略可以在本地主机实现对移动磁盘(USB存储设备\光驱\移动硬盘)的权限管理。如果要统一实现对所有客户端(Vista或非Vista)的移动设备的权限管理，该怎么办呢?在Windows
Server 2008的域环境下，这一切轻松实现。
　　首先将Server 2008配置成AC(域控制器)，并将所有的客户端加入该域，然后只需在Server
2008上进行如下部署即可。依次执行“开始→管理工具→组策略管理”打开组策略管理器;找到需要部署该策略的域(本例为fr.zhongtian.com)，展开后定位到Default
Domain
Policy(默认策略);右键点击该策略选择“编辑”打开“组策略管理编辑器”，依次展开“计算机配置→管理模板→系统→可移动存储访问”;在右侧找到“可移动磁盘：拒绝读取权限”和“可移动磁盘：拒绝写入权限”两项，双击启用策略。最后打开命令行工具(cmd)，输入命令“gpupdate
/force”更新组策略，使刚才的策略生效，这样默认情况下只有域管理员有权限读写移动磁盘。(图1)
　　
　　图1 更改默认域策略
　　为了验证效果我让某客户端登录fr域，然后插入移动设备(比如U盘)，进行文件的读写操作。如图所示，弹出拒绝窗口该操作被拒绝提示只有管理员才有权限执行操作。点击“跳过”按钮，输入有权限的用户才可实现操作。(图2)
　　
　　图2 拒绝访问

2、自由定制针对用户或者用户组的密码策略和帐户锁定策略
　　密码是系统安全一道关键屏障，大家知道在在Windows2000/2003上，密码策略只能指派到域(Site)上，不能单独应用于活动目录中的具体对象。这在实际应用中带来了诸多不便，更多情况下我们需要为不同组的用户部署不同的密码策略和帐户策略。在Win2008中引入了多元密码策略的技术，使得我们的上述需求得到实现。
　　还是在AC中(以fr.zhongtian.com域为例)，“开始→运行”输入ADSIEdit打开ADSI编辑器。依次展开“默认命名上下文
[WIN-13VNNRJ6FIP.fr.zhongtian.com]
→DC=fr,DC=zhongtian,DC=com→CN=System”定位到CN=Password Settings
Container;然后在该节点上单击右键选择“新建→对象”在弹出的对话框中选中“msDS-PasswordSettings”类别，单击“下一步”在cn属性对话框中输入“值”为“fr-pso”(任意)。然后一路“下一步”依据向导进行密码策略的定制。其具体的设置项、含义和值分别为：
　　(1).msDS-PasswordSettingsPrecedence，设置密码策略的优先级，数值越小优先级越高，设置为“10”;
　　(2).msDS-PasswordReversibleEncryptionEnabled，设置是否启用“用可还原的加密来存储密码”策略，其值是个布尔值，可选择FALSE或者TRUE，在此我们设置为“FALSE”;
　　(3).msDS-PasswordHistoryLength，对应组策略中的“强制密码历史”，可选范围是0-1024，我们设置为12;(图3)
　　
　　图3 密码历史
　　(4).msDS-PasswordComplexityEnabled，对应组策略中的“密码必须符合复杂性要求”，也是一个布尔值，我们设置为“TRUE”;
　　(5).msDS-MinimumPasswordLength，设置密码长度最小值为10;
　　(6).msDS-MinimumPasswordAge，设置密码最短使期限为1:00:00:00(1天);
　　(7).msDS-MaximumPasswordAge，设置密码最常使用期限为20:00:00:00(20天);
　　(8).msDS-LockoutThreshold，设置帐户锁定阀值为3(可以范围0-65535);
　　(9).msDS-LockoutObservationWindow，设置复位帐户锁定计数器为0:00:30:00(30分钟);(图4)
　　
　　图4 帐户锁定计数器

