http://www.517sou.net/Folder/windows/Index.aspx zh-CN shanyiwan@msn.com(flyinweb) Mon, 15 Jun 2009 19:31:16 GMT Copyright 2007-2009. All rights reserved. Bitrac Free Version 桃李无言，下自成蹊 http://www.517sou.net/Client/Banner.gif http://www.517sou.net/ 桃李无言，下自成蹊 http://www.517sou.net/Article/windows-update-fails-with-8000ffff-e-unexpected.aspx shanyiwan@live.com() Windows Fri, 02 Dec 2011 08:41:59 GMT <p><strong>Quick Solution:</strong> Check the permissions on the root of C: and ensure that BUILTIN\Users have Read access.</p><p><strong>Long Story:</strong></p><p>8000FFFF == E_UNEXPECTED, not very helpful…</p><p><strong>Had a client where windows update was continually failing with the error code 8000FFFF. When looking in the Windows Update log we’d see errors like this:</strong></p><p><font face="Courier New">WARNING: PTError: 0x80248014 <br />Handler FATAL: CBS called Error with 0x8000ffff, <font color="#ff0000">&lt;— Checked the CBS.log file but that didn’t give any clues. </font><br />Handler FATAL: Error source is 106. <br />DnldMgr Error 0x8000ffff occurred while downloading update; notifying dependent calls. <br />AU # WARNING: Download failed, error = 0x8000FFFF <br />AU # WARNING: Download failed, error = 0x8000FFFF <br />AU WARNING: BeginInteractiveInstall failed, error = 0x8024000C <br />CltUI WARNING: AU directive Interactive Progress is exiting due to error 8024000C</font></p><p><strong>And in the event viewer upon each run we’d see these events:</strong></p><p><font face="Courier New">Log Name: Application <br />Source: ESENT <br />Date: 7/2/2008 3:05:16 PM <br />Event ID: 491 <br />Task Category: General <br />Level: Error <br />Keywords: Classic <br />User: N/A <br />Computer: XXXX <br />Description: <br />Catalog Database (1560) Catalog Database: An attempt to determine the minimum I/O block size for the volume &quot;C:\&quot; containing &quot;C:\Windows\system32\CatRoot2\&quot; failed with system error 5 (0x00000005): &quot;<font color="#ff0000">Access is denied.</font> &quot;. The operation will fail with error -1032 (0xfffffbf8). </font></p><p><font face="Courier New">Log Name: Application <br />Source: Microsoft-Windows-CAPI2 <br />Date: 7/2/2008 3:05:16 PM <br />Event ID: 257 <br />Task Category: None <br />Level: Error <br />Keywords: Classic <br />User: N/A <br />Computer: XXXX <br />Description: <br />The Cryptographic Services service failed to initialize the Catalog Database. The ESENT error was: -1032.</font></p><p><strong>After seeing this data I did a stare and compare between my root permissions and his and found that he’d modified the c:\ permissions on his system:</strong></p><p><em>His machine:</em><br /><font face="Courier New">c:\temp\xcacls c: <br />C:\ NT AUTHORITY\SYSTEM:(OI)(CI)F <br />BUILTIN\Administrators:(OI)(CI)F</font></p><p><em>Mine: <br /></em><font face="Courier New">C:\&gt;xcacls c:\ <br />c:\ BUILTIN\Administrators:F <br />BUILTIN\Administrators:(OI)(CI)(IO)F <br />NT AUTHORITY\SYSTEM:F <br />NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F <br />BUILTIN\Users:(OI)(CI)R <font color="#ff0000">&lt;— This is the key one missing that was causing the headache.</font><br />NT AUTHORITY\Authenticated Users:(OI)(CI)(IO)C <br />NT AUTHORITY\Authenticated Users:(special access:) <br />FILE_APPEND_DATA</font></p><p>The Cryptographic Services runs under “Network Service” which would require Users to have read access. I added BUILTIN\Users with read access to C and all worked again.</p><p>Hopefully this post will guide others with similar issues to the solution quickly.</p><p>日志名称:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Application<br />来源:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ESENT<br />日期:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 2011-12-2 16:00:12<br />事件 ID:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 491<br />任务类别:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 常规<br />级别:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 错误<br />关键字:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 经典<br />用户:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 暂缺<br />计算机:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; WIN-MDD2T1PQ4VP<br />描述:<br />Catalog Database (264) Catalog Database: 由于系统错误 5 (0x00000005):“拒绝访问。 ”，确定包含“C:\Windows\system32\CatRoot2\”的卷“C:\”的最小 I/O 块大小的尝试失败。此操作将失败，并出现错误 -1032 (0xfffffbf8)。<br />事件 Xml:<br />&lt;Event xmlns=&quot;<a href="http://schemas.microsoft.com/win/2004/08/events/event" target="_blank">http://schemas.microsoft.com/win/2004/08/events/event</a>&quot;&gt;<br />&nbsp; &lt;System&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Provider Name=&quot;ESENT&quot; /&gt;<br />&nbsp;&nbsp;&nbsp; &lt;EventID Qualifiers=&quot;0&quot;&gt;491&lt;/EventID&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Level&gt;2&lt;/Level&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Task&gt;1&lt;/Task&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Keywords&gt;0x80000000000000&lt;/Keywords&gt;<br />&nbsp;&nbsp;&nbsp; &lt;TimeCreated SystemTime=&quot;2011-12-02T08:00:12.000000000Z&quot; /&gt;<br />&nbsp;&nbsp;&nbsp; &lt;EventRecordID&gt;31413436&lt;/EventRecordID&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Channel&gt;Application&lt;/Channel&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Computer&gt;WIN-MDD2T1PQ4VP&lt;/Computer&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Security /&gt;<br />&nbsp; &lt;/System&gt;<br />&nbsp; &lt;EventData&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;Catalog Database&lt;/Data&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;264&lt;/Data&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;Catalog Database: &lt;/Data&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;C:\&lt;/Data&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;C:\Windows\system32\CatRoot2\&lt;/Data&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;-1032 (0xfffffbf8)&lt;/Data&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;5 (0x00000005)&lt;/Data&gt;<br />&nbsp;&nbsp;&nbsp; &lt;Data&gt;拒绝访问。 &lt;/Data&gt;<br />&nbsp; &lt;/EventData&gt;<br />&lt;/Event&gt;</p> http://www.517sou.net/Article/windows-update-fails-with-8000ffff-e-unexpected.aspx http://www.517sou.net/Article/729/Trackback.ashx http://www.517sou.net/Article/windows-update-fails-with-8000ffff-e-unexpected.aspx#CommentPostAnchor http://www.517sou.net/Article/729/Feeds.ashx http://www.517sou.net/Article/WinToFlash-quickly-create-a-bootable-USB-flash-drive-version-of-your-Windows.aspx shanyiwan@live.com() Windows Tue, 22 Nov 2011 01:03:50 GMT <div id="articleBody"><p><img class="Image" alt="" src="http://www.517sou.net/Attach/month_1111/yizu9s_090903_1.png" /></p><p>WinToFlash is an easy-to-use tool which will quickly create a bootable USB flash drive version of your Windows CD or DVD (Windows XP, 2003, Vista, 7 and 8 are supported).</p><p>This could be very useful if, say, you need to install (or reinstall) Windows on a netbook, or any other system which doesn't have a working optical drive. Or if you manage a network and are always reinstalling Windows, for instance, doing so from a USB flash drive rather than a DVD could significantly speed up the installation process.</p><p>And despite the really rather complex mechanics that underpin a program like this, WinToFlash remains surprisingly straightforward. Essentially you just have to point the program at your installation DVD, and the flash drive you'd like to use, and that's about it: WinToFlash handles everything else for you.</p><p>You still have to be careful here. Your target USB flash drive will be formatted during the setup process, for instance, so any files it contains will be lost. WinToFlash will warn you about this, but plainly it's still important to make sure you select the correct drive.</p><p>And note also that this version is free for non-commercial use only, and includes ads. These are fairly unobtrusive, but if you like you can purchase a personal licence to remove them (current cost is $5.55); a Professional licence ($29.95) adds more functionality, and commercial use requires the purchase of a Business licence ($100). See the <a href="http://wintoflash.com/license/en" target="_blank"><font color="#f58220">WinToFlash site</font></a> for more.</p></div><div id="verdict"><div id="verdictHeader">Verdict:</div><p>WinToFlash provides a convenient way to speed up your Windows installations.</p></div><p><span style="font-weight: bold">WinToFlash是一个制作U盘版系统安装盘的应用，只需几个基本步骤就可以迁移Windows安装程序到U盘，并在没有光驱的计算机上安装。</span>没有Windows安装调试经验的用户可通过向导模式来完成。