为什么我进启动游戏以后按照你的show readmee文件操作打了test@和任意输入密码也进不了去?谢谢了大哥
点击联系发帖人
时间:2012-05-28 10:23
用户名:划舞鱼
文章数:35
访问量:22479
注册日期:
阅读量:1297
阅读量:3317
阅读量:452715
阅读量:1137173
51CTO推荐博文
Postfix邮件系统的组成及原理用到的主要协议和软件1.邮件用户代理(MUA)MUA是一个邮件系统的客户端程序,它提供了阅读、发送、和接受电子邮件的用户接口,是用户和MTA之间的接口。常用软件Windows下有outlook、Foxmail等;Linux下有Thunderbird、Evolution等.MUA至少具有如下3个功能: & & & &a.撰写邮件 & & & &b.显示邮件 & & & &c.处理邮件2.邮件传输代理(MTA) & & & &MTA主要用于存储和转发邮件,也可以说是邮件服务器软件的总称。常用软件:windows下的exchange,Linux下Sendmail、Postfix、Qmail等;MTA主要功能: & & & &a.接收和传递由客户端发送的邮件 & & & &b.维护邮件队列,以便客户端不必一直等到邮件真正发送出去 & & & &c.接收客户的邮件,并将邮件放置在缓冲区存储,直到用户连接从而收取邮件 & & & &d.有选择的转发和拒绝转发接收到的、目的地为另一个主机的消息3.邮件分发代理(MDA) & & & &MDA主要负责将MTA接收的邮件传递到收件人的邮箱(mailbox)中4.电子邮件基本的工作流程 & & & &用户----MUA---MTA...........MTA---MUA----用户5.相关协议 & &1).简单邮件传输协议SMTP & & & &监听25端口; & & & &邮件的发送过程中有两处要用到这个协议: & & & & & &a.发送邮件的MUA与MTA建立链接并发送邮件 & & & & & &b.MTA之间的邮件转发 & &2)邮件访问协议 & & & &a.POP3(Post Office Protocol) & & & & & &Pop协议要检测用户的登录名和口令,然后将用户的邮件从服务器移动到用户本地桌面系统的MUA中,监听110端口 & & & &b.IMAP(Internet message access protocol) & & & & & &IMAP是Pop的替代品,踏出了提供与pop相同的基本功能外,还增加了对邮箱同步的支持,即IMAP提供了如何远程维护服务器上的邮件箱的功能,监听143端口 & &Postfix系统更新,添加支持mysql模块,构建邮件系统 &1.Postfix添加Mysql模块$tar zxf postfix-2.10.2.tar.gz
$cd postfix-2.10.2
$make -f Makefile.init makefiles
//需要db*-devel,gcc支持$ make upgrade & & & & //make -f 后边不添加mysql的头文件及库文件参数,makeupgrade更新后postfix将不支持mysql服务,可以使用postconf-m 查看,若不支持mysql需要重新解压postfix包重新更新,如下首先需要安装mysql-devel开发包$yum install mysql-devel
$make -f Makefile.init makefiles \
&'CCARGS=-DHAS_MYSQL -I/usr/include/mysql' \
//指定mysql的头文件所在目录
&'AUXLIBS=-L/usr/lib64/mysql -lmysqlclient -lz -lm'
//指定mysql的库文件所在目录$make upgrade
//更新后,再使用postconf-m查看可以支持mysql模块2.安装PhpMyAdmin,以web页面形式操作Mysql数据库,建立邮件用户信息: & & & &PhpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。$yum install httpd php php-mysql
$tar -zxf phpMyAdmin-3.5.7-all-languages.tar.gz -C /var/www/html
$cd /var/www/html/
$mv phpMyAdmin-3.5.7-all-languages/ phpmyadmin
$cd phpmyadmin/
$cp config.sample.inc.php config.inc.php$vi config.inc.php
$cfg['blowfish_secret'] = 'tian';
//第二个引号中必须要有字符串,可任意$/etc/init.d/httpd start用浏览器访问127.0.0.1/phpmyadmin就可以以web形式访问mysql,用户名密码仍未mysql的浏览器访问mysql后,建立库(linux),在建立表email,结构内容如下 & & & & & & & username &varchar(25) & & & & & & & & & & & & password &varchar(20) & & & & &test & & & & & & & domain & &varchar(15) & & & & & & & & & & & & mailbox & varchar(15) & & & & &/test/$useradd -u 800 email & & & & & & //添加邮件用户emailmysql& grant all on linux.* to email@localhost identified by'email';
Query OK, 0 rows affected (0.00 sec)
//用户授权 & &postconf -d & & & & & & //查看默认设置 & &postconf -n & & & & & & //查看当前设置 & & 3.配置Postfix[root@ty ~]$ postconf -e virtual_mailbox_base=/home/email/
[root@ty ~]$ postconf -e virtual_gid_maps=static:800
[root@ty ~]$ postconf -e virtual_uid_maps=static:800$vi mysql-alias.cf
user = email
password = email
dbname = linux
table = email
select_field = username
where_field = username$vi mysql-domains.cf
user = email
password = email
dbname = linux
table = email
select_field = domain
where_field = domain$vi mysql-mailboxs.cf
user = email
password = email
dbname = linux
table = email
select_field = mailbox
where_field = username$ postconf -e "virtual_alias_maps =mysql:/etc/postfix/mysql-alias.cf"
$ postconf -e "virtual_mailbox_domains =mysql:/etc/postfix/mysql-domains.cf"
$ postconf -e "virtual_mailbox_maps =mysql:/etc/postfix/mysql-mailboxs.cf"$ postmap -q ""mysql:/etc/postfix/mysql-alias.cf
$ postmap -q "ty.com"mysql:/etc/postfix/mysql-domains.cf
$ postmap -q ""mysql:/etc/postfix/mysql-mailboxs.cf现在就可以测试发送mail到,若发送成功则会在/home/email目录下生成</邮件目录-------------------------------------------------------------- & & & & &Postfix只承担邮件系统中的MTA功能,一个完整的邮件系统还需要很多其他的功能,如POP/IMAP服务、Web界面客户端、垃圾邮件过滤等,这些功能Postfix都是无法完成的,需要第三方软件的支持;下面就开是添加各个软件:Postfix+mysql+dovecot: & & & Dovecot软件是一种在Linux下使用的开源软件,他可以提供POP3和IMAP服务。Dovecot将安全作为主要设计目标,速度快、占用内存小、配置简单,可以在各种规模的场合使用。在实际使用中,常见的邮件系统使Postfix、Dovecot和Mysql三者配合搭建的邮件服务器。其中Postfix作为邮件发送服务,Dovecot作为邮件接受服务,而Mysql作为帐号存储服务器。 & &$yum install dovecot dovecot-mysql & &$vi dovecot.conf & & & & & listen = *, :: & &$cd /etc/dovecot/conf.d$vi 10-auth.conf
!include auth-system.conf.ext
!include auth-sql.conf.ext$vi 10-mail.conf
mail_location = maildir:/home/vemail/%d/%n
//maildir不变,只变后边路径
first_valid_uid = 888 & &$cat auth-sql.conf.ext & //需要有/etc/dovecot/dovecot-sql.conf.ext文件 & &$cd /usr/share/doc/dovecot-2.0.9/example-config & &$cp dovecot-sql.conf.ext /etc/dovecot/$vi dovecot-sql.conf.ext
driver = mysql
connect = host=localhost dbname=vmail user=email password=email
default_pass_scheme = PLAIN
password_query = \
SELECT username, domain, password \
FROM postfix WHERE username = '%u'
user_query = SELECT mailbox, 888AS uid, 888 AS gid FROMpostfix WHERE
username = '%u'
//from+表,select+表的内容选项配置文件修改好后,测试dovecot是否成功$telnet localhost 110
Trying ::1...
Connected to localhost.
Escape character is '^]'.
+OK Dovecot ready.
+OK Logged in.若登录出现Loggedin.则dovecot成功---------------------------------------------------------------------------添加Extmail软件,以web方式操作邮件系统 & & & &Extmail是一个以perl语言编写,面向大容量/ISP级应用,免费的高性能Webmail软件,主要包括ExtMail、Extman两个部分的程序套件。ExtMail套件用于提供从中登录、使用的Web操作界面,而Extman套件用于提供从浏览器中管理邮件系统的Web操作界面。 & & & &Extmail 套件可以提供给普通用户使用,而Extman套件可以提供给的使用.extmail包含两个包: & & &extmail-1.2.tar.gz & & //为前端邮件工具,配置文件为webmail.cf
& & &extman-1.1.tar.gz & & &//为后端管理工具 & & & & webman.cf$mkdir /var/www/extsuite
$tar zxf extmail-1.2.tar.gz -C /var/www/extmail
$tar zxf extman-1.2.tar.gz -C /var/www/extman
$cd extman/docs
$vi init.sql
//可以修改postmaster和root的密码
$mysql -uroot -pwestos & extmail.sql
//导入数据库
$mysql -uroot -pwestos & init.sql
$cd extmail$cp mysql_virtual_alias_maps.cf /etc/postfix/mysql-alias.cf
$cp mysql_virtual_domains_maps.cf /etc/postfix/mysql-domains.cf
$cp mysql_virtual_mailbox_maps.cf /etc/postfix/mysql-mailbox.cf$postmap -q "postmaster@extmail.org"mysql:/etc/postfix/mysql-alias.cf
$postmap -q "postmaster@extmail.org"mysql:/etc/postfix/mysql-mailbox.cf
$postmap -q "extmail.org"mysql:/etc/postfix/mysql-domains.cf现在就可以测试给postmaster@extmail.org发mail,若/home/vmail/下创建目录成功,则ok$cp webmail.cf.default webmail.cf
$vi webmail.cf
SYS_LOG_ON = 0
//日志功能关闭
SYS_MAILDIR_BASE = /home/vmail
//为系统用户,邮件存放目录
SSYS_MYSQL_USER = extmail
//为extmail库的用户,默认extmail.sql生成
SYS_MYSQL_PASS = extmail$chown -R vmail.vmail cgi/
//修改cgi目录及其子目录权限,使该用户可以访问$vi /etc/httpd/conf/httpd.conf
//添加邮件虚拟用户
NameVirtualHost *:80
//添加内容INSTALL文件里有,只需根据自己的实际情况稍做改动即可
&VirtualHost *:80&
ServerName
DocumentRoot /var/www/extsuite/extmail/html/
ScriptAlias /extmail/cgi /var/www/extsuite/extmail/cgi
Alias /extmail /var/www/extsuite/extmail/html
SuexecUserGroup vmail vmail
//此处为系统用户
&/VirtualHost&$/etc/init.d/httpd restart使用extmail客户端时,必须先用mail命令发送一封邮件,以激活extmail登录extmail注册新用户使会用到extman后台管理端,所以须配置好extman后才可以注册会出现的问题ERROR1:因为没有配置文件/var/www/extsuite/extmail/webmail.cf,所以出现如此问题,执行$cp webmail.cf.default webmail.cf即可ERROR2:因为/extmail/cgi/index.cgi权限不符,须执行$chown -R email.email cgi/
//-R递归,email.email为系统用户,user.groupERROR3:少了perl-CGI包支持$yum install perl-CGIERROR4:配置文件webmail.cf中日志功能打开(SYS_LOG_ON= 1),但没有指定目录,将其关闭=0即可,或者在cpan.org网站中下载Unix-Syslog包安装后,即可:$tar -zxf Unix-Syslog-1.1.tar.gz
$cd Unix-Syslog
$perl Makefile.PL
//可能会出现如下报错
Can't locate ExtUtils/MakeMaker.pm in @INC