(10).msDS-LockoutDuration，设置帐户锁定时间为0:00:30:00(30分钟)。
　　这样，一个自定义的密码和帐户锁定就创建完成了，那么如何应用在具体的某些帐户上呢?还需要进行如下操作。退回到ADSI编辑器窗口找到刚才创建的fr-pso帐户密码策略对象并双击打开，拖动滑竿找到并选中msDS-PSOAppliesTo属性，点击下面的“编辑”按钮在弹出的对话框中点击“添加Windows帐户”按钮，通过向导将frs全局用户组添加进来，最后“确定”即可。这样，就将刚才创建的名为fr-pso帐户密码策略赋予frs组中的用户了。当然，还可以通过添加更多的用户或者用户组。在实际应用中大家可以根据需要，定制不同的密码策略然后将其赋予特定的用户或者组。(图5)
　　
　　图5 添加特定用户
　　为了验证效果，我们可以做个策略，首先打开“组策略管理编辑”将Default Domain
Policy(默认策略)下的“帐户策略”中的“密码策略”进行修改：警用“密码必须符合复杂性要求”，密码长度最小值更改“3个字符”，接着在命令下输入gpupdate
/force更新组策略。下面将ctocio的帐户的密码更改为123，可以看到命令成功完成。然后我们将ctocio加入frs组，输入同样的命令修改其密码为123，可以看到提示“密码不满足密码策略的要求。检查最小密码长度、密码复杂性和密码历史的要求。”，说明我们创建的帐户及其密码策略生效了。(图6)
　　
　　图6 将CTOCIO加入frs组
　　域环境下，在AC中部署的策略就相当于整个域中至高无上的法则，善用域策略将帮我们解决很多问题。除了上面例子外，Windows Server
2008的组策略在整个域中进行软件分发、网络打印机部署、安全管理等方面发挥着巨大的作用。

WIN2008安装及设置优化图解

peijialai@qingdaotse.com (文心春萌) — Thu, 19 Feb 2009 22:58:53 +0800

此篇文章只为新手设置优化WIN2008的图解指南，老手就不必
浪费时间了！

=700) window.open('upload/200902192302304454.jpg');" src="http://blog.cnxcn.net/upload/200902192302304454.jpg" width="700" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
这是安装时的初始画面

=700) window.open('upload/200902192302321502.jpg');" src="http://blog.cnxcn.net/upload/200902192302321502.jpg" width="700" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
三个版本可自行选择，默认第一项即可

=700) window.open('upload/200902192302328574.jpg');" src="http://blog.cnxcn.net/upload/200902192302328574.jpg" width="700" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
开始安装，其中重启2次

=700) window.open('upload/200902192302328566.jpg');" src="http://blog.cnxcn.net/upload/200902192302328566.jpg" width="700" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
安装完成

=700) window.open('upload/200902192302337374.jpg');" src="http://blog.cnxcn.net/upload/200902192302337374.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
可以自定义桌面图标

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
取消UAC用户控制

=700) window.open('upload/200902192302346070.jpg');" src="http://blog.cnxcn.net/upload/200902192302346070.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
取消系统登陆时，要求输入用户名和密码
开始→运行→输入“rundll32 netplwiz.dll,UsersRunDll”命令打开帐户窗口
=700) window.open('upload/200902192302355178.jpg');" src="http://blog.cnxcn.net/upload/200902192302355178.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
在这里重新输入你的新密码

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
登入时，不显示服务管理器

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
取消IE增强的安全配置

=700) window.open('upload/200902192302377751.jpg');" src="http://blog.cnxcn.net/upload/200902192302377751.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
两项全都点击禁用

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
主题和高级音频设为自动，为漂亮的画面和优美的音质做准备

=700) window.open('upload/200902192302397784.jpg');" src="http://blog.cnxcn.net/upload/200902192302397784.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
点击运行：gpedit.msc 设为自动，点击启动。必须点啊，可别忘了！

=700) window.open('upload/200902192302392381.jpg');" src="http://blog.cnxcn.net/upload/200902192302392381.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
同上

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
点击运行：gpedit.msc登入时，无需按。。。。。

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
点击运行：gpedit.msc设为禁用，要不关机时太麻烦

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
点击运行：gpedit.msc简单密码模式
=700) window.open('upload/200902192302444348.jpg');" src="http://blog.cnxcn.net/upload/200902192302444348.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
我的电脑右键属性，进入设备管理器，磁盘属性

=700) window.open('upload/200902192302451545.jpg');" src="http://blog.cnxcn.net/upload/200902192302451545.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
我的电脑右键属性，进入高级选项

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
打开服务管理器，选择功能
桌面体验不装，主题无法运行；会提示重新启动！

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
这是驱动优化设置完成打开特效后的的画面

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />

'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
这是激活后的画面，下面附破解文件

=700) window.open('upload/200902192302521522.jpg');" src="http://blog.cnxcn.net/upload/200902192302521522.jpg" onload="if(this.width>'700')this.width='700';if(this.height>'700')this.height='700';" border="0" alt="" />
现在的破解还不是很完美
----------------------------------------------------------------------------------------

