简单生活@NET

1.Windows 的EFS系统，不能使你的加密的内容完全私有，事实上域管理员或者计算机管理员是有办法获取你的权限的，而且它也不能加密目录结构和文件名，只能加密文件内容。 由此可见EFS的加密主要解决的是在存储介质被他人在物理上获取后的失密问题，比如某个硬盘或者移动存储器丢失。事实上新的bitLock能更好的实现这一目的。

2.域环境下，域管理员的权限最大，任何windows内置的加密和权限系统对域管理员来说都是无效的。如果你确实需要在域环境下存储一些需要对域管理员完全保密的数据，请附加第三方的加密的措施，比如加密的压缩文件等等。

3.Windows的DFS，分布式文件系统是为域环境设计的，只有域内的计算机可以访问

4.配置Windows服务器安全，SCW，安全配置向导，是个好东西，通过添加删除windows组件可安装

IT前沿 bitlock, dfs, efs, scw, windows

非域环境下管理Windows的共享访问权限最大的问题是很难控制客户端访问主机时的所使用的账号,Windows在这方面的没有统一的管理界面,很容易让人困惑:

非域环境下Windows客户端访问共享服务器时的账户检测流程:

这是一个经过反复尝试后推理出的检测流程

1.检测客户端是否有存储的针对该服务器的登录凭据,如果有使用该凭据(账户)进行登录,如果没有转下一步.

2.使用当前客户端的用户名和密码向服务器发出登录申请,如果服务器有同名同密码账户则获取该账户权限,(如果失败转下一步)

3.使用Guest账户尝试连接服务器 (如果失败转下一步)

4.显示用户名/密码的提示窗口,由用户输入连接服务器的账户信息，根据连接方式的具体不同（映射或直接访问路径等等），有时可以选择保存该账户信息，作为以后的登录凭据

通过以上流程可以发现，要使客户端使用指定的账户连接共享服务器的最佳方式是控制客户端的存储的针对该服务器的登录凭据，windows提供了管理该凭据的方法，在windows7下位于：控制面板->用户账户->管理windows凭据下.WinXP下也要类似配置工具.

直接打开给工具的命令行是：RunDll32.exe keymgr.dll,KRShowKeyMgr

另外还有一个可以通过命令行界面管理凭据的工具cmdkey.exe,该工具随Windows2003 Support Tools 发布，WinXP下没有该工具，但该工具适用于Win2000以后的所有Win版本，可以直接复制使用。

利用cmdkey可以写一个批处理工具来统一部署大量的客户端，以下代码建设客户端已经复制了cmdkey.exe，该工具可以放置于和批处理相同的目录下，或者复制到windows，windows\system32等可搜索的目录下。

echo > 连接文件服务器（连接帐号将自动保存在当前计算机上）
echo 请关闭所有打开的我的电脑、文件夹等文件窗口.....

set /p host=请输入服务器名称（IP地址或者机器名）：
set /p u=请输入用户名：
set /p p=请输入密  码：

echo.
echo 清除原有连接信息 保存用户名和密码
@net use * /delete /y >nul
@cmdkey /delete:%host% >nul
@cmdkey /add:%host% /user:ysh\%u% /pass:%p% >nul
@net use * /delete /y >nul

echo.
echo 自动进行磁盘映射
@net use x: \\%host%\共享目录路径 /Persistent:YES

echo  **注册完成**

IT前沿 windows, 共享, 权限, 管理凭据

以下为转贴内容

如果你认为此贴还没有背弃广大网友.就回个帖，也算是对我的支持~！~本人平时没什么爱好，就喜欢玩远控，虽然不懂编程、但随着时间流逝小问题还是可以应付的，我把心德跟大家分享下，就算是给新手们个建议吧.