//缺少perl-ExtUtils-MakeMaker包 & $yum install perl-ExtUtils-MakeMaker再次执行,如下即可 &$make install注:mysql里设置的域不以定要和httpd.conf中的虚拟主机的ServerName相同,登录时填写的域须和mysql中一致,http中的虚拟主机domain须加入/etc/hosts里地址解析,否则用extmail客户端登录不上extman后台管理:$cd /var/www/extsuite/extman
$cp webman.cf.default webman.cf将以下两行添加到httpd.conf中(即上一步添加extmail内容内) & ScriptAlias /extman/cgi /var/www/extsuite/extman/cgi & Alias /extman /var/www/extsuite/extman/html重启apache$vi
SYS_MAILDIR_BASE = /home/email
SYS_CRYPT_TYPE = plain登录extman管理端$vim webman.cf
SYS_CAPTCHA_ON = 1
//验证码开关,此时没有安装验证码包,先关闭(=0)就可以进入extman
SYS_CAPTCHA_LEN = 6
//控制验证码长度可能会出现的ERROR:解决:$vi webman.cf
SYS_SESS_DIR = /tmp/extman/
//去掉后边的extman目录或者在/tmp下mkdir目录,并设置其权限和tmp相同现在就可以进入extmail后台管理端extman,但是会在System菜单中出现Nosuch file or directory问题,如下所以需要执行:$vi /etc/rc.local
/var/www/extsuite/extman/daemon/cmdserver &
//添加此行$/var/www/extsuite/extman/daemon/cmdserver &执行后刷新extman网页,此问题就会消失想要支持验证码功能,须安装perl-GD-2.45-1.el6.rfx.x86_64包,因为这包存在依赖性,所以选择yum的本地安装$yum localinstall perl-GD-2.45-1.el6.rfx.x86_64打开验证码开关,刷新既可以看到验证码vi webmail.cf
SYS_SHOW_SIGNUP = 1
//控制自由注册安装验证码包:yum localinstall perl-GD-2.45-1.el6.rfx.x86_64.rpm //localinstall安装本地包,并检查依赖性,安装成功后,在webman.cf中打开验证功能,刷新extman网页如下,就可以使用验证码功能,防止恶意登录、注册开启/var/log/maillog日志记录功能:vi /var/www/extsuite/extmail/webmail.cf & SYS_LOG_ON=1 & & & &//打开日志功能刷新extmail前端,会进不去报错没有Unix::syslog,则需要安装之,可以到cpan.org上下载Unix-Syslog-1.1.tar.gz解压安装$cd Unix-Syslog
$perl Makefile.PL
//会提示缺少安装包
Can't locate ExtUtils/MakeMaker.pm in @INC$yum install perl-ExtUtils-MakeMaker
//安装完后继续执行perlMakefile.PL$perl Makefile.PL
//若如下显示,则依赖性解决,可以makeinstall$make installextman图形日志的安装:现在还不支持图形日志,进入extman后端管理web界面下点击GraphLog会出现如下报错需要rrdtool-perl包的支持yum install rrdtool-perl安装好后仍不能显示图形,仍需以下步骤$cd /var/www/extsuite/extman/addon
$cp -r mailgraph_ext/ /usr/local/
$cd /usr/local/mailgraph_ext & $./mailgraph-init start & & 报错,未安装File-Tail-0.99.3.tar.gz包进入解压后的目录,安装$perl MakeFile.PL
$make install & $cd /usr/local/mailgraph_ext & $./mailgraph-init start报错,未安装perl-Time-HiRes包$yum install perl-Time-HiRes.x86_64
$./mailgraph-init start无报错,安装完成;现在刷新extman就可以看到图形日志vi /etc/rc.local & & &//加入开机启动 & /usr/local/mailgraph_ext/mailgrahp-init start &//添加 ###############################################基于web页面的邮件系统添加dovecot支持(Postfix+Extmail+Mysql+Dovecot)基于前边extmail、dovecot已安装,现在只需修改dovecot配置即可$vi/etc/dovecot/conf.d/10-mail.conf
mail_location =maildir:/home/email/%d/%n/Maildir
first_valid_uid= 800$vi/etc/dovecot/dovecot-sql.conf.ext
connect =host=localhost dbname=extmail user=extmail password=extmail
defdefault_pass_scheme= PLAIN
password_query= \
SELECTusername, domain, password \
FROM mailboxWHERE username = '%u'
user_query =SELECT maildir, 800 AS uid, 800 AS gid FROM mailbox WHERE
username ='%u'dovecot配置好后,启动,测试dovecot(使用的端口110)是否配置正确如此,则配置成功############################################使Postfix系统支持cyrus-sasl认证功能(SMTP认证机制) & & &Postfix服务器没有认证功能,任何一个客户端都可以通过SMTP与Postfix服务器进行连接,然后使用RCPT命令要求Postfix服务器转发邮件到收件人所在邮件服务器,也就是说,互联网上的任何计算机,不需要使用帐号就可以通过这台邮件服务器向任何邮箱发送邮件,这无疑为垃圾邮件的发送敞开了大门。 & & &因此,我们需要在SMTP服务器中使用身份认证机制,只有通过身份认证的用户才能发送SMTP请求服务器发送邮件到目的地。认证帐号一般与接受邮件的帐号相同,可以是操作系统帐号,也可以是虚拟帐号,或者是保存在数据库中的用户帐号。可以通过CyrusSASL(CyrusSimple Authentication and Security Layer)软件包实现。$yum
install cyrus-sasl-devel cyrus-sasl-plain
postfix-2.10.2$make
-f Makefile.init makefiles
'CCARGS=-DHAS_MYSQL \
-I/usr/include/mysql
-DUSE_SASL_AUTH
-DUSE_CYRUS_SASL
-I/usr/include/sasl
-DUSE_TLS''AUXLIBS=-L/usr/lib64/mysql
-lmysqlclient
-L/usr/lib64
-lcrypto'在/postfix-2.10.2/README_FILES/目录下查看各个模块的安装介绍 & & & & & &SASL_README
& & & & & &TLS_README & & & & & &MYSQL_README需要根据情况修改各模块的头文件和库文件目录查看sasl头文件和库文件目录rpm-ql cyrus-sasl-devel$makeupgrade
$/etc/init.d/postfixstart$postconf-e "smtpd_sasl_auth_enable = yes"
//激活sasl加密,是smtpd不是smtp & &smtpd_sasl_security_options= noanonymous &//限制某些登录方式,此处禁止采用匿名用户登录方式验证认证方式:$postconf-a & & & & & & & & & & &//postconf命令用来显示Postfix当前的配置状态,-a选项表示输出当前 cyrus & & & & & & & & & & & & & & & 支持的SASL认证类型dovecot重启服务,测试:telnetlocalhost 25 &//测试显示有字段AUTHLOGIN PLAIN,则开启成功 & & & & EHLO向服务器标识用户身份。发送者能欺骗,说谎,但一般情况下服务器都能检测到。可以鉴别接收方是否支持ESMTP(扩展SMTP)协议,接收方将返回所有支持的扩展命令。 & & & & &ESMTP就是对标准 SMTP协议进行的扩展。它与 SMTP服务的区别仅仅是,使用 SMTP发信不需要验证用户帐户,而用ESMTP 发信时,服务器会要求用户提供用户名和密码以便验证身份。验证之后的邮件发送过程与SMTP 方式没有两样。$vi/etc/sasl2/smtpd.conf
//在README_FILES/SASL_README文件中Thesql plugin部分定义
pwcheck_method: auxprop
auxprop_plugin:sql
mech_list:PLAIN LOGIN CRAM-MD5 DIGEST-MD5 NTLM
sql_engine:mysql
sql_hostnames:127.0.0.1
sql_user:extmail
sql_passwd:extmail
sql_database:extmail
sql_select:SELECT password FROM mailbox WHERE username = '%u@%r'
//需要根据mysql中的实际设置修改
//注意:一定要把例子中@符两边的单引号''去掉,否则会报SQL语法错误安装cyrus-sasl-sql-2.1.23-13.el6_3.1.x86_64.rpm &使sasl认证信息加入mysql$yumlocalinstall cyrus-sasl-sql-2.1.23-13.el6_3.1.x86_64.rpm
$perl-MMIME::Base64 -e 'print encode_base64("\0test\@ty.com\0test");'
AHRlc3RAdHkub3JnAHRlc3Q= & & & & & & //括号里边加入数据库extmail里的邮件用户,因为@为特殊字符,需要用\转义, & & & & & & //the\0 is a null byte$telnetlocalhost 25
Trying127.0.0.1...
Connectedto localhost.
Escapecharacter is '^]'.
ESMTP Postfix
250-PIPELINING
250-AUTHCRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
AHRlc3RAdHkub3JnAHRlc3Q=
Authentication successful
Connectionclosed by foreign host.
//则user发送mail时的认证加入成功------------------------------TLS使邮件传输链路加密$postconf -e "smtpd_tls_security_level = may"
//激活TLS加密
$postconf -e "smtpd_tls_session_cache_database =btree:/var/lib/postfix/smtpd_scache"
$cd /etc/pki/tls/certs
$make postfix.pem
//制作证书和key$postconf -e smtpd_tls_cert_file=/etc/pki/tls/certs/postfix.pem
//指定证书和key的目录$telnetlocalhost 25 & & //测试显示STARTTLS字符,则ok打开thunderbird,在OutgoingServer中编辑,Connectionsecurity为STARTTLS即可smtpd_client_restrictions= check_client_access hash:/etc/postfix/access //可以设置用此服务器发送邮件的主机(客户端)dovecot收信: & 未加密 & & & &加密端口pop3 &110 & & & &995(pop3s)imap4 143 & & & &993(imap4s)postfix发信 SMTP25 & &sasl认证是通过25端口给发件用户加一认证,即发mail时需要认证telnetlocalhost 110 &//测试dovecot是否配置成功telnetlocalhost 25 & //测试25端口tls是加密25端口,使邮件传输过程加密postconf -a & & //postconf命令用来显示Postfix当前的配置状态,-a选项表示输出当前支持的SASL认证类型##########################################Postfix邮件系统反垃圾反病毒:反垃圾:#yuminstall spamassassin & & &#cd /usr/share/spamassassin & & & & & & & & & & & & & & & & &//可以在此目录下存放反垃圾文件的规则Chinese_rules.cf & & & & & & & //支持中文的反垃圾规则;GB2312 windows下的邮件 & & & Chinese_rules_UTF-8.cf &//支持中文的反垃圾规则;UTF-8 linux下的邮件//规则中记录每个关键字的评分,当评分达到设定的门限值,就会自动屏蔽垃圾邮件/etc/mail/spamassassin/local.cf & & & & & & & &//此文件中记录设定的门限值 & & & & & required_hits5 &//最大分值report_safe0rewrite_headerSubject [SPAM] & & & & & & &//标记#spamd -D & & & & & & & & & & & & & & & & &//测试规则是否加入成功,须先stopspamassassin若规则没加成功,注意查看/var/lib/spamassassin目录,清空重试反病毒:下载安装包: & & & &clamav-0.97.6-1.el6.rf.x86_64.rpm & & & &clamav-db-0.97.6-1.el6.rf.x86_64.rpm & & & &clamav-milter-0.97.6-1.el6.rf.x86_64.rpm & & & &clamd-0.97.6-1.el6.rf.x86_64.rpm需要libmilter.so.1.0支持,所以得安装sendmail-milter包,官网rpm.pbone.net$yumlocalinstall sendmail-milter-8.14.4-8.el6.x86_64.rpm
$yumlocalinstall clam*
$freshclam
//安装完成后更新病毒库,要保证能够上网 & &$/etc/init.d/clamdstart & & & &//启动后可以使用clamdscan命令扫描病毒(这个speed快,但必须启动clamd),也可以用clamscan命令扫描(这个speed慢,不用再启动其他程序)$clamdscan/tmp
//扫描/tmp目录下是否有病毒文件
$clamdscan--remove /tmp
//扫描并直接删除病毒文件-------------------------安装mail扫描工具MailScanner-4.84.5-3.rpm.tar.gz$tar -zxf MailScanner-4.84.5-3.rpm.tar.gz
$cd MailScanner-4.84.5-3
$./install.sh
//此时安装会出现error:
Youneed to install the patch command from your Linux distribution.