一些常用小工具
激活2008
激活2008.rar (546 K) 下载次数:711
永不需要激活的破解操作文档
永不需要激活的破解操作文档.rar (5 K) 下载次数:358
2008设置程序
2008设置.rar (6 K) 下载次数:287
Windows Server 2008 红外线功能补丁
Windows Server 2008红外线功能补丁.rar (505 K) 下载次数:179
Windows Server 2008 的主题破解(UXTheme.dll)
UXTheme_Patch.rar.rar (887 K) 下载次数:288

--------------------------------------------------------------------------------------------------
一些常用的技巧和问题

1.系统默认的资源分配是优先后台服务，我们做个更改，提高前台程序性能，解决的办法是右击电脑属性打开“高级系统设置”窗口，
切换到“高级”选项卡，单击“性能”区域下的“设置”按钮，再次切换的“设置”按钮，再次切换到“高级”选项卡，可以看到这里默认选择的是“后台服务”，请更改为“程序”，确认后即可生效。以后，Windows Server 2008会优先响应前台应用程序，而不是后台的默默服务。

2.加速启动速度，如果你使用的是单系统，安装Windows Server 2008的目的可能只是为了尝新鲜，那么完全可以关闭那些对单系统
来说没有什么实用价值的服务。方法是右击桌面上电脑属性窗口，在左侧任务窗格中选择“高级系统设置”，此时会打开与Windows XP一样的“系统属性”对话框，现在请在“启动和故障恢复”区域中单击“设置”按钮，将所有勾选的项目全部取消，同时将“写入调试信息”设置
为“无”。按应用就可。

3.点选开始——管理工具——服务，设Themes自动启动就可以应用vist主题，设Windows Image Acquisition(WIA)为自动启动，就可
以使用扫描仪和解决一般的设像头问题

4.修改为简单密码登陆：在运行中键入"gpedit.msc“，在组策略——计算机配置——安全设置——账户策略——密码策略中禁用密码必须
符合复杂性要求，Ctrl+Alt+ . —更改密码，修改为简单密码

5.在运行中键入 powercfg -h off 关掉休眠，右键点计算机——属性——高级系统设置——调整以优化性能改为“程序”，数据执行保护改
为“仅为基本。。。（这样CS等游戏就可以玩了)

6.关掉IE增强模式：在服务器管理（server manager）——configure IE ESC中，把user选为off，关掉标准用户的增强模式

7.2008修改权限的方法，让你完全控制

右键点击它选择属性, 进入安全选项卡, 点击下面的高级, 在新窗口中进入所有者选项卡, 点击编辑, 选中 Administrators, 确定关闭
全部对话框. 再次右击该文件选择属性, 然后依次进入安全选项卡 -编辑 - 权限选项卡 -编辑, 双击其中的Administrators, 勾选上完全控制后面允许一列下面的复选框, 确定关闭全部对话框.
现在已经取得了控制权。

8.创建标准用户,设置开机自动登陆：在控制面板—用户里，建立一个标准用户，设置好密码，在运行中键入 control.exe userpasswords2，
选中新键的那个用户后，再把“要使用本机.。。。”的对勾去掉，确定后，弹出对话框，确认密码后(密码要和你账户原有的密码一致），再重启机器时，就直接用这个用户进入系统了，管理员的账户，非特别原因就不要再进了

9.给标准用户添加关机权限：点开始——管理工具——本地安全策略——用户权限分配——关闭系统中，添加标准户，使此用户有关机权限

10.如果3D游戏卡的厉害，在显卡的3D设置里关掉垂直同步

11.关闭手动关机时的询问对话框：在运行中输入gpedit.msc打开组策略，选计算机配置——管理模板——系统——禁用显示“关事件跟踪程序”，
关机或重启时就不会出现询问对话框了

12.关闭自动播放：现在的U盘病毒大大流行，请先把控制面版——自动播放中“为所有媒体和设备使用自动播放”前面的对勾去掉，下载这个附件
到桌面( 打开U盘.rar )，我的U盘盘符是F, 下载后，右键点编辑，把"F"改为你的U盘盘符，以后插入U盘后，养成直接点桌面这个.bat文件，用Dos打开U盘窗口的习惯，防止双击U盘后感染上自动运行的病毒

13.防火墙设置：运行安全配置向导，安装VistaFirewallControl-Setup-i386，使防火墙的传入了传出都可以提醒并快速设置（如果要自行设置或
运行了安全配置向导后，无法打开文件共享与音频等问题，请参考点这里查看

14.开启SuperFetch，建议大内存用户使用（开启方法见我的批处理文件），如担心损伤硬盘，也可以，在设备管理器—磁盘驱动器—右键点要
修改的磁盘的属性—策略里，启用磁盘上的写入缓存和高级性能两个选项