这几年手里暂了不少远控，大多都是收费的，从最早的灰鸽子，到现在的红黑远控(前身红黑)。每一个牌子、版本都有用，到目前为止，相信我们菜鸟中能用到我这么全的，真没几个.我以下举例6种，相信在互联网能拿得出手的也就这几个，什么GH0ST、IS、、、等等都拿不行.其他版本的，大家就不要去想了，要嘛残次品、要嘛挂羊头卖狗肉.远控这个东西你不能看他什么时候出现的。有的人认为新出来的东西就是好的，“错”-或者说“不一定”，那要看在什么前提下出现的.当然，我举这几个例子里也有假的（后话谈）…

阅读全文…

IT前沿

测试了一组服务器的Raid性能

初步结论：

读取性能    Raid0 > Raid5 >> NoRaid > Raid 1

写入性能    NoRaid >> Raid0 >> Raid1 > Raid0

测试服务器均是HP DL 380 ，Smary Array 5，没有写缓存

下载：Kometo's Raid Testing

IT前沿

使用ROS配置策略路由是遇到一个奇怪的现象，我本来是想配置电信和网通的分流的，分别有一条专线。

电信为默认路由，使用mangle 添加 Routing Mark 的方式来配置路由选择，AL.CNC是一个下载的网通地址表

 chain=prerouting action=mark-routing new-routing-mark=R.CNC
 passthrough=yes dst-address-list=AL.CNC

然后建立策略路由表，如下，看着比较多行，其实主要相关的是行号1：

 0 A S  0.0.0.0/0                          reachable     58.57.XXX.XX                       1        E.WAN.CTC[V3003]
 ; routing mark - R.CNC
 1 A S  0.0.0.0/0                          reachable     218.56.XXX.XX                      1        E.WAN.CNC[V3001]
 2 A S  10.0.0.0/8                         reachable     10.5.159.189                       1        E.LAN.OF
 3 ADC  10.5.159.188/30    10.5.159.190                                                     0        E.LAN.OF
 4 ADC  58.57.XX.XXX/30    58.57.XX.XXX                                                     0        E.WAN.CTC[V3003]
 7 ADC  192.168.68.0/24    192.168.68.1                                                     0        E.LAN.HOME#1[V1001]
 8 ADC  218.56.XXX.XX/30   218.56.XXX.XX                                                    0        E.WAN.CNC[V3001]

按照正常完成上面的配置后遇到一个奇怪的现象：

客户端无法Ping通网通段的IP地址，当然其它对网通地址段的访问也都不通，然后反复排查，查资料，头痛…..

中间发现：如果在R.CNC路由表中添加客户端的路由后客户端就可以正常访问了，但这不应该是解决问题的根本方法，有些连接路由或动态路由是无法手动处理的。

然后又尝试很多种处理方式，和可能出问题的地方，头真的很痛。。。

直接说原因吧：

上述配置中使用的AL.CNC地址表中包含了我的网通接口地址，（按情理来说当然应该包含的，我的网通接口地址当然在网通IP地址表范围内）

但是造成问题的原因就在这里，只要从地址表中去掉我的网通接口地址，一切就都正常了，可以直接修改AL.CNC地址表，也可以简单修改mangle排除掉接口地址，像这样：

chain=prerouting action=mark-routing new-routing-mark=R.CNC passthrough=yes
dst-address=!218.56.XXX.XX dst-address-list=AL.CNC

?仍然存在的疑问?

这种情况应该在配置网通电信策略路由时经常遇到，但在问题排查过程中，没有从网络上看到类似的讨论！为什么？

这种意外情况是ROS设计的本意还是它的一个BUG？我使用的版本是4.22

我真的找到了问题的根源了吗？

BTW

发现，当配置好网通、电信自动路由选择后，线路负载分配很大程度上受DNS设定影响，当使用网通的DNS服务器是，大部分访问会解析到网通的服务器上，电信的也同理。

IT前沿

mstsc -console 指定连接到控制台会话

shadow 0 建立到控制台共享会话（需要物理控制台手动接受）(Ctrl + *断开共享会话)

tsmmc.msc Win2003下的远程桌面集成管理平台，可以通过控制台管理单元安装

阅读全文…

FollowMe, IT前沿

本来有一台Linux服务器，运行Debian 4.0 Etach 和 ISPCP 1.0.0 RC6

近期看到ISPCP正式版已经发布好久了,就决定升级.升级路线是首先 升级Debian 到 Lenny (5.0),然后再升级ISPCP

A 升级Linux

升级的方法很简单

1) (可选的) 检查你的更新源列表（sources.list)