Onceyou have done that, please try running this script again. & &需要rpm-build包的支持$yum install rpm-build
$./install.sh
$/etc/init.d/postfix stop & &$chkconfig postfix off & & &//关闭postfix及开机启动,因为开机自启动MailScanner时会调用postfix启动程序而开启postfix,即就是postfix交由MailScanner控制,并扫描mail配置MailScanner和postfix$vi/etc/MailScanner/MailScanner.conf
Run As User = postfix
Run As Group = postfix
IncomingQueue Dir = /var/spool/postfix/hold
OutgoingQueue Dir = /var/spool/postfix/incoming
MTA= postfix
IncomingWork Permissions = 0640
VirusScanners = clamav
SpamAssassinUser State Dir = /var/spool/MailScanner/spamassassin$mkdir /var/spool/MailScanner/spamassassin
$chown -R postfix.postfix /var/spool/MailScanner/spamassassin
$MailScanner --lint
//MailScanner语法测试,第一次安装会出现一些问题四个ERROR,解决如下:1.unrar未安装,下载rarlinux-3.8.0.tar.gz解压makeinstall$which unrar
//查看unrar目录
/usr/local/bin/unrar
$ln -s /usr/local/bin/unrar /usr/bin/
//必须放在/usr/bin/下,所以使用软链接指向其2.ERROR:The "envelope_sender_header" in yourspam.assassin.prefs.conf
ERROR:is not correct, it should match X-yoursite-MailScanner-From解决:$vi /etc/MailScanner/spam.assassin.prefs.conf
envelope_sender_headerX-yoursite-MailScanner-From3.config:failed to parse line, skipping, in "/etc/mail/spamassassin/ mailscanner.cf": use_auto_whitelist 0解决:$vi /etc/MailScanner/spam.assassin.prefs.conf
use_auto_whitelist0
//将此行注释4.Can not find Socket (/tmp/clamd.socket) Exiting! at /usr/lib/MailScanner/MailScanner/SweepViruses.pm line 3838查看/etc/clamd.conf中Socket如下:LocalSocket & &/var/run/clamav/clamd.sock根据这个修改MailScanner.conf里的Socket & &ClamdSocket = /var/run/clamav/clamd.sock本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)用户名:pizarro
文章数:50
访问量:63043
注册日期:
阅读量:1297
阅读量:3317
阅读量:452715
阅读量:1137173
51CTO推荐博文
Windows Server 2003图文教程(更新完成)
Windows Server 2003图文教程 A本教程从Windows Server 2003的入门到精通,详细介绍了Windows Server 2003部署、迁移以及故障诊断等多方面的知识,图文并茂,相信一定能对您有所帮助。如何把一台成员服务器提升为域控制器(一) 目前很多公司的中的PC数量均超过10台:按照微软的说法,一般中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始―设置―控制面板―添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/e48eq3333fb2.jpg"
'load')" border="0" /> 向下搬运右边的滚动条,找到“网络服务”,选中: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/43ig5st3221b.jpg"
'load')" border="0" /> 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/9zf6j00k0yg9.jpg"
'load')" border="0" /> 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到的提示,那就需要手动定位了。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/zz59p199i3pd.jpg"
'load')" border="0" /> 安装完DNS以后,就可以进行提升操作了,先点击“开始―运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/rp0vk9yj1b1y.jpg"
'load')" border="0" />如何把一台成员服务器提升为域控制器(一) 这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的来做为客户端。然后点击“下一步”: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/9a78s5a39te1.jpg"
'load')" border="0" /> 在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/vaizy4q8k52e.jpg"
'load')" border="0" /> 既然是第一台域控,那么当然也是选择“在新林中的域”: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5im0f07d1xzl.jpg"
'load')" border="0" /> 在这里我们要指定一个域名,我在这里指定的是, 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/i5f05q1ew9i6.jpg"
'load')" border="0" /> 这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/d7e5c833i5h1.jpg"
'load')" border="0" /> 在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/500s9e67841y.jpg"
'load')" border="0" /> 这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/1ey87bkh169y.jpg"
'load')" border="0" /> 第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/j827v15k2pj6.jpg"
'load')" border="0" /> “这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在” 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/1t98n7b93928.jpg"
'load')" border="0" /> 这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/ar41j747gj1q.jpg"
'load')" border="0" /> 这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5qng8s4ho1m8.jpg"
'load')" border="0" /> 几分钟后,安装完成: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/wcp0z9h5z02z.jpg"
'load')" border="0" /> 点完成: 点“立即重新启动”。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/gf1hy46quzsg.jpg"
'load')" border="0" /> 然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是关机和开机的速度明显变慢了,再看一下登陆界面: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/967c722kvl54.jpg"
'load')" border="0" /> 多出了一个“登陆到”的选择框: 进入系统后,右键点击“我的电脑”选“属性”,点“计算机” 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/sr590zh8b21g.jpg"
'load')" border="0" /> 怎么样?和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后的文章里讲述,这里就不再详谈了。
Windows Server 2003图文教程B
O&&。好的,& &有8个,那我占楼了本教程从Windows Server 2003的入门到精通,详细介绍了Windows Server 2003部署、迁移以及故障诊断等多方面的知识,图文并茂,相信一定能对您有所帮助。如何把一台成员服务器提升为域控制器(二)在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下如何把下面的工作站加入到域。 由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/7ucc8jud88qs.jpg"
'load')" border="0" /> 先来新建一个用户,展开“”,在“Users”上击右键,点“新建”-“用户”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/70i3af557at1.jpg"
'load')" border="0" /> 然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/rheq80f57bwr.jpg"
'load')" border="0" />650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/w.jpg"
'load')" border="0" /> 这样点“下一步”,直到完成,就可以完成用户的创建。然后在“”上点击右键,先择“委派控制”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/z1x.jpg"
'load')" border="0" /> 就会出现一个“委派控制向导”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/jho064rlc3x0.jpg"
'load')" border="0" /> 点击“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/7zh14c44mvd6.jpg"
'load')" border="0" />如何把一台成员服务器提升为域控制器(二) 点击中间的“添加”按钮,并输入刚刚创建的“swg”帐号:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5x345fi7fmmy.jpg"
'load')" border="0" /> 然后点“确定”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/11t5gh5u45pj.jpg"
'load')" border="0" /> 再点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/mdnz872j1n8y.jpg"
'load')" border="0" /> 在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将计算机加入到域”,然后点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/748m36236sx2.jpg"
'load')" border="0" /> 最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5crnfn6me477.jpg"
'load')" border="0" />如何把一台成员服务器提升为域控制器(二) 接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了哟,我们先来设置一下这台XP的网络: 计算机名:TestXP IP:192.168.5.5 子网掩码:255.255.225.0 DNS服务器:192.168.5.1,650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/2nvjk6xcmx9a.jpg"
'load')" border="0" /> 设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/184bnbw9r22c.jpg"
'load')" border="0" /> 在这里把“隶属于”改成域,并输入:“”,并点确定,这是会出现如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/798p1l66d12l.jpg"
'load')" border="0" /> 输入刚刚在域控上建的那个“swg”的帐号,点确定:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/2xs6x17n7661.jpg"
'load')" border="0" /> 出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。来看一下登陆画面有没有什么不一样:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/zxj74974e21j.jpg"
'load')" border="0" /> 看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。进入系统后,在“我的电脑”上击右键,选“属性”,点“计算机名”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/ote1n9p7ol70.jpg"
'load')" border="0" /> 看到用黑框标出来的地方和没有加入到域的时候的区别的吧? 当把下面的客户端加入到域后,如果域控制器处于关闭状态或者死机的话,那么,会发现下面的客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要的。后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧: 当然网络设置永远是在第一步的: 计算机名:Bserver IP:192.168.5.2 子网掩码:255.255.255.0 DNS:192.168.5.1 既然是提升为域控制器,那么DNS组件也是要添加的,添加方法和我的第一篇文章中所定的一样,这里就不再重复了。添加完成后,同样是点击“开始”-“运行”-“dcpromo”: 出现的向导和操作系统兼容性同安装第一台域控时是一样的,唯一要注意的是下面的那个画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/d08agakqq318.jpg"
'load')" border="0" /> 安装第一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/409kf95ke2q3.jpg"
'load')" border="0" /> 在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/fv33464e9nri.jpg"
'load')" border="0" /> 在这里一定要填入现有域的DNS全名,然后再点“下一步”,接下去的操作和安装第一台域控制器时是一样的,所以就不再写下去了,直到完成就可以了。至于在两台域控制器的域环境下,其中一台损坏,如何让另一台接替工作,我将在以后的文章一一详解。如果大家在前面的配置中碰到什么问题,欢迎大家给我发来E-Mail,.
Windows Server 2003图文教程C
活动目录之用户配置文件 关于域用户的开设在前面的文章中(如何把一台成员服务器提升为域控制器(一)、(二))已经涉及过了,所以在这里开设用户的方法就不再重复了,本篇文章主要向大家介绍一下用户配置文件。 首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="248" alt="" src=".cn/imagelist/05/10/y.jpg" width="690" border="0" /> 用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域()里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况: 本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。 域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。 通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/23241nof4629.jpg"
'load')" border="0" /> 请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下: 首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/w17cb9pelcgx.jpg"
'load')" border="0" /> 然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/ak.jpg"
'load')" border="0" /> 在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输入:\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/186nln258695.jpg"
'load')" border="0" /> 然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/9g28j5101dwp.jpg"
'load')" border="0" /> 如上图所示,DEMO\swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/a98o886zl2ve.jpg"
'load')" border="0" /> 如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/gr1si107d6s2.jpg"
'load')" border="0" /> 画面很熟悉吧?目前很多公司的IT Pro都有共同的感叹,就是用户喜欢把自己的桌面什么的搞得乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里,向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件还是保持和原来一样,那么如何实现这个功能呢?其实只要将用户配置文件夹下的“Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程: 首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查看”里进行修改: ~650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/3ax5p74y274c.jpg"