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1、如何关闭UAC？
控制面板→用户帐户→打开或关闭用户账户控制→取消使用用户账户控制（UAC）帮助保护您的计算机。
2、如何取消开机按 CTRL+ALT+DEL登陆？
控制面板→管理工具→本地安全策略→本地策略→安全选项→交互式登陆：无须按CTRL+ALT+DEL→启用。
3。如何取消关机时出现的关机理由选择项？
开始→运行gpedit.msc →计算机配置→管理模板→系统→显示“关闭事件跟踪程序”→禁用。
4。如何实现自动登陆？
开始→运行→输入“rundll32 netplwiz.dll,UsersRunDll”命令打开帐户窗口，先选中要自动登陆的账户，去选“要使用本机，用户必须输入用户名
密码”复选框，输入该帐户的密码即可(前提是要关闭UAC)。
5。如何取消每次开机的默认共享？
将下列内容导入注册表，重启即可(前提是要关闭UAC)。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\Parameters]
"AutoShareServer"=dword:00000000
6。如何取消IE增强的安全配置？
服务器管理器→安全信息→配置IE ESC→弹出窗口中管理员和用户都选择禁用。
7。如何启用Vista主题？
1）服务器管理器→功能摘要→添加功能→选择安装桌面体验。
2）启动Themes服务，并设置启动类型为自动。
3）桌面右键→个性化→主题→选择相应的Vista主题。
8。如何启用摄像机，摄像头或者扫描仪等设备？
启动Windows Image Acquisition (WIA) 服务，并设置启动类型为自动。
9。如何打开显卡的硬件加速？
桌面右键→个性化→显示设置→高级设置→疑难解答→更该设置→硬件加速→完全。然后运行dxdiag，打开显示选项卡，会发现DirectX功能已经
全部启用了。
10。开启ICF后局域网内机器如何实现互访？
控制面板→Windows防火墙→取消阻止所有传入连接，并在“例外”中选中“文件和打印机共享”。
11。为何无法实现局域网互访？
从以下几个方面入手：
本地连接→右键属性→取消Internet协议版本6，缩短验证时间。
检查各机器所属工作组名称是否一致。
检查机器IP是否在同一网段，如192.168.1.X。
将网络和共享中心→网络连接→自定义→位置类型设置为专用，降低保护。
将网络和共享中心→共享和发现→网络发现启用，文件共享启用，密码保护的共享关闭。
12。如何设置IE浏览器代理？
打开IE工具栏的Internet选项→连接→拨号和虚拟专用网络设置中选中您的拨号连接→设置，在“设置”页面中，选中“对此连接使用***************”然后
在“地址”栏中填上***************�地址和端口，单击“确定”。
13。桌面上“计算机”图标消失了，要如何恢复？
桌面右键→个性化→更改桌面图标（左侧）。
14。如何快速复制文件、文件夹路径？
按 Shift 键，右键点击需要复制路径的文件、文件夹或快捷方式等，在弹出菜单里面有一项复制为路径(A)，点击后可复制该文件、文件夹路径。
15。文件反向选择的快捷键是什么？
ALT＋E弹出菜单后按I。
16。如何更改桌面上的图标的大小？
Ctrl＋鼠标滚轮或者桌面右键→查看→经典图标。
17。如何察看系统许可信息？
运行slmgr.vbs -dlv。
18。某些应用程序无法运行，该如何处理？
尝试更改数据执行保护设置，控制面板→系统→高级系统设置→高级→性能→设置→数据执行保护→为除下列选定程序之外的所有程序和服务启用
DEP，添加该应用程序。
19。如何更改用户文档默认存放位置？
开始菜单→文档→右键属性→位置选项卡，更改为自定义的路径。
20。如何关闭休眠功能？
桌面右键→个性化→屏幕保护程序→更改电源设置→更改计算机的睡眠时间→使计算机进入睡眠状态设为从不。
21。如何彻底删除休眠文件？
系统盘右键→属性→常规→磁盘清理→选中休眠文件清理器→确定。
22。开始菜单电源按钮默认设定为“关机”，如何更改为“休眠”？
控制面版→电源选项→选中的“首选计划”→更改计划设置→更改高级电源设置，在弹出的设置窗口中找到“电源按钮和盖子”→“开始”菜单电源按钮→
设置→休眠，确定即可。
23。如何使用3D方式切换程序？
在开启Aero外观的情况下，使用Win（视窗键）＋Tab可以使用3D方式切换程序，Win（视窗键）＋Ctrl＋Tab可以使程序3D窗口暂时停留在桌面上。
24。如何实现退出系统时清除最近打开的文档的历史？
开始→运行gpedit.msc →用户配置→管理模板→『开始』菜单和任务栏→退出系统时清除最近打开文档的历史，设为已启用就可以了。

