解决Windows域管理的几个经典问题

1、解决Windows域管理的几个经典问题2008-05-30 10:57 近日在为公司配置域管理架构的时候，遇到了一些问题，上网 google 发现这些问题的提问者众 多，堪称“经典”问题。 Windows 域管理已经不是什么新鲜玩意儿了，可网上各类答案很多驴唇 不对马嘴，互相抄来抄去，让提问者不得要领。特撰此文， 将我实际解决问题的小小经历记录下 来与大家分享，避免大家遇到相同问题的时候走弯路。我公司的网络结构采用 VLAN划分部门，服务器单独一个 VLAN通过在核心交换机上配置 路由和ACL实现各部门之间不可互访， 通过访问服务器进行数据交换。 服务器是 Win2003企业版, 不记得用什么

2、光盘装的了， 反正网上下的，装完后打过SP2补丁，安装的Win2000域控制器模式 （有 Win2000 的服务器）。域名： binhu.local主域控制器： 192.168.0.6/24192.168.0.254/24（双网卡）这个网段只有网管部门可访问，本来是调试用的，还没有正式迁移到服务器网段，不过可以和服务器网段建立通信。额外域控制器： 192.168.2.254/24服务器网段DNS：192.168.2.254DHCP: 192.1682254已经通过交换机的 UDPHelp把各个 VLAN的DHCF网段都做好了，只配置了 IP 、网关、 DNS。局域网计算机有 Win2k Pro

3、和WinXP Pro，W2k是用自己封装的 ghost批量安装的，xp是用的 YlmF_GhostXP_SP3_Y1.0 ，当然都是会随机产生 SID 啦，全部采用自动获取 IP 地址， 安装后默认设置不变， XP 自带防火墙开启，配置如图 1 。F Tindovs防火肓常规J例外 高级石4三防火墙已关闭°燃的计算机存在彼外部源机攻击和 人侵的风险口建曲单击“高规"选项卡并选掾“启用"B程序和服务世)：名称UPnP框架| WinAows JtF 网貉诙針0求件和打印机井李 画证程协助0匾程莫卫乔加程序©).忝加嚥口迎工編 it (£).| |

4、册瞬防火睹阻止程序时通知我皿(图1 )在客户端可以 Ping通服务器IP地址以及binhu.local。总之网络层的互联互通是OK的，下面的问题全都不是由网络配置问题造成的，如果您确定您的网络配置都正确，并且网络结构和我大系统提示“找不到网络致相同或比我的还简单，可以继续往下看！问题1:新计算机在添加到域的过程中，按提示输入了域帐户和密码后,路径”。答：启动计算机的“ TCP/IP NetBIOS Helper ”服务。很不幸，我做的 w2k镜像和ylmf的xp 镜像刚好都把该服务设为了手动，为了这个问题我专门硬装了一遍xp，刚装好是可以加入域的，而在我习惯性的“优化”完系统以后，又“找不到网

5、络路径”了，经过逐项排除，终于锁定到这还是值得的，至少不个问题的关键，从发现问题到解决问题花了我2个小时用理会某些人说的“要在域环境下正常工作就不要使用ghost ”之类的话。问题2：加入到域的计算机，无法在域控制器上打开“计算机管理”。答：刚把计算机test加入到域，我就迫不及待的登陆到域控制器，想通过AD控制台远程打开该计算机的“计算机管理"，结果又弹岀提示“找不到test.bi nhu.local的网络路径"，郁闷ing。尝试在域控制器上pi ng 了一下 test.b in hu.local，居然提示"Pi ng request could notfind

6、 host test.binhu.local.”，域名解析失败！赶紧检查 DNS记录，发现 test.binhu.local主机记录安然的躺在正向搜索区域中，看来不是DNS服务器的问题。猛然想起 本地DNS缓存，赶紧关闭“ DNS Client ”服务，再次尝试问题解决。原来 即使是在DNS服务器上进行域名解析，也 不是直接查找的 DNS数据库啊！总结经验：在局域网部署过程中，网络节点变化比较频繁，建议 关掉网络计算机上的本地DNS缓存服务，待局域网正常运作之后，网络节点变化较少，再根据DNS服务器响应DNS请求的负荷来考虑是否有必要打开该服务。问题3:加入到域的计算机，在域控制器上打开“计算