apt-spy -d stable -t 5 update #是用Stable或者Lenny现阶段效果应该是一样的

有些指南让你加上国家和地区参数，时间没有必要，事实上我们访问最快的源往往都在国外。

你也可以手动去更新 /etc/apt/sources.list

2) 更新系统

aptitude update && aptitude upgrade

这一步可能需要反复运行几次，如果有软件版本冲突提示，你需要运行 aptitude 手动选择冲突解决方案

一直运行到aptitude update && aptitude upgrade提示没有需要更新软件包了，系统升级完成

3)可能遇到的问题

我遇到问题是：Mysql升级到5.2以后不能自动启动了，检查 /etc/log/daemon.log发现一个提示

/etc/init.d/mysql[2130]: ERROR: Using expire_logs_days without log_bin crashes the server. See README.Debian.gz

修改 /etc/mysql/my.cnf 解决问题

#log_bin = /var/log/mysql/mysql-bin.log #这一行本来是被注释掉的

expire_logs_days = 10

完成上述步骤后服务器及ISPCP应该仍然可以正常工作，检查处理完可能存在的问题后，准备升级ISPCP

B) 更新 ISPCP到 1.0.2

安装ISCP官方说明逐步操作

http://www.isp-control.net/documentation/doku.php?id=start:upgrade:rc

几点说明：

阅读全文…

IT前沿, WEB应用开发 Debian, ispcp, linux, log, server

以下是我在近期部署Windows域环境过程中总结记录的部分笔记，顺序有点乱。

TIPs：

1. DFS必须在域环境下能正常工作，非域环境、或者非域计算机访问域中的DFS都会出现权限错误
2. 非域控服务器发布DFS根目录，路径可以正常使用（如 \\domain.local\DFS NAME），但直接浏览域根（\\domain.local\)不可见,似乎可以通过在域控主机上建立同名共享来实现可见。（此方法未能官方验证）
3. 非域计算机访问域中的共享资源： \\domain.local\共享路径
4. 当服务器的域或者本地的Guest账户启用时，非域计算机对共享的访问通常自动验证为Guest。
5. 当服务器的域或者本地的Guest账户被禁用，并且非域计算机对共享的访问通常自动验证为Guest。
6. 通过组策略：“计算机配置”——“Windows设置“——”安全设置“——“受限制的组”，按鼠标右键，选择”添加组“； 可以控制成员计算机的本地组成员
7. 组策略：用户配置\管理模板\控制面板\显示 可以控制屏幕保护和用户桌面，注意：如果想确保屏保策略生效，“可执行的屏幕保护程序名称”这一项必须定义，否则，如果客户端保持“无”的选择，你的其它屏保策略将不能生效。
8. “经过身份验证用户组”包括用户和计算机。
9. 用户登录脚本是不需要带路径的（包括UNC路径）,只能是脚本文件的名称,路径为系统规定好的指定路径,必须将脚本放到该目录下才能执行.
10. 组策略管理器，这个是要单独下载安装的
11. 注册表：[HKEY_USERS\.DEFAULT]键值并不是控制默认用户信息的。[.DEFAULT]键实际上是管理没有用户登录情况下计算机状态的。如果你想使某个背景位图出现在你按下Ctrl + Alt + Delete之后的屏幕上，那么就要在[HKEY_USERS\.DEFAULT\Control Panel\Desktop]中设定墙纸的值。
12. 组策略使用的脚本支持多种格式，VBS/JS/BAT
13. 使用BAT脚本修改注册表的命令是 REG Add/Delete….

阅读全文…

IT前沿

最近在做项目的过程中，发现部分客户机加入域会出现报错：“找不网络路径”。

现在以 dom.local 作为实例域，以下为检查表（CheckList）：

1. ping dom.local

如果失败，排查网络连通性、DNS设置、防火墙

2.直接打开一个网络中存在的共享，或者打开 \\dom.local

如果失败：>

排查防火墙

排查必要的服务是否禁用：computer brower，remote procedure(RPC),tcp/ip netbios helper,windows management instrumentation ,server,workstation

排查当前网络连接是否启用了 “MiscroSoft 网络客户端” 和 “MicroSoft 网络文件和打印机共享协议”