'load')" border="0" /> 点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修改C:\Documents and Settings\swg下的“Ntuser.dat”,会发现根本没有办法修改这个文件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是\\192.168.5.1\share\swg下的“Ntuser.dat”,修改当然可以修改,但是由于在“swg”用户注销的时候,本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉,也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者,然后给管理员帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里推荐一种方法: 先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆成功后直接去访问\\192.168..5.1\share\swg以试图修改的话,那么你将会感到失望,因为还是拒绝访问的,那么如何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车,这样就启动了命令行,在命令行下输入:net use \\192.168.5.1 password /user:swg,显示“命令成功完成”,这样就利用“swg”和服务器建立一个连接,此时就可以\\192.168.5.1\share\swg,里进行修改了,650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/v.jpg"
'load')" border="0" /> 然后再注销管理员帐号,用“swg”登陆,看看有没有成功:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/z591x30j56zk.jpg"
'load')" border="0" /> 看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你会发现注销再登陆,又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。 最后再请大家注意两个问题: 1、 在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于注销状态,为什么?大家不妨自己想一想! 2、 当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。 FSMO五种角色的作用、查找及规划 D FSMO中文翻译成操作主控,在说明FSMO的作用以前,先给大家介绍两个概念: 单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制,这个主要是用于以前的NT4域,我们知道,在NT4域的年代,域网络上区分PDC和BDC,所有的复制都是从PDC到BDC上进行的,因为NT4域用的是这种复制机构,所以要在网络上进行对域的修改就必须在PDC上进行,在BDC上进行是无效的。如果你的网络较小的话,那么这种机构的缺点不能完全的体现,但是如果是一个跨城区的网络,比如你的PDC在上海,而BDC在北京的话,那么你的网络修改就会显得非常的麻烦。 多主复制:多主复制是相对于单主复制而言的,它是指所有的域控制器之间进行相互复制,主要是为了弥补单主复制的缺陷,微软从Windows 2000域开始,不再在网络上区分PDC和BDC,所有的域控制器处于一种等价的地位,在任意一台域控制器上的修改,都会被复制到其它的域控制器上。 既然Windows 2000域中的域控制器都是等价的,那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器,而取决于FSMO五种角色在网络中的分布情况,现在开始进入正题,FSMO有五种角色,分成两大类: 1、 森林级别(即一个森林只存在一台DC有这个角色): (1)、Schema Master中文翻译成:架构主控 (2)、Domain Naming Master中文翻译成:域命名主控 2、 域级别(即一个域里面只存一台DC有这个角色): (1)、PDC Emulator 中文翻译成650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="http://www.sharecenter.net/images/smilies/default/tongue.gif" border="0" smilieid="8" />DC仿真器 (2)、RID Master 中文翻译成:RID主控 (3)、Infrastructure Master 中文翻译成:基础架构主控一、接下来就来说明一下这五种角色空间有什么作用: 1、 Schema Maste 用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对像和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Maste,如果大家部署过Excahnge的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Maste进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以。 2、 建议:在占有Schema Maste的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchnage或LCS之类的软件时会出错。 3、 Domain Naming Master 这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down机状态的话,你的添加和删除操作那上肯定会失败的。 4、 建议:对占有Domain Naming Master的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的,否则就没有办法添加删除森里的域了。 5、 PDC Emulator 在前面已经提过了,Windows 2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成,主要是以下操作: ⑴、处理密码验证要求; 在默认情况下,Windows 2000域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。 ⑵、统一域内的时间; 微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。 ⑶、向域内的NT4 BDC提供复制数据源; 对于一些新建的网络,不大会存在Windows 2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。 ⑷、统一修改组策略的模板; ⑸、对Winodws 2000以前的操作系统,如WIN98之类的计算机提供支持; 对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象! 建议:从上面的介绍里大家应该看出来了,PDC Emulator是FSMO五种角色里任务最重的,所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。4、RID Master 在Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。 建议:对于占有RID Master的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了。 5、 Infrastructure Master FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。 建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。 二、在说完FSMO五种角色的作用以后,我们如何知道这五种角色在网络中的分布情况呢? 对于新建的网络,这五种角色都集中在森林中的第一台域控制器上,但是如果是别人已经建好的网络,比如我们去接手一些网络的时候,很可能这五种角色已经被转移到其它的域控制器上了。这时我们可以通过三种方法来知道,分别是GUI介面,命令行及脚本: 1、 GUI介面: GUI介面下不能一次性获得五种角色的分布, ⑴、Schema Maste 点击“开始-运行”,输入:“regsvr32 schmmgmt”,回车:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/z.jpg"
'load')" border="0" /> 然后点击“确定”。再点击“开始-运行”,输入:“MMC”,回车,进入控制台,.650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/nq5tf949xh5g.jpg"
'load')" border="0" /> 点击“文件-添加删除管理单元”650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/q40rrti7lm9o.jpg"
'load')" border="0" /> 出来下面的介面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/.jpg"
'load')" border="0" /> 再点击“添加”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/63i4tcibb36t.jpg"
'load')" border="0" /> 选中上图所示中有“Active Directory架构”,点击“添加”,然后点“关闭”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/p922jfjnmvxs.jpg"
'load')" border="0" /> 然后点击“确定”,在控制台上选中“Active Directory架构”击“右键”,选择“操作主机”650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/p07xw3w6aua8.jpg"
'load')" border="0" /> 出现下图:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/c.jpg"
'load')" border="0" /> 就可以看到当前的架构主控了。⑵、RID Master、Infrastructure Master、PDC Emulator 点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/56r27zwsw940.jpg"
'load')" border="0" /> 在域名上单击右键:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/921xm18g0436.jpg"
'load')" border="0" /> 在出来的菜单中选择“操作主机”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ui78p9xdpqjl.jpg"
'load')" border="0" /> 在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure Master的分布情况。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/1jway398n29a.jpg"
'load')" border="0" /> ⑶、Domain Naming Master 点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/lxb.jpg"
'load')" border="0" /> 在“Active Directory域和信任关系”上击右键:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/558j868hp3i5.jpg"
'load')" border="0" /> 选择“操作主机”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/h8q6i9yci5xk.jpg"
'load')" border="0" /> 这就是“Domain Naming Master”所在的域控制器。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/l6d4nm1b327o.jpg"
'load')" border="0" /> 以上就是用GUI来查看FSMO五种角色的分布情况,用GUI介面不但可以查看,还可以随意的改变这五种角色的分布情况,但缺点是比较麻烦,需要较多的操作项目,如果仅仅是查看就比较的浪费时间。 2、 命令行工具: 首先你要安装Support Tools,在安装光盘中的Support文件夹下的Tools子文件下。默认安装在系统盘的Program Files文件下。安装成功后,点击“开始-程序-Windows Support Tools-Command Prompt”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/b9dhah1o92y7.jpg"
'load')" border="0" /> 然后运行“netdom”命令,在这里,运行的是:“netdom query fsmo”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/k6n42mw173or.jpg"
'load')" border="0" /> 看到了吧,马上把当前域里的FSMO五种角色所在的域控制器罗列了出来。 3、 脚本。 在这里,我给大家一段脚本:& &Set objRootDSE = GetObject("LDAP://rootDSE")& &Dim text& &' Schema Master& &Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))& &strSchemaMaster = objSchema.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strSchemaMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' Domain Naming Master& &Set objPartitions = GetObject("LDAP://CN=Partitions," & _& &objRootDSE.Get("configurationNamingContext"))& &strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' PDC Emulator& &Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))& &strPdcEmulator = objDomain.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strPdcEmulator)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' RID Master& &Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _& &objRootDSE.Get("defaultNamingContext"))& &strRidMaster = objRidManager.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strRidMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Domain's RID Master FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' Infrastructure Master& &Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _& &objRootDSE.Get("defaultNamingContext"))& &strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Domain's Infrastructure Master FSMO: " & objComputer.Name & vbCrLf& &WScript.Echo text 大家把以上内容复制到记事本,保存为fsmo.vbs,然后到域里的计算机上运行,就可以得到如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/85u1xn115r73.jpg"
'load')" border="0" /> 也看到了吧!!! 三、最后来看一下FSMO的规划,在规划时,请大家按以下原则进行: 1、占有Domain Naming Master角色的域控制器必须同时也是GC; 2、不能把Infrastructure Master和GC放在同一台DC上; 3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上; 4、建议将Schema Master和Domain Naming Master放在同一台域控制器上; 5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上; 6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;活动目录之备份与恢复 E 通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="http://www.sharecenter.net/images/smilies/default/smile.gif" border="0" smilieid="1" />OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、 整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/8p19k43i29y2.jpg"
'load')" border="0" /> 点击我用箭头指出的“高级模式”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="441" alt="" src=".cn/imagelist/05/11/z6oevj5uv85u.jpg" width="639" border="0" /> 再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/u0x1p95fa43i.jpg"
'load')" border="0" /> 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ksv.jpg"
'load')" border="0" /> 在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/b34zsc409tl1.jpg"
'load')" border="0" /> 在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/la8y994y9p6f.jpg"
'load')" border="0" />选择好备份文件的存放路径后,就可以点击“开始备份”了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/116j6m20n7s6.jpg"
'load')" border="0" /> 点击“开始备份”后,会出现如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/n6j6m2z540rh.jpg"
'load')" border="0" /> 在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/5h882hg7mp2i.jpg"
'load')" border="0" /> 在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/fcfk99ja6qdi.jpg"
'load')" border="0" /> 点击上述画面中的“属性”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/34m1k53zg9q9.jpg"
'load')" border="0" /> 在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/j0u02f3nw872.jpg"
'load')" border="0" /> 这次点击“高级”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/4ya3gps4tzdt.jpg"
'load')" border="0" />在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个大家可以根据需要进行选择,主要向大家简单介绍一下五个备份类型:
正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记
副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记
增量:只备份选择的且有标记的文件夹和文件,但是会清除标记;
差异:只备份选择的且有标记的文件夹和文件,且不清除标记;