关于用了IIS防火墙后ajex报“sys未定义”的问题

peijialai@qingdaotse.com (文心春萌) — Mon, 16 Jun 2008 10:41:01 +0800

前段时间服务器安装了龙盾IIS防火墙。但随之网站报出了“sys未定义的错误”，

网站用asp.ney 2.0来开发的。随即到网上搜索了一下，有诸多原因：

1、Web.config配置问题：
将Web.config中的相关节配置成如下，然后重新编译你的程序：

如果还有错误，试着把写在紧随

标记内

2、权限问题：
匿名用户无法访问 axd文件时，就会造成此类错误，关于这个的讨论大家可以看看《Asp.net Ajax 中的脚本错误: Sys未定义的解决方法》，在这里作者有详细的讨论

3、IIS的问题，由于IIS版本问题也可能导致此类错误，比如你用的服务器操作系统是2000 server等等，你需要把它们升级到最新版本，这主要是针对IIS的升级。Win2003用户可以从下面这个地址下载到相关的补丁http://download.microsoft.com/download/7/b/1/7b1f473c-547d-4196-b00d-bf3aa2a3e898/WindowsServer2003-KB912812-x86-CHS.exe （建议你安装sp2并实时更新升级）
相关讨论大家还可以看一下这儿的讨论：博客园——http://www.cnblogs.com/ltc31/archive/2006/09/20/510003.html

4、类库问题：
如果真是这儿的问题应该解决起来就比较简单了，你只需要安照下面的步骤做即可
到http://ajax.asp.net/downloads/beta/default.aspx?tabid=47&subtabid=471 下载一个库文件然后解压到X:\Program Files\Microsoft ASP.NET\ASP.NET 2.0 AJAX Extensions\v1.0.61025 （x代表你安装路径盘符）
即可

5、有人提到用IP访问就会有问题，用Localhost或者域名就正常，这儿我估计是缓存的问题，可以更新一下缓存看看是不是能够解决

6、另外就杀毒软件的问题了，如果你的杀毒软件比较敏感的话也可能会杀掉了某些js程序导致此类问题的产生

7、当然了，你首先得检查一下你的浏览器没有禁止javascript脚本才行（这个应该最早确认）

8、我自己解决办法：我在试了上面几种方法之后都没有很好地解决，于是我就把所有的Asp.net Ajax的东东全部删除，包括ToolKits，然后再从asp.net上重新下载最新版本的Ajax安装之，发现问题简简单单地解决了。安装成功后，在VS的工具箱里分别多了Ajax Extions和Ajax ToolKits两个选项卡，之后我安装后是没有的…… 大家不妨也试一下，按理说成功安装完成之后就可以正常使用的

9、程序本身的问题：如果你在程序中有自己的Javascript代码的话，你需要仔细检查一下客户端执行后的代码情况，看看是不是某些变量在未定义前就使用了，特别要注意加载的顺序，总之这也是一个造成sys 类型未定义的一个原因。

但试过各种解决办法之后还是不能解决，郁闷的要命了。

后来我把焦点集中到了龙盾防火墙上面，对，试一试。各种方法多试过了，折腾了很长时间，不在乎再折腾一次。

随即卸载龙盾。

随即打开网站，问题解决了，再也没出那烦人的“sys未定义”错误了，刷新了几次，也没问题。

但为什么呢？为什么呢？……

我又在虚拟机上研究折腾了一段时间，把龙盾能设置的地方都设置了，原来最终问题还是出现在.axd文件上。

IIS根本不能正常解析axd文件，我猜想应该是龙盾防火墙把它给禁止了。安装龙盾后在IIS的“通配符应用程序映射”出加了一条：

C:\WINDOWS\ExtIIS.dll

应该是他把axd文件给禁止了，我在龙盾里面设置允许访问axd文件都不行。

最后，我把这个网站的“通配符应用程序映射”处的“C:\WINDOWS\ExtIIS.dll”删掉，问题迎刃解决。

记住：不要把所有网站的映射去掉，这样，其他网站还受保护。

后来我又测试了一下，虽然去掉了，映射，龙炖的其他过滤，sql，脚本等等，都还起作用。

或许是龙盾把vxd文件的过滤写死在dll里面了，把vxd的请求给拦截了，但龙盾系统日志里面却有没有记录。或许还有其他更好的解决办法，进一步研究之中……