7、机管理”，部分项无法管理。答：打开“计算机管理”后，发现“本地用户和组”打，除了可以查看“共享文件夹”下的内容外，其它项目都不能正常查看。在经历了上面2道磨难后，又遇到这种问题，是不是倍受打击呢？其实对于稍微“马虎”一点的管理员，一般都不会碰到这个问题。无奈我配置域管理的目的是为了便于分发安全策略，不得不“精细化管理”，从组策略到服务到共享到防火墙统统折腾了一遍还是很有收获的！在无数次的“ gpupdate"之后，摸索到一些既不影响“计算机管理”，又能一定程度提高安全性的方法。（1 ）共享：有IPC$即可，其它默认共享都可以关掉。（2 ）网络组件：必须安装“ Microsoft网络文

8、件和打印机共享"，且必须打钩。（3 ）内置防火墙：需要允许“文件和打印机共享"，且不限制135、137、138、139、445等端口的监听。（当然您可以用更强大的防火墙进行数据筛选，看个人功力了:）（4）服务：需要启动“ Server "、“ TCP/IP NetBIOS Helper "、“ Remote Registry ”服 务。（5） 组策略：为了增强网络访问安全性，我在安全选项中启用了“不允许SAM帐户的匿名枚举”、“不允许 SAM帐户和共享的匿名枚举”、“限制对命名管道和共享的匿名访问”等三 个选项，事实证明不会影响到“计算机管理”。由于进行

9、了（1）（4）项配置，只有以其它方式来禁止共享文件夹了。我在“用户权限分配”中将“从网络访问此计算机”设为仅有“ DomainAdmins "组，又把 拒绝从网络访问此计算机"设为“ Domain Users、Users、Power Users 、Guests ”，不能从域控制器远程打开计算机管理”了。经过分析，是由于我登陆到域控制器的管理员帐户默认也是“ Doma in Users ”组的成员，将它拿岀来，再试还是不行，直到我把Users组从拒绝从网络访问此计算机”选项中拿岀来以后，又可以正常打开了。原因可能是：1.该管理员帐户同时也是 Users组成员，在升级为域控制器

10、之后，没办法从Users组中拿岀来了，我没有进一步尝试；2.域管理员帐户通过网络访问客户机，会被自动应用到Users组成员中，纯属猜测，没有详细查资料。总而言之，只好放任Users组成员不管了，好在我禁用了客户机的本地帐户，只能登陆到域，变成Doma in Users就归我管了，嘿嘿，基本解决了禁止文件夹共享的问题了吧，现在即使是在客户机设置了Every One 完全访问的共享文件夹，普通用户也拒绝访问。当然你也可以完全不理会是否打得开“计算机管理”，那就得自己测试一下是否能正确分 发组策略了。问题4： Domain Users 无法运行 AutoCAD R14等软件的问题。答：说到域环境下部

11、署应用程序的问题，这涉及到企业软件管理制度、计算机管理制度等方面， 可谈的话题十分宽泛，这里仅从不控制软件使用的角度上讲一讲在域环境下部署应用程序的一些 思路。（1 ）在FAT32目录下安装的软件、绿色软件等等，很多是可以不用部署直接运行的。（不到万不得已不推荐用 FAT32）（2）在组策略上启用“ 软件限制策略 ”，按默认即可，大部分软件马上能够正常运行。（3）按（ 2）设置后，对于 Autocad r14 这样的老软件，不妨 试一试新版本 ， Autocad 2006 就 可以正常运行，经我测试的 Matlab6.5 、 Protel99se 、 SolidWorks 2006 等都可以正常运行。（4）还不能运行的软件，用 组策略的“软件安装”功能 ，先把软件制作成 MSI 安装包，再放到 共享点，再配置组策略。制作 MSI 包的工具在 Win2003 的安装光盘上有。（5）软件不能正常运行