每日:以天为单位,每天发生变化的文件都会被备份; 这五种备份类型具体如何应用,如何配合使用,请大家结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/sj.jpg"
'load')" border="0" /> 整个备份时间还是比较长的,大约要20分钟左右,当然具体还要根据你的系统中的数据量来决定性的,在我这个实验环境里10分钟不到就OK了。备份完成后,我们可以在备份目录下找到这个备份文件,其大小为:537M。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/1c.jpg"
'load')" border="0" /> 有人可能会问,一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话,那么你就会知道,其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件,最大的就是那个System32文件夹,所以537M就不足为奇了。OK,备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了,首先你得重新安装操作系统,在我这里由于用的是虚拟机,所以我只要把前面的更改删除就可以了。嘿嘿,用虚机就是有这种好处,什么时候物理机也可以这样就好了。然后在开机的时候按F8:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/01xnsii8h4v2.jpg"
'load')" border="0" /> 在这里,我们要选择,第七项:“目录服务还原模式(只用于Windows域控制器)”,真不知道这句话是微软找谁来翻译的,我觉得括号里的文字应该翻译成:“只用于恢复Windows域控制器”才比较合适,这句话不知道害过多少人,我就见过不少网络管理员是先把服务器提升为域控制器,然后再执行恢复操作,其实大家难道忘记了,我们刚刚备份的文件里有活动目录信息的。 在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。 继续点击“开始-运行”,输入“Ntbackup”,并回车:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="380" alt="" src=".cn/imagelist/05/11/m8au.jpg" width="553" border="0" /> 这回可别再选择备份向导了,要用“还原向导(高级)”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/j5di7q575156.jpg"
'load')" border="0" /> 点“下一步”,出来如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/241d0r9ze969.jpg"
'load')" border="0" /> 在“文件”上击右键:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/b78q2wf850zj.jpg"
'load')" border="0" /> 点击“文件编录”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/64a18bkas3o1.jpg"
'load')" border="0" /> 输入备份文件所在的位置,然后确定:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/7mt.jpg"
'load')" border="0" /> 然后点击“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/fznm851418kx.jpg"
'load')" border="0" /> 在上述画面中确认无误的话,就可以点击“完成”了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/h99s9x0x689c.jpg"
'load')" border="0" /> 在出来的警告窗口上点击“确定”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/0xw6g41605q4.jpg"
'load')" border="0" />这个画面和备份的画面差不多吧?几分种后就可以完成,完成后,系统会要求你重新启动计算机。重启后,你就会发现这台成员服务器已经变成域控制器了,并且和以前的一模一样。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/8y8uw5qyt210.jpg"
'load')" border="0" /> 2、 多域控制器环境下的活动目录恢复 可能看到这个标题有人就会问,怎么一上来就讲恢复啊?不用备份吗?是的,如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过,从Windows 2000域开始,采用的是多宿主复制的机构,也就是所有的活动目录修改都会被复制到所有的域控制器上,所以是不需要备份的。只要看一下怎么恢复就可以了。 先来说明一下实验环境: 域名: 第一台域控制器: 计算机名: IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1 并且FSMO五种角色及GC全部在第一台域控上。 第二台域控制器: 计算机名: IP:192.168.5.2 子网掩码:255.255.255.0 DNS:192.168.5.2 灾难情况:第一台域控制器由于硬件原因,导致无法启动。 这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步: 一、首先,要把第一台域控制器的所有信息从活动目录里面删除: (1)、点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回车的方法来调用使用说明:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/bf7z5kv645ol.jpg"
'load')" border="0" /> 在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/5x51u50iy06h.jpg"
'load')" border="0" /> 然后我们要显示一下Site中的域:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ack110md1618.jpg"
'load')" border="0" /> 结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/kh.jpg"
'load')" border="0" /> 通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/lj6gjn70x192.jpg"
'load')" border="0" /> 选中后,按“q”退出到上一层菜单:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/45syj743f1ak.jpg"
'load')" border="0" />650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/jj19wy4007ts.jpg"
'load')" border="0" /> 在上图中点击“是”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/5f06dr5ckq4z.jpg"
'load')" border="0" /> 然后再按2个“q”退出。(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象, ADSI EDIT在SUPPORT TOOLS工具包里,打开后,找到如下位置:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/8bobvh73hl60.jpg"
'load')" border="0" /> 击右键,然后选“删除”就可以了。 (3)、在“管理工具”里,打开“AD站点和服务”,找到如下位置:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/csnqq64gll5l.jpg"
'load')" border="0" /> 把复制连接也删除了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="431" alt="" src=".cn/imagelist/05/11/s7p026p0jrme.jpg" width="636" border="0" /> 以上有几个删除几个。 二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了: 我们先要连接到目标服务器上:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/36z5a3755s59.jpg"
'load')" border="0" /> 连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/qsktz5ts2g1u.jpg"
'load')" border="0" /> 请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/74mjc7x9u3g5.jpg"
'load')" border="0" /> 这里是夺取PDC角色的图示,点“是”,其它角色的也是一样的操作,最后退出。 大家了为安全起见,可以运行一下我上次给转给大家的脚本:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ce28th35na5d.jpg"
'load')" border="0" /> 由上图可见,所有的FSMO已经转移到TEST20031服务器上了。}
文章数:35
访问量:22479
注册日期:
阅读量:1297
阅读量:3317
阅读量:452715
阅读量:1137173
51CTO推荐博文
Postfix邮件系统的组成及原理用到的主要协议和软件1.邮件用户代理(MUA)MUA是一个邮件系统的客户端程序,它提供了阅读、发送、和接受电子邮件的用户接口,是用户和MTA之间的接口。常用软件Windows下有outlook、Foxmail等;Linux下有Thunderbird、Evolution等.MUA至少具有如下3个功能: & & & &a.撰写邮件 & & & &b.显示邮件 & & & &c.处理邮件2.邮件传输代理(MTA) & & & &MTA主要用于存储和转发邮件,也可以说是邮件服务器软件的总称。常用软件:windows下的exchange,Linux下Sendmail、Postfix、Qmail等;MTA主要功能: & & & &a.接收和传递由客户端发送的邮件 & & & &b.维护邮件队列,以便客户端不必一直等到邮件真正发送出去 & & & &c.接收客户的邮件,并将邮件放置在缓冲区存储,直到用户连接从而收取邮件 & & & &d.有选择的转发和拒绝转发接收到的、目的地为另一个主机的消息3.邮件分发代理(MDA) & & & &MDA主要负责将MTA接收的邮件传递到收件人的邮箱(mailbox)中4.电子邮件基本的工作流程 & & & &用户----MUA---MTA...........MTA---MUA----用户5.相关协议 & &1).简单邮件传输协议SMTP & & & &监听25端口; & & & &邮件的发送过程中有两处要用到这个协议: & & & & & &a.发送邮件的MUA与MTA建立链接并发送邮件 & & & & & &b.MTA之间的邮件转发 & &2)邮件访问协议 & & & &a.POP3(Post Office Protocol) & & & & & &Pop协议要检测用户的登录名和口令,然后将用户的邮件从服务器移动到用户本地桌面系统的MUA中,监听110端口 & & & &b.IMAP(Internet message access protocol) & & & & & &IMAP是Pop的替代品,踏出了提供与pop相同的基本功能外,还增加了对邮箱同步的支持,即IMAP提供了如何远程维护服务器上的邮件箱的功能,监听143端口 & &Postfix系统更新,添加支持mysql模块,构建邮件系统 &1.Postfix添加Mysql模块$tar zxf postfix-2.10.2.tar.gz
$cd postfix-2.10.2
$make -f Makefile.init makefiles
//需要db*-devel,gcc支持$ make upgrade & & & & //make -f 后边不添加mysql的头文件及库文件参数,makeupgrade更新后postfix将不支持mysql服务,可以使用postconf-m 查看,若不支持mysql需要重新解压postfix包重新更新,如下首先需要安装mysql-devel开发包$yum install mysql-devel
$make -f Makefile.init makefiles \
&'CCARGS=-DHAS_MYSQL -I/usr/include/mysql' \
//指定mysql的头文件所在目录
&'AUXLIBS=-L/usr/lib64/mysql -lmysqlclient -lz -lm'
//指定mysql的库文件所在目录$make upgrade
//更新后,再使用postconf-m查看可以支持mysql模块2.安装PhpMyAdmin,以web页面形式操作Mysql数据库,建立邮件用户信息: & & & &PhpMyAdmin是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。借由此Web接口可以成为一个简易方式输入繁杂SQL语法的较佳途径,尤其要处理大量资料的汇入及汇出更为方便。其中一个更大的优势在于由于phpMyAdmin跟其他PHP程式一样在网页服务器上执行,但是您可以在任何地方使用这些程式产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。也可借由phpMyAdmin建立常用的php语法,方便编写网页时所需要的sql语法正确性。$yum install httpd php php-mysql
$tar -zxf phpMyAdmin-3.5.7-all-languages.tar.gz -C /var/www/html
$cd /var/www/html/
$mv phpMyAdmin-3.5.7-all-languages/ phpmyadmin
$cd phpmyadmin/
$cp config.sample.inc.php config.inc.php$vi config.inc.php
$cfg['blowfish_secret'] = 'tian';
//第二个引号中必须要有字符串,可任意$/etc/init.d/httpd start用浏览器访问127.0.0.1/phpmyadmin就可以以web形式访问mysql,用户名密码仍未mysql的浏览器访问mysql后,建立库(linux),在建立表email,结构内容如下 & & & & & & & username &varchar(25) & & & & & & & & & & & & password &varchar(20) & & & & &test & & & & & & & domain & &varchar(15) & & & & & & & & & & & & mailbox & varchar(15) & & & & &/test/$useradd -u 800 email & & & & & & //添加邮件用户emailmysql& grant all on linux.* to email@localhost identified by'email';
Query OK, 0 rows affected (0.00 sec)
//用户授权 & &postconf -d & & & & & & //查看默认设置 & &postconf -n & & & & & & //查看当前设置 & & 3.配置Postfix[root@ty ~]$ postconf -e virtual_mailbox_base=/home/email/
[root@ty ~]$ postconf -e virtual_gid_maps=static:800
[root@ty ~]$ postconf -e virtual_uid_maps=static:800$vi mysql-alias.cf
user = email
password = email
dbname = linux
table = email
select_field = username
where_field = username$vi mysql-domains.cf
user = email
password = email
dbname = linux
table = email
select_field = domain
where_field = domain$vi mysql-mailboxs.cf
user = email
password = email
dbname = linux
table = email
select_field = mailbox
where_field = username$ postconf -e "virtual_alias_maps =mysql:/etc/postfix/mysql-alias.cf"
$ postconf -e "virtual_mailbox_domains =mysql:/etc/postfix/mysql-domains.cf"
$ postconf -e "virtual_mailbox_maps =mysql:/etc/postfix/mysql-mailboxs.cf"$ postmap -q ""mysql:/etc/postfix/mysql-alias.cf
$ postmap -q "ty.com"mysql:/etc/postfix/mysql-domains.cf
$ postmap -q ""mysql:/etc/postfix/mysql-mailboxs.cf现在就可以测试发送mail到,若发送成功则会在/home/email目录下生成</邮件目录-------------------------------------------------------------- & & & & &Postfix只承担邮件系统中的MTA功能,一个完整的邮件系统还需要很多其他的功能,如POP/IMAP服务、Web界面客户端、垃圾邮件过滤等,这些功能Postfix都是无法完成的,需要第三方软件的支持;下面就开是添加各个软件:Postfix+mysql+dovecot: & & & Dovecot软件是一种在Linux下使用的开源软件,他可以提供POP3和IMAP服务。Dovecot将安全作为主要设计目标,速度快、占用内存小、配置简单,可以在各种规模的场合使用。在实际使用中,常见的邮件系统使Postfix、Dovecot和Mysql三者配合搭建的邮件服务器。其中Postfix作为邮件发送服务,Dovecot作为邮件接受服务,而Mysql作为帐号存储服务器。 & &$yum install dovecot dovecot-mysql & &$vi dovecot.conf & & & & & listen = *, :: & &$cd /etc/dovecot/conf.d$vi 10-auth.conf
!include auth-system.conf.ext
!include auth-sql.conf.ext$vi 10-mail.conf
mail_location = maildir:/home/vemail/%d/%n
//maildir不变,只变后边路径
first_valid_uid = 888 & &$cat auth-sql.conf.ext & //需要有/etc/dovecot/dovecot-sql.conf.ext文件 & &$cd /usr/share/doc/dovecot-2.0.9/example-config & &$cp dovecot-sql.conf.ext /etc/dovecot/$vi dovecot-sql.conf.ext
driver = mysql
connect = host=localhost dbname=vmail user=email password=email
default_pass_scheme = PLAIN
password_query = \
SELECT username, domain, password \
FROM postfix WHERE username = '%u'
user_query = SELECT mailbox, 888AS uid, 888 AS gid FROMpostfix WHERE
username = '%u'
//from+表,select+表的内容选项配置文件修改好后,测试dovecot是否成功$telnet localhost 110
Trying ::1...
Connected to localhost.
Escape character is '^]'.
+OK Dovecot ready.