IT前沿

IT前沿

网络打印机安装有2种方法：

A: 使用控制面板-添加网络打印机，这是常规方法，

通过网上邻居查找共享的打印机，然后点击右键-“连接”，这常规方法的另一种操作方式。

B：使用添加本地打印机并指定远程端口方法。

具体：添加本地打印机 – 指定端口 – 创建新端口 – 本地端口 – 输入打印机地址（ \\Computer\printer) – 指定驱动程序

这两种方法对Win7都适用。

使用自定义纸张打印不正常问题

A：首先要检查通过本地打印机属性或者首选项是否可以定义自定义纸张。如果不能，更新/换打印机驱动，必须要满足这个条件才能实现自定义纸张打印。

B：通常情况下如果步骤A已经满足，大部分情况下可以直接通过WORD等应用程序自定义纸张，并打印。如果直接打印仍然有问题，可以尝试通过打印机首选项定义好需要的纸张，然后再在应用软件中选择相应的自定义纸张。

IT前沿

1.大部分情况下磁盘阵列配置需要在硬件和磁盘中都写入相关配置信息

2.一组正常使用中的磁盘组如果转移到一台具有相同阵列卡的服务器上，只要保持原顺序，原位置，并且目标机器中相关插槽没有配置，大部分情况下可以自动恢复这个阵列配置。

3.阵列磁盘组不仅与顺序有关而且与具体插槽位置有关，比如：#0 #1插槽的一组Raid1，转移到#4 #5，这样是不能成功的

4.删除阵列配置必须非常小心，如果删除时阵列中的磁盘在线，你将无法恢复这个阵列数据。

5如果你需要占用插槽建立一个临时阵列组，你可以把原阵列组的所有磁盘拔掉，然后再删除、建立新的阵列组。待临时阵列任务完成后，你可以删除临时阵列，然后把原阵列组按原顺序，原槽位插回，这样可以恢复原阵列。警告：此操作需要非常小心，建议预先采取备份措施。

IT前沿

Windows系统中，每台计算机都应该有一个唯一的SID，是安装过程中随机产生的，但是如果我们使用克隆来复制安装好的系统，就会遇到SID重复问题。在大量使用虚拟机的情况下这一问题特别常见。

这一问题在普通环境下不会表现出来，但的在域环境下就造成了打问题，你会看到类似上面的提示，而且可能不能加入到域。

解决方法就是设法修改Windows的SID，有2个方法：

方法一 使用sysprep

提前win2k3按装光盘\support\tools\deploy.cab中的sysprep.exe，运行，并在“选择不重置激活的宽限期”　重新封装　并重启，重启后会对SID、网络、电脑名字、公司名字等一些信息重新设置完。

IT前沿 SID, windows, 虚拟机

方法一：

第一种方法比较复杂，但可以帮助您完全掌握Windows 2003自动登录的设置方法。首先单击“开始　运行”，在输入框中键入“regedit”打开注册表编辑器，然后在注册表编辑器左方控制台中依次单击展开

添加键“AutoAdminLogon”，值为1

添加键“DefaultUserName”，值为 自动登录的账户名称

添加键“Defaultpassword”，值为 自动登录的账户密码

根据需要，添加键“DefaultDomainName”，值为 自动登录的域名称
方法二

另一种方法比较简单，您只需单击“开始　运行”，并在输入框中键入“control userpasswords2”，这样就可以在“用户账户”管理窗口中清除“要使用本机，用户必须输入密码”复选项的选中状态，然后按下键盘的“Ctrl+Shift+A”，将会得到一个“自动登录”的设置对话框,您可以按自己的需要设置系统在电脑启动时自动登录使用的用户账户和密码。

rundll32 netplwiz.dll,UsersRunDll 直接运行这个，可能比上面还简单些。

锁定控制台

如果你在服务器上配置自动登录，也许你还需要在自动登录后还能够进行自动锁定

@echo off
start rundll32.exe user32.dll,LockWorkStation
exit

IT前沿

在WIN7上安装使用 Veeam FastSCP3 会遇到如下提示：

解决方法：

启用Win7的WinXP兼容功能

X64下测试通过

IT前沿