+OK Logged in.若登录出现Loggedin.则dovecot成功---------------------------------------------------------------------------添加Extmail软件,以web方式操作邮件系统 & & & &Extmail是一个以perl语言编写,面向大容量/ISP级应用,免费的高性能Webmail软件,主要包括ExtMail、Extman两个部分的程序套件。ExtMail套件用于提供从中登录、使用的Web操作界面,而Extman套件用于提供从浏览器中管理邮件系统的Web操作界面。 & & & &Extmail 套件可以提供给普通用户使用,而Extman套件可以提供给的使用.extmail包含两个包: & & &extmail-1.2.tar.gz & & //为前端邮件工具,配置文件为webmail.cf
& & &extman-1.1.tar.gz & & &//为后端管理工具 & & & & webman.cf$mkdir /var/www/extsuite
$tar zxf extmail-1.2.tar.gz -C /var/www/extmail
$tar zxf extman-1.2.tar.gz -C /var/www/extman
$cd extman/docs
$vi init.sql
//可以修改postmaster和root的密码
$mysql -uroot -pwestos & extmail.sql
//导入数据库
$mysql -uroot -pwestos & init.sql
$cd extmail$cp mysql_virtual_alias_maps.cf /etc/postfix/mysql-alias.cf
$cp mysql_virtual_domains_maps.cf /etc/postfix/mysql-domains.cf
$cp mysql_virtual_mailbox_maps.cf /etc/postfix/mysql-mailbox.cf$postmap -q "postmaster@extmail.org"mysql:/etc/postfix/mysql-alias.cf
$postmap -q "postmaster@extmail.org"mysql:/etc/postfix/mysql-mailbox.cf
$postmap -q "extmail.org"mysql:/etc/postfix/mysql-domains.cf现在就可以测试给postmaster@extmail.org发mail,若/home/vmail/下创建目录成功,则ok$cp webmail.cf.default webmail.cf
$vi webmail.cf
SYS_LOG_ON = 0
//日志功能关闭
SYS_MAILDIR_BASE = /home/vmail
//为系统用户,邮件存放目录
SSYS_MYSQL_USER = extmail
//为extmail库的用户,默认extmail.sql生成
SYS_MYSQL_PASS = extmail$chown -R vmail.vmail cgi/
//修改cgi目录及其子目录权限,使该用户可以访问$vi /etc/httpd/conf/httpd.conf
//添加邮件虚拟用户
NameVirtualHost *:80
//添加内容INSTALL文件里有,只需根据自己的实际情况稍做改动即可
&VirtualHost *:80&
ServerName
DocumentRoot /var/www/extsuite/extmail/html/
ScriptAlias /extmail/cgi /var/www/extsuite/extmail/cgi
Alias /extmail /var/www/extsuite/extmail/html
SuexecUserGroup vmail vmail
//此处为系统用户
&/VirtualHost&$/etc/init.d/httpd restart使用extmail客户端时,必须先用mail命令发送一封邮件,以激活extmail登录extmail注册新用户使会用到extman后台管理端,所以须配置好extman后才可以注册会出现的问题ERROR1:因为没有配置文件/var/www/extsuite/extmail/webmail.cf,所以出现如此问题,执行$cp webmail.cf.default webmail.cf即可ERROR2:因为/extmail/cgi/index.cgi权限不符,须执行$chown -R email.email cgi/
//-R递归,email.email为系统用户,user.groupERROR3:少了perl-CGI包支持$yum install perl-CGIERROR4:配置文件webmail.cf中日志功能打开(SYS_LOG_ON= 1),但没有指定目录,将其关闭=0即可,或者在cpan.org网站中下载Unix-Syslog包安装后,即可:$tar -zxf Unix-Syslog-1.1.tar.gz
$cd Unix-Syslog
$perl Makefile.PL
//可能会出现如下报错
Can't locate ExtUtils/MakeMaker.pm in @INC
//缺少perl-ExtUtils-MakeMaker包 & $yum install perl-ExtUtils-MakeMaker再次执行,如下即可 &$make install注:mysql里设置的域不以定要和httpd.conf中的虚拟主机的ServerName相同,登录时填写的域须和mysql中一致,http中的虚拟主机domain须加入/etc/hosts里地址解析,否则用extmail客户端登录不上extman后台管理:$cd /var/www/extsuite/extman
$cp webman.cf.default webman.cf将以下两行添加到httpd.conf中(即上一步添加extmail内容内) & ScriptAlias /extman/cgi /var/www/extsuite/extman/cgi & Alias /extman /var/www/extsuite/extman/html重启apache$vi
SYS_MAILDIR_BASE = /home/email
SYS_CRYPT_TYPE = plain登录extman管理端$vim webman.cf
SYS_CAPTCHA_ON = 1
//验证码开关,此时没有安装验证码包,先关闭(=0)就可以进入extman
SYS_CAPTCHA_LEN = 6
//控制验证码长度可能会出现的ERROR:解决:$vi webman.cf
SYS_SESS_DIR = /tmp/extman/
//去掉后边的extman目录或者在/tmp下mkdir目录,并设置其权限和tmp相同现在就可以进入extmail后台管理端extman,但是会在System菜单中出现Nosuch file or directory问题,如下所以需要执行:$vi /etc/rc.local
/var/www/extsuite/extman/daemon/cmdserver &
//添加此行$/var/www/extsuite/extman/daemon/cmdserver &执行后刷新extman网页,此问题就会消失想要支持验证码功能,须安装perl-GD-2.45-1.el6.rfx.x86_64包,因为这包存在依赖性,所以选择yum的本地安装$yum localinstall perl-GD-2.45-1.el6.rfx.x86_64打开验证码开关,刷新既可以看到验证码vi webmail.cf
SYS_SHOW_SIGNUP = 1
//控制自由注册安装验证码包:yum localinstall perl-GD-2.45-1.el6.rfx.x86_64.rpm //localinstall安装本地包,并检查依赖性,安装成功后,在webman.cf中打开验证功能,刷新extman网页如下,就可以使用验证码功能,防止恶意登录、注册开启/var/log/maillog日志记录功能:vi /var/www/extsuite/extmail/webmail.cf & SYS_LOG_ON=1 & & & &//打开日志功能刷新extmail前端,会进不去报错没有Unix::syslog,则需要安装之,可以到cpan.org上下载Unix-Syslog-1.1.tar.gz解压安装$cd Unix-Syslog
$perl Makefile.PL
//会提示缺少安装包
Can't locate ExtUtils/MakeMaker.pm in @INC$yum install perl-ExtUtils-MakeMaker
//安装完后继续执行perlMakefile.PL$perl Makefile.PL
//若如下显示,则依赖性解决,可以makeinstall$make installextman图形日志的安装:现在还不支持图形日志,进入extman后端管理web界面下点击GraphLog会出现如下报错需要rrdtool-perl包的支持yum install rrdtool-perl安装好后仍不能显示图形,仍需以下步骤$cd /var/www/extsuite/extman/addon
$cp -r mailgraph_ext/ /usr/local/
$cd /usr/local/mailgraph_ext & $./mailgraph-init start & & 报错,未安装File-Tail-0.99.3.tar.gz包进入解压后的目录,安装$perl MakeFile.PL
$make install & $cd /usr/local/mailgraph_ext & $./mailgraph-init start报错,未安装perl-Time-HiRes包$yum install perl-Time-HiRes.x86_64
$./mailgraph-init start无报错,安装完成;现在刷新extman就可以看到图形日志vi /etc/rc.local & & &//加入开机启动 & /usr/local/mailgraph_ext/mailgrahp-init start &//添加 ###############################################基于web页面的邮件系统添加dovecot支持(Postfix+Extmail+Mysql+Dovecot)基于前边extmail、dovecot已安装,现在只需修改dovecot配置即可$vi/etc/dovecot/conf.d/10-mail.conf
mail_location =maildir:/home/email/%d/%n/Maildir
first_valid_uid= 800$vi/etc/dovecot/dovecot-sql.conf.ext
connect =host=localhost dbname=extmail user=extmail password=extmail
defdefault_pass_scheme= PLAIN
password_query= \
SELECTusername, domain, password \
FROM mailboxWHERE username = '%u'
user_query =SELECT maildir, 800 AS uid, 800 AS gid FROM mailbox WHERE
username ='%u'dovecot配置好后,启动,测试dovecot(使用的端口110)是否配置正确如此,则配置成功############################################使Postfix系统支持cyrus-sasl认证功能(SMTP认证机制) & & &Postfix服务器没有认证功能,任何一个客户端都可以通过SMTP与Postfix服务器进行连接,然后使用RCPT命令要求Postfix服务器转发邮件到收件人所在邮件服务器,也就是说,互联网上的任何计算机,不需要使用帐号就可以通过这台邮件服务器向任何邮箱发送邮件,这无疑为垃圾邮件的发送敞开了大门。 & & &因此,我们需要在SMTP服务器中使用身份认证机制,只有通过身份认证的用户才能发送SMTP请求服务器发送邮件到目的地。认证帐号一般与接受邮件的帐号相同,可以是操作系统帐号,也可以是虚拟帐号,或者是保存在数据库中的用户帐号。可以通过CyrusSASL(CyrusSimple Authentication and Security Layer)软件包实现。$yum
install cyrus-sasl-devel cyrus-sasl-plain
postfix-2.10.2$make
-f Makefile.init makefiles
'CCARGS=-DHAS_MYSQL \
-I/usr/include/mysql
-DUSE_SASL_AUTH
-DUSE_CYRUS_SASL
-I/usr/include/sasl
-DUSE_TLS''AUXLIBS=-L/usr/lib64/mysql
-lmysqlclient
-L/usr/lib64
-lcrypto'在/postfix-2.10.2/README_FILES/目录下查看各个模块的安装介绍 & & & & & &SASL_README
& & & & & &TLS_README & & & & & &MYSQL_README需要根据情况修改各模块的头文件和库文件目录查看sasl头文件和库文件目录rpm-ql cyrus-sasl-devel$makeupgrade
$/etc/init.d/postfixstart$postconf-e "smtpd_sasl_auth_enable = yes"
//激活sasl加密,是smtpd不是smtp & &smtpd_sasl_security_options= noanonymous &//限制某些登录方式,此处禁止采用匿名用户登录方式验证认证方式:$postconf-a & & & & & & & & & & &//postconf命令用来显示Postfix当前的配置状态,-a选项表示输出当前 cyrus & & & & & & & & & & & & & & & 支持的SASL认证类型dovecot重启服务,测试:telnetlocalhost 25 &//测试显示有字段AUTHLOGIN PLAIN,则开启成功 & & & & EHLO向服务器标识用户身份。发送者能欺骗,说谎,但一般情况下服务器都能检测到。可以鉴别接收方是否支持ESMTP(扩展SMTP)协议,接收方将返回所有支持的扩展命令。 & & & & &ESMTP就是对标准 SMTP协议进行的扩展。它与 SMTP服务的区别仅仅是,使用 SMTP发信不需要验证用户帐户,而用ESMTP 发信时,服务器会要求用户提供用户名和密码以便验证身份。验证之后的邮件发送过程与SMTP 方式没有两样。$vi/etc/sasl2/smtpd.conf
//在README_FILES/SASL_README文件中Thesql plugin部分定义
pwcheck_method: auxprop
auxprop_plugin:sql
mech_list:PLAIN LOGIN CRAM-MD5 DIGEST-MD5 NTLM
sql_engine:mysql
sql_hostnames:127.0.0.1
sql_user:extmail
sql_passwd:extmail
sql_database:extmail
sql_select:SELECT password FROM mailbox WHERE username = '%u@%r'
//需要根据mysql中的实际设置修改
//注意:一定要把例子中@符两边的单引号''去掉,否则会报SQL语法错误安装cyrus-sasl-sql-2.1.23-13.el6_3.1.x86_64.rpm &使sasl认证信息加入mysql$yumlocalinstall cyrus-sasl-sql-2.1.23-13.el6_3.1.x86_64.rpm
$perl-MMIME::Base64 -e 'print encode_base64("\0test\@ty.com\0test");'
AHRlc3RAdHkub3JnAHRlc3Q= & & & & & & //括号里边加入数据库extmail里的邮件用户,因为@为特殊字符,需要用\转义, & & & & & & //the\0 is a null byte$telnetlocalhost 25
Trying127.0.0.1...
Connectedto localhost.
Escapecharacter is '^]'.
ESMTP Postfix
250-PIPELINING
250-AUTHCRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
AHRlc3RAdHkub3JnAHRlc3Q=
Authentication successful
Connectionclosed by foreign host.
//则user发送mail时的认证加入成功------------------------------TLS使邮件传输链路加密$postconf -e "smtpd_tls_security_level = may"
//激活TLS加密
$postconf -e "smtpd_tls_session_cache_database =btree:/var/lib/postfix/smtpd_scache"
$cd /etc/pki/tls/certs
$make postfix.pem
//制作证书和key$postconf -e smtpd_tls_cert_file=/etc/pki/tls/certs/postfix.pem
//指定证书和key的目录$telnetlocalhost 25 & & //测试显示STARTTLS字符,则ok打开thunderbird,在OutgoingServer中编辑,Connectionsecurity为STARTTLS即可smtpd_client_restrictions= check_client_access hash:/etc/postfix/access //可以设置用此服务器发送邮件的主机(客户端)dovecot收信: & 未加密 & & & &加密端口pop3 &110 & & & &995(pop3s)imap4 143 & & & &993(imap4s)postfix发信 SMTP25 & &sasl认证是通过25端口给发件用户加一认证,即发mail时需要认证telnetlocalhost 110 &//测试dovecot是否配置成功telnetlocalhost 25 & //测试25端口tls是加密25端口,使邮件传输过程加密postconf -a & & //postconf命令用来显示Postfix当前的配置状态,-a选项表示输出当前支持的SASL认证类型##########################################Postfix邮件系统反垃圾反病毒:反垃圾:#yuminstall spamassassin & & &#cd /usr/share/spamassassin & & & & & & & & & & & & & & & & &//可以在此目录下存放反垃圾文件的规则Chinese_rules.cf & & & & & & & //支持中文的反垃圾规则;GB2312 windows下的邮件 & & & Chinese_rules_UTF-8.cf &//支持中文的反垃圾规则;UTF-8 linux下的邮件//规则中记录每个关键字的评分,当评分达到设定的门限值,就会自动屏蔽垃圾邮件/etc/mail/spamassassin/local.cf & & & & & & & &//此文件中记录设定的门限值 & & & & & required_hits5 &//最大分值report_safe0rewrite_headerSubject [SPAM] & & & & & & &//标记#spamd -D & & & & & & & & & & & & & & & & &//测试规则是否加入成功,须先stopspamassassin若规则没加成功,注意查看/var/lib/spamassassin目录,清空重试反病毒:下载安装包: & & & &clamav-0.97.6-1.el6.rf.x86_64.rpm & & & &clamav-db-0.97.6-1.el6.rf.x86_64.rpm & & & &clamav-milter-0.97.6-1.el6.rf.x86_64.rpm & & & &clamd-0.97.6-1.el6.rf.x86_64.rpm需要libmilter.so.1.0支持,所以得安装sendmail-milter包,官网rpm.pbone.net$yumlocalinstall sendmail-milter-8.14.4-8.el6.x86_64.rpm
$yumlocalinstall clam*
$freshclam
//安装完成后更新病毒库,要保证能够上网 & &$/etc/init.d/clamdstart & & & &//启动后可以使用clamdscan命令扫描病毒(这个speed快,但必须启动clamd),也可以用clamscan命令扫描(这个speed慢,不用再启动其他程序)$clamdscan/tmp
//扫描/tmp目录下是否有病毒文件
$clamdscan--remove /tmp
//扫描并直接删除病毒文件-------------------------安装mail扫描工具MailScanner-4.84.5-3.rpm.tar.gz$tar -zxf MailScanner-4.84.5-3.rpm.tar.gz
$cd MailScanner-4.84.5-3
$./install.sh
//此时安装会出现error:
Youneed to install the patch command from your Linux distribution.
Onceyou have done that, please try running this script again. & &需要rpm-build包的支持$yum install rpm-build
$./install.sh
$/etc/init.d/postfix stop & &$chkconfig postfix off & & &//关闭postfix及开机启动,因为开机自启动MailScanner时会调用postfix启动程序而开启postfix,即就是postfix交由MailScanner控制,并扫描mail配置MailScanner和postfix$vi/etc/MailScanner/MailScanner.conf
Run As User = postfix
Run As Group = postfix
IncomingQueue Dir = /var/spool/postfix/hold
OutgoingQueue Dir = /var/spool/postfix/incoming
MTA= postfix
IncomingWork Permissions = 0640
VirusScanners = clamav
SpamAssassinUser State Dir = /var/spool/MailScanner/spamassassin$mkdir /var/spool/MailScanner/spamassassin
$chown -R postfix.postfix /var/spool/MailScanner/spamassassin
$MailScanner --lint
//MailScanner语法测试,第一次安装会出现一些问题四个ERROR,解决如下:1.unrar未安装,下载rarlinux-3.8.0.tar.gz解压makeinstall$which unrar
//查看unrar目录
/usr/local/bin/unrar
$ln -s /usr/local/bin/unrar /usr/bin/
//必须放在/usr/bin/下,所以使用软链接指向其2.ERROR:The "envelope_sender_header" in yourspam.assassin.prefs.conf
ERROR:is not correct, it should match X-yoursite-MailScanner-From解决:$vi /etc/MailScanner/spam.assassin.prefs.conf
envelope_sender_headerX-yoursite-MailScanner-From3.config:failed to parse line, skipping, in "/etc/mail/spamassassin/ mailscanner.cf": use_auto_whitelist 0解决:$vi /etc/MailScanner/spam.assassin.prefs.conf
use_auto_whitelist0
//将此行注释4.Can not find Socket (/tmp/clamd.socket) Exiting! at /usr/lib/MailScanner/MailScanner/SweepViruses.pm line 3838查看/etc/clamd.conf中Socket如下:LocalSocket & &/var/run/clamav/clamd.sock根据这个修改MailScanner.conf里的Socket & &ClamdSocket = /var/run/clamav/clamd.sock本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)用户名:pizarro
文章数:50
访问量:63043
注册日期:
阅读量:1297
阅读量:3317
阅读量:452715
阅读量:1137173
51CTO推荐博文
Windows Server 2003图文教程(更新完成)
Windows Server 2003图文教程 A本教程从Windows Server 2003的入门到精通,详细介绍了Windows Server 2003部署、迁移以及故障诊断等多方面的知识,图文并茂,相信一定能对您有所帮助。如何把一台成员服务器提升为域控制器(一) 目前很多公司的中的PC数量均超过10台:按照微软的说法,一般中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始―设置―控制面板―添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/e48eq3333fb2.jpg"
'load')" border="0" /> 向下搬运右边的滚动条,找到“网络服务”,选中: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/43ig5st3221b.jpg"
'load')" border="0" /> 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/9zf6j00k0yg9.jpg"
'load')" border="0" /> 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到的提示,那就需要手动定位了。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/zz59p199i3pd.jpg"
'load')" border="0" /> 安装完DNS以后,就可以进行提升操作了,先点击“开始―运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/rp0vk9yj1b1y.jpg"
'load')" border="0" />如何把一台成员服务器提升为域控制器(一) 这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的来做为客户端。然后点击“下一步”: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/9a78s5a39te1.jpg"
'load')" border="0" /> 在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/vaizy4q8k52e.jpg"
'load')" border="0" /> 既然是第一台域控,那么当然也是选择“在新林中的域”: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5im0f07d1xzl.jpg"
'load')" border="0" /> 在这里我们要指定一个域名,我在这里指定的是, 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/i5f05q1ew9i6.jpg"
'load')" border="0" /> 这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/d7e5c833i5h1.jpg"
'load')" border="0" /> 在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/500s9e67841y.jpg"
'load')" border="0" /> 这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/1ey87bkh169y.jpg"
'load')" border="0" /> 第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/j827v15k2pj6.jpg"
'load')" border="0" /> “这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在” 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/1t98n7b93928.jpg"
'load')" border="0" /> 这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/ar41j747gj1q.jpg"
'load')" border="0" /> 这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5qng8s4ho1m8.jpg"
'load')" border="0" /> 几分钟后,安装完成: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/wcp0z9h5z02z.jpg"
'load')" border="0" /> 点完成: 点“立即重新启动”。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/gf1hy46quzsg.jpg"
'load')" border="0" /> 然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是关机和开机的速度明显变慢了,再看一下登陆界面: 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/967c722kvl54.jpg"
'load')" border="0" /> 多出了一个“登陆到”的选择框: 进入系统后,右键点击“我的电脑”选“属性”,点“计算机” 650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/sr590zh8b21g.jpg"
'load')" border="0" /> 怎么样?和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后的文章里讲述,这里就不再详谈了。
Windows Server 2003图文教程B
O&&。好的,& &有8个,那我占楼了本教程从Windows Server 2003的入门到精通,详细介绍了Windows Server 2003部署、迁移以及故障诊断等多方面的知识,图文并茂,相信一定能对您有所帮助。如何把一台成员服务器提升为域控制器(二)在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下如何把下面的工作站加入到域。 由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/7ucc8jud88qs.jpg"
'load')" border="0" /> 先来新建一个用户,展开“”,在“Users”上击右键,点“新建”-“用户”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/70i3af557at1.jpg"
'load')" border="0" /> 然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/rheq80f57bwr.jpg"
'load')" border="0" />650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/w.jpg"
'load')" border="0" /> 这样点“下一步”,直到完成,就可以完成用户的创建。然后在“”上点击右键,先择“委派控制”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/z1x.jpg"
'load')" border="0" /> 就会出现一个“委派控制向导”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/jho064rlc3x0.jpg"
'load')" border="0" /> 点击“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/7zh14c44mvd6.jpg"
'load')" border="0" />如何把一台成员服务器提升为域控制器(二) 点击中间的“添加”按钮,并输入刚刚创建的“swg”帐号:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5x345fi7fmmy.jpg"
'load')" border="0" /> 然后点“确定”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/11t5gh5u45pj.jpg"
'load')" border="0" /> 再点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/mdnz872j1n8y.jpg"
'load')" border="0" /> 在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将计算机加入到域”,然后点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/748m36236sx2.jpg"
'load')" border="0" /> 最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/5crnfn6me477.jpg"
'load')" border="0" />如何把一台成员服务器提升为域控制器(二) 接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了哟,我们先来设置一下这台XP的网络: 计算机名:TestXP IP:192.168.5.5 子网掩码:255.255.225.0 DNS服务器:192.168.5.1,650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/2nvjk6xcmx9a.jpg"
'load')" border="0" /> 设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/184bnbw9r22c.jpg"
'load')" border="0" /> 在这里把“隶属于”改成域,并输入:“”,并点确定,这是会出现如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/798p1l66d12l.jpg"
'load')" border="0" /> 输入刚刚在域控上建的那个“swg”的帐号,点确定:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/2xs6x17n7661.jpg"
'load')" border="0" /> 出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。来看一下登陆画面有没有什么不一样:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/zxj74974e21j.jpg"
'load')" border="0" /> 看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。进入系统后,在“我的电脑”上击右键,选“属性”,点“计算机名”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/ote1n9p7ol70.jpg"
'load')" border="0" /> 看到用黑框标出来的地方和没有加入到域的时候的区别的吧? 当把下面的客户端加入到域后,如果域控制器处于关闭状态或者死机的话,那么,会发现下面的客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要的。后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧: 当然网络设置永远是在第一步的: 计算机名:Bserver IP:192.168.5.2 子网掩码:255.255.255.0 DNS:192.168.5.1 既然是提升为域控制器,那么DNS组件也是要添加的,添加方法和我的第一篇文章中所定的一样,这里就不再重复了。添加完成后,同样是点击“开始”-“运行”-“dcpromo”: 出现的向导和操作系统兼容性同安装第一台域控时是一样的,唯一要注意的是下面的那个画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/d08agakqq318.jpg"
'load')" border="0" /> 安装第一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/409kf95ke2q3.jpg"
'load')" border="0" /> 在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/fv33464e9nri.jpg"
'load')" border="0" /> 在这里一定要填入现有域的DNS全名,然后再点“下一步”,接下去的操作和安装第一台域控制器时是一样的,所以就不再写下去了,直到完成就可以了。至于在两台域控制器的域环境下,其中一台损坏,如何让另一台接替工作,我将在以后的文章一一详解。如果大家在前面的配置中碰到什么问题,欢迎大家给我发来E-Mail,.
Windows Server 2003图文教程C
活动目录之用户配置文件 关于域用户的开设在前面的文章中(如何把一台成员服务器提升为域控制器(一)、(二))已经涉及过了,所以在这里开设用户的方法就不再重复了,本篇文章主要向大家介绍一下用户配置文件。 首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="248" alt="" src=".cn/imagelist/05/10/y.jpg" width="690" border="0" /> 用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域()里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况: 本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。 域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。 通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/23241nof4629.jpg"
'load')" border="0" /> 请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下: 首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/w17cb9pelcgx.jpg"
'load')" border="0" /> 然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/ak.jpg"
'load')" border="0" /> 在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输入:\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/186nln258695.jpg"
'load')" border="0" /> 然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/9g28j5101dwp.jpg"
'load')" border="0" /> 如上图所示,DEMO\swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/a98o886zl2ve.jpg"
'load')" border="0" /> 如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/gr1si107d6s2.jpg"
'load')" border="0" /> 画面很熟悉吧?目前很多公司的IT Pro都有共同的感叹,就是用户喜欢把自己的桌面什么的搞得乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里,向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件还是保持和原来一样,那么如何实现这个功能呢?其实只要将用户配置文件夹下的“Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程: 首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查看”里进行修改: ~650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/3ax5p74y274c.jpg"
'load')" border="0" /> 点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修改C:\Documents and Settings\swg下的“Ntuser.dat”,会发现根本没有办法修改这个文件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是\\192.168.5.1\share\swg下的“Ntuser.dat”,修改当然可以修改,但是由于在“swg”用户注销的时候,本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉,也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者,然后给管理员帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里推荐一种方法: 先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆成功后直接去访问\\192.168..5.1\share\swg以试图修改的话,那么你将会感到失望,因为还是拒绝访问的,那么如何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车,这样就启动了命令行,在命令行下输入:net use \\192.168.5.1 password /user:swg,显示“命令成功完成”,这样就利用“swg”和服务器建立一个连接,此时就可以\\192.168.5.1\share\swg,里进行修改了,650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/v.jpg"
'load')" border="0" /> 然后再注销管理员帐号,用“swg”登陆,看看有没有成功:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/10/z591x30j56zk.jpg"
'load')" border="0" /> 看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你会发现注销再登陆,又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。 最后再请大家注意两个问题: 1、 在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于注销状态,为什么?大家不妨自己想一想! 2、 当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。 FSMO五种角色的作用、查找及规划 D FSMO中文翻译成操作主控,在说明FSMO的作用以前,先给大家介绍两个概念: 单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制,这个主要是用于以前的NT4域,我们知道,在NT4域的年代,域网络上区分PDC和BDC,所有的复制都是从PDC到BDC上进行的,因为NT4域用的是这种复制机构,所以要在网络上进行对域的修改就必须在PDC上进行,在BDC上进行是无效的。如果你的网络较小的话,那么这种机构的缺点不能完全的体现,但是如果是一个跨城区的网络,比如你的PDC在上海,而BDC在北京的话,那么你的网络修改就会显得非常的麻烦。 多主复制:多主复制是相对于单主复制而言的,它是指所有的域控制器之间进行相互复制,主要是为了弥补单主复制的缺陷,微软从Windows 2000域开始,不再在网络上区分PDC和BDC,所有的域控制器处于一种等价的地位,在任意一台域控制器上的修改,都会被复制到其它的域控制器上。 既然Windows 2000域中的域控制器都是等价的,那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器,而取决于FSMO五种角色在网络中的分布情况,现在开始进入正题,FSMO有五种角色,分成两大类: 1、 森林级别(即一个森林只存在一台DC有这个角色): (1)、Schema Master中文翻译成:架构主控 (2)、Domain Naming Master中文翻译成:域命名主控 2、 域级别(即一个域里面只存一台DC有这个角色): (1)、PDC Emulator 中文翻译成650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="http://www.sharecenter.net/images/smilies/default/tongue.gif" border="0" smilieid="8" />DC仿真器 (2)、RID Master 中文翻译成:RID主控 (3)、Infrastructure Master 中文翻译成:基础架构主控一、接下来就来说明一下这五种角色空间有什么作用: 1、 Schema Maste 用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对像和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Maste,如果大家部署过Excahnge的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Maste进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以。 2、 建议:在占有Schema Maste的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchnage或LCS之类的软件时会出错。 3、 Domain Naming Master 这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down机状态的话,你的添加和删除操作那上肯定会失败的。 4、 建议:对占有Domain Naming Master的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的,否则就没有办法添加删除森里的域了。 5、 PDC Emulator 在前面已经提过了,Windows 2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成,主要是以下操作: ⑴、处理密码验证要求; 在默认情况下,Windows 2000域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。 ⑵、统一域内的时间; 微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。 ⑶、向域内的NT4 BDC提供复制数据源; 对于一些新建的网络,不大会存在Windows 2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。 ⑷、统一修改组策略的模板; ⑸、对Winodws 2000以前的操作系统,如WIN98之类的计算机提供支持; 对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象! 建议:从上面的介绍里大家应该看出来了,PDC Emulator是FSMO五种角色里任务最重的,所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。4、RID Master 在Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。 建议:对于占有RID Master的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了。 5、 Infrastructure Master FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。 建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。 二、在说完FSMO五种角色的作用以后,我们如何知道这五种角色在网络中的分布情况呢? 对于新建的网络,这五种角色都集中在森林中的第一台域控制器上,但是如果是别人已经建好的网络,比如我们去接手一些网络的时候,很可能这五种角色已经被转移到其它的域控制器上了。这时我们可以通过三种方法来知道,分别是GUI介面,命令行及脚本: 1、 GUI介面: GUI介面下不能一次性获得五种角色的分布, ⑴、Schema Maste 点击“开始-运行”,输入:“regsvr32 schmmgmt”,回车:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/z.jpg"
'load')" border="0" /> 然后点击“确定”。再点击“开始-运行”,输入:“MMC”,回车,进入控制台,.650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/nq5tf949xh5g.jpg"
'load')" border="0" /> 点击“文件-添加删除管理单元”650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/q40rrti7lm9o.jpg"
'load')" border="0" /> 出来下面的介面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/.jpg"
'load')" border="0" /> 再点击“添加”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/63i4tcibb36t.jpg"
'load')" border="0" /> 选中上图所示中有“Active Directory架构”,点击“添加”,然后点“关闭”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/p922jfjnmvxs.jpg"
'load')" border="0" /> 然后点击“确定”,在控制台上选中“Active Directory架构”击“右键”,选择“操作主机”650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/p07xw3w6aua8.jpg"
'load')" border="0" /> 出现下图:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/c.jpg"
'load')" border="0" /> 就可以看到当前的架构主控了。⑵、RID Master、Infrastructure Master、PDC Emulator 点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/56r27zwsw940.jpg"
'load')" border="0" /> 在域名上单击右键:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/921xm18g0436.jpg"
'load')" border="0" /> 在出来的菜单中选择“操作主机”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ui78p9xdpqjl.jpg"
'load')" border="0" /> 在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure Master的分布情况。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/1jway398n29a.jpg"
'load')" border="0" /> ⑶、Domain Naming Master 点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/lxb.jpg"
'load')" border="0" /> 在“Active Directory域和信任关系”上击右键:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/558j868hp3i5.jpg"
'load')" border="0" /> 选择“操作主机”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/h8q6i9yci5xk.jpg"
'load')" border="0" /> 这就是“Domain Naming Master”所在的域控制器。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/l6d4nm1b327o.jpg"
'load')" border="0" /> 以上就是用GUI来查看FSMO五种角色的分布情况,用GUI介面不但可以查看,还可以随意的改变这五种角色的分布情况,但缺点是比较麻烦,需要较多的操作项目,如果仅仅是查看就比较的浪费时间。 2、 命令行工具: 首先你要安装Support Tools,在安装光盘中的Support文件夹下的Tools子文件下。默认安装在系统盘的Program Files文件下。安装成功后,点击“开始-程序-Windows Support Tools-Command Prompt”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/b9dhah1o92y7.jpg"
'load')" border="0" /> 然后运行“netdom”命令,在这里,运行的是:“netdom query fsmo”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/k6n42mw173or.jpg"
'load')" border="0" /> 看到了吧,马上把当前域里的FSMO五种角色所在的域控制器罗列了出来。 3、 脚本。 在这里,我给大家一段脚本:& &Set objRootDSE = GetObject("LDAP://rootDSE")& &Dim text& &' Schema Master& &Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))& &strSchemaMaster = objSchema.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strSchemaMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' Domain Naming Master& &Set objPartitions = GetObject("LDAP://CN=Partitions," & _& &objRootDSE.Get("configurationNamingContext"))& &strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' PDC Emulator& &Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))& &strPdcEmulator = objDomain.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strPdcEmulator)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' RID Master& &Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _& &objRootDSE.Get("defaultNamingContext"))& &strRidMaster = objRidManager.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strRidMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Domain's RID Master FSMO: " & objComputer.Name & vbCrLf& &Set objNtds = Nothing& &Set objComputer = Nothing& &' Infrastructure Master& &Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _& &objRootDSE.Get("defaultNamingContext"))& &strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")& &Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)& &Set objComputer = GetObject(objNtds.Parent)& &text=text&"Domain's Infrastructure Master FSMO: " & objComputer.Name & vbCrLf& &WScript.Echo text 大家把以上内容复制到记事本,保存为fsmo.vbs,然后到域里的计算机上运行,就可以得到如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/85u1xn115r73.jpg"
'load')" border="0" /> 也看到了吧!!! 三、最后来看一下FSMO的规划,在规划时,请大家按以下原则进行: 1、占有Domain Naming Master角色的域控制器必须同时也是GC; 2、不能把Infrastructure Master和GC放在同一台DC上; 3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上; 4、建议将Schema Master和Domain Naming Master放在同一台域控制器上; 5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上; 6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;活动目录之备份与恢复 E 通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src="http://www.sharecenter.net/images/smilies/default/smile.gif" border="0" smilieid="1" />OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、 整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/8p19k43i29y2.jpg"
'load')" border="0" /> 点击我用箭头指出的“高级模式”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="441" alt="" src=".cn/imagelist/05/11/z6oevj5uv85u.jpg" width="639" border="0" /> 再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/u0x1p95fa43i.jpg"
'load')" border="0" /> 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ksv.jpg"
'load')" border="0" /> 在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/b34zsc409tl1.jpg"
'load')" border="0" /> 在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/la8y994y9p6f.jpg"
'load')" border="0" />选择好备份文件的存放路径后,就可以点击“开始备份”了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/116j6m20n7s6.jpg"
'load')" border="0" /> 点击“开始备份”后,会出现如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/n6j6m2z540rh.jpg"
'load')" border="0" /> 在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/5h882hg7mp2i.jpg"
'load')" border="0" /> 在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/fcfk99ja6qdi.jpg"
'load')" border="0" /> 点击上述画面中的“属性”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/34m1k53zg9q9.jpg"
'load')" border="0" /> 在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/j0u02f3nw872.jpg"
'load')" border="0" /> 这次点击“高级”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/4ya3gps4tzdt.jpg"
'load')" border="0" />在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个大家可以根据需要进行选择,主要向大家简单介绍一下五个备份类型:
正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记
副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记
增量:只备份选择的且有标记的文件夹和文件,但是会清除标记;
差异:只备份选择的且有标记的文件夹和文件,且不清除标记;
每日:以天为单位,每天发生变化的文件都会被备份; 这五种备份类型具体如何应用,如何配合使用,请大家结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/sj.jpg"
'load')" border="0" /> 整个备份时间还是比较长的,大约要20分钟左右,当然具体还要根据你的系统中的数据量来决定性的,在我这个实验环境里10分钟不到就OK了。备份完成后,我们可以在备份目录下找到这个备份文件,其大小为:537M。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/1c.jpg"
'load')" border="0" /> 有人可能会问,一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话,那么你就会知道,其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件,最大的就是那个System32文件夹,所以537M就不足为奇了。OK,备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了,首先你得重新安装操作系统,在我这里由于用的是虚拟机,所以我只要把前面的更改删除就可以了。嘿嘿,用虚机就是有这种好处,什么时候物理机也可以这样就好了。然后在开机的时候按F8:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/01xnsii8h4v2.jpg"
'load')" border="0" /> 在这里,我们要选择,第七项:“目录服务还原模式(只用于Windows域控制器)”,真不知道这句话是微软找谁来翻译的,我觉得括号里的文字应该翻译成:“只用于恢复Windows域控制器”才比较合适,这句话不知道害过多少人,我就见过不少网络管理员是先把服务器提升为域控制器,然后再执行恢复操作,其实大家难道忘记了,我们刚刚备份的文件里有活动目录信息的。 在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。 继续点击“开始-运行”,输入“Ntbackup”,并回车:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="380" alt="" src=".cn/imagelist/05/11/m8au.jpg" width="553" border="0" /> 这回可别再选择备份向导了,要用“还原向导(高级)”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/j5di7q575156.jpg"
'load')" border="0" /> 点“下一步”,出来如下画面:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/241d0r9ze969.jpg"
'load')" border="0" /> 在“文件”上击右键:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/b78q2wf850zj.jpg"
'load')" border="0" /> 点击“文件编录”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/64a18bkas3o1.jpg"
'load')" border="0" /> 输入备份文件所在的位置,然后确定:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/7mt.jpg"
'load')" border="0" /> 然后点击“下一步”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/fznm851418kx.jpg"
'load')" border="0" /> 在上述画面中确认无误的话,就可以点击“完成”了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/h99s9x0x689c.jpg"
'load')" border="0" /> 在出来的警告窗口上点击“确定”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/0xw6g41605q4.jpg"
'load')" border="0" />这个画面和备份的画面差不多吧?几分种后就可以完成,完成后,系统会要求你重新启动计算机。重启后,你就会发现这台成员服务器已经变成域控制器了,并且和以前的一模一样。650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/8y8uw5qyt210.jpg"
'load')" border="0" /> 2、 多域控制器环境下的活动目录恢复 可能看到这个标题有人就会问,怎么一上来就讲恢复啊?不用备份吗?是的,如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过,从Windows 2000域开始,采用的是多宿主复制的机构,也就是所有的活动目录修改都会被复制到所有的域控制器上,所以是不需要备份的。只要看一下怎么恢复就可以了。 先来说明一下实验环境: 域名: 第一台域控制器: 计算机名: IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1 并且FSMO五种角色及GC全部在第一台域控上。 第二台域控制器: 计算机名: IP:192.168.5.2 子网掩码:255.255.255.0 DNS:192.168.5.2 灾难情况:第一台域控制器由于硬件原因,导致无法启动。 这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步: 一、首先,要把第一台域控制器的所有信息从活动目录里面删除: (1)、点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回车的方法来调用使用说明:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/bf7z5kv645ol.jpg"
'load')" border="0" /> 在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/5x51u50iy06h.jpg"
'load')" border="0" /> 然后我们要显示一下Site中的域:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ack110md1618.jpg"
'load')" border="0" /> 结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/kh.jpg"
'load')" border="0" /> 通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/lj6gjn70x192.jpg"
'load')" border="0" /> 选中后,按“q”退出到上一层菜单:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/45syj743f1ak.jpg"
'load')" border="0" />650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/jj19wy4007ts.jpg"
'load')" border="0" /> 在上图中点击“是”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/5f06dr5ckq4z.jpg"
'load')" border="0" /> 然后再按2个“q”退出。(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象, ADSI EDIT在SUPPORT TOOLS工具包里,打开后,找到如下位置:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/8bobvh73hl60.jpg"
'load')" border="0" /> 击右键,然后选“删除”就可以了。 (3)、在“管理工具”里,打开“AD站点和服务”,找到如下位置:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/csnqq64gll5l.jpg"
'load')" border="0" /> 把复制连接也删除了:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
height="431" alt="" src=".cn/imagelist/05/11/s7p026p0jrme.jpg" width="636" border="0" /> 以上有几个删除几个。 二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了: 我们先要连接到目标服务器上:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/36z5a3755s59.jpg"
'load')" border="0" /> 连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/qsktz5ts2g1u.jpg"
'load')" border="0" /> 请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/74mjc7x9u3g5.jpg"
'load')" border="0" /> 这里是夺取PDC角色的图示,点“是”,其它角色的也是一样的操作,最后退出。 大家了为安全起见,可以运行一下我上次给转给大家的脚本:650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)'
alt="" src=".cn/imagelist/05/11/ce28th35na5d.jpg"
'load')" border="0" /> 由上图可见,所有的FSMO已经转移到TEST20031服务器上了。}
我要回帖
更多推荐
- ·企业多缴税会不会有影响吗知乎企业认证
- ·oststeam的ost有什么用意思?
- ·陈八仙抬棺匠全文免费阅读大结局?
- ·如何退出微信助手文件助手登录?
- ·微信如何退出手机上文件传输助手怎么关闭功能
- ·求三星笔记本电脑配置置
- ·怎样查看本机上的聊天记录被删除的QQ聊天记录能怎么恢复qq记录吗?怎样怎么恢复qq记录? 别人QQ在本机上的聊天记录如何获取
- ·怎么在电脑怎么唱歌上唱歌怎么设置呢?
- ·php 写的,为什么php 数组函数出来两遍?还有的却没出来
- ·网上下载的纯净版xp系统之家xp纯净版怎么使用?
- ·设置好无线网有信号连不上路由器,手机能搜索到信号,却上不了网,台式机却也连不上网,怎么个情况啊?
- ·什么是高端换流变性和低端换流变性?详细解答高端、低端的概念
- ·abaqus中幅值曲线 中的c3d8r 是什么
- ·我在家登Q,在cf金牌网吧代理玩CF,会显示在家的Q上吗?
- ·电脑看播放视频闪烁烁
- ·怎么评论一个论坛的师兄个个都好坏下载?
- ·除了药物,在饮食上怎样补充补体c3偏低,C4?
- ·为什么我邀请了怎么还是没有蜀山传奇密友呢
- ·在award 刷biosBIOS的主板上,开机出现一短的响声,说明什么?
- ·急求一份软件工程研究生课程课程设计,可以是任何系统,求助广大朋友,
- ·为什么我进启动游戏以后按照你的show readmee文件操作打了test@和任意输入密码也进不了去?谢谢了大哥
- ·s5660连手机wifi 停用刚开始显示连接上了 ..一下又停用了 这是什么原因?
- ·我08年买的戴尔笔记本官网1420,用的是gforce8400的显卡,老是花屏,升级显卡芯片就能好了吗
- ·将ps路径转为选区区之后 怎么删去多余区域
- ·2012足球世界杯文化在世界杯中时如何体现的
- ·Man Portable Air Defence Systemsair是什么么
- ·a4做@爱插入后接触到女性的女性分泌物检查后就软是怎么回
- ·怎么怎样去黑头收毛孔,收毛孔
- ·欧洲杯赛程表壁纸米兰队有哪些队员
- ·怎么样去黑头最有效的产品?
- ·什么样的塑料瓶能装下中国乒乓球怎么样
- ·2012年2012河北省中考大运会有直播么
- ·作为国羽队员教打羽毛球教练应该怎么激励队员
- ·rgfr怎样才能让16岁的少女乳房发育好
- ·08年欧洲杯什么时间开赛决赛开赛时间是什么时候
- ·小健身球操串词的串词怎么说