WinToFlash支持 Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows7系统。</p><h1>What is WinToFlash</h1><div class="storycontent"><p>On this page you will find an overview to WinToFlash. This is a chance for you to get to grips with what it is all about. If you have a solid understanding of the information technology world, for example it you can download games, connect to <a href="http://www.o2.co.uk/broadband/" target="_blank"><u><font color="#0066cc">Broadband</font></u></a> or install programs, then you should have no trouble at all using this. If you read through the information we have provided for you here, you will find it even easier to get to grips.</p><p>WinToFlash is likely to make a big difference to the way you work. It will make life a lot easier for you. Quickly and simply install the program you needs and in no time at all you will find yourself writing essays on Windows and using your USB. The WinToFlash makes the job hassle free for you.</p></div><div class="storycontent"><p>WinToFlash is software for transfer your Windows XP, Windows 2003, Windows Vista, Windows 2008, Windows 7, Windows 8 Setup from CD or DVD to USB in some mouse clicks. This is about you can install your Windows from flash drive or card, HDD, etc. to your computer or netbook.</p><p>And this is not all it can do. WinToFlash can transfer your live CD or DVD to USB card, for example, BartPE. After all you can erase your USB media and format it with Windows for everyday use.</p></div><h1>Functions list</h1><div class="storycontent"><div id="bullet2"><ul><li>Transfer Windows XP/2003/Vista/2008/7/8 Setup to a USB drive</li><li>Transfer WinPE (BartPE based on Windows XP/2003, WinPE based on Windows Vista/2008/7 and so on) to a USB drive</li><li>Erase USB media, full or quick</li><li>Create a USB drive with emergency bootloader for Windows XP/2003</li><li>Transfer MS-DOS to a USB drive</li><li>Create a USB drive with Windows XP/2003 Recovery Console</li></ul></div></div><h1>System requirements</h1><div class="storycontent"><p>To use Novicorp WinToFlash, your computer has to meet certain hardware requirements. Actual requirements vary, depending on the system configuration and the programs and features that you choose.</p><div id="bullet2"><ul><li>Pentium 233-megahertz (MHz) processor or faster</li><li>At least 64 megabytes (MB) of RAM</li><li>At least 20 megabytes (MB) of available space on the hard disk</li><li>Keyboard and a Microsoft Mouse or some other compatible pointing device</li><li>Video adapter and monitor with Super VGA (800 x 600) or higher resolution</li><li>Windows XP/2003/Vista/2008/7/8</li></ul></div></div> http://www.517sou.net/Article/WinToFlash-quickly-create-a-bootable-USB-flash-drive-version-of-your-Windows.aspx http://www.517sou.net/Article/727/Trackback.ashx http://www.517sou.net/Article/WinToFlash-quickly-create-a-bootable-USB-flash-drive-version-of-your-Windows.aspx#CommentPostAnchor http://www.517sou.net/Article/727/Feeds.ashx http://www.517sou.net/Article/Win7-can-nott-access-Sharing-settings.aspx shanyiwan@live.com() Windows Thu, 03 Nov 2011 02:02:19 GMT <p><b>【问题描述】：</b></p><p class="cnt">1、Windows 7 无法访问Windows2003共享，出现“系统错误 86。网络密码不正确”，但是这些问题都是正确的，经分析问题可能出现在用户身份验证上。</p><p class="cnt">2、访问共享打印机</p><p class="cnt">[Window Title]<br />添加打印机</p><p class="cnt">[Main Instruction]<br />连接到打印机</p><p class="cnt">[Content]<br />Windows 无法连接到打印机。</p><p class="cnt">[^] 隐藏详细信息(D)&nbsp; [确定]</p><p class="cnt">[Expanded Information]<br />操作失败，错误为 0x0000052e。</p><p class="cnt"><b>【解决方法】：</b></p><p class="cnt">首先，我们先确认防火墙是否阻止网络共享，“控制面板-系统和安全-windows防火墙-允许的程序里打开了文件和打印机共享；”。</p><p class="cnt">其次，“本地安全策略”，将“网络安全：LAN管理器身份验证级别”项的值“没有定义”改为“发送LM &amp; NTLM响应”；</p><p class="cnt"><span>最后，经过这样的修改后，windows 7就可以成功访问网络共享了</span></p><p class="cnt"><span>在WIN7计算机里面运行gpedit.msc，本地计算机策略-&gt;计算机配置-&gt;Windows设置-&gt;安全设置-&gt;本地策略-&gt;安全选项-&gt;网络安全：LAN管理器身份验证级别 设置为“发送LM和NTLM响应”（与WIN2000的计算机设置一样，在WIN7下最初的状态是末定义），在WIN7计算机上只经过这一步设置，就可以访问WIN2000下的共享目录了。</span></p><p class="cnt"><span><a href="http://support.microsoft.com/kb/823659" target="_blank"><span style="color: rgb(95,162,7)"><u>http://support.microsoft.com/kb/823659</u></span></a><br /></span></p><div class="cnt"><ol><li><strong>网络安全：Lan Manager 身份验证级别</strong></li><li><strong>背景</strong><br /><br />LAN Manager (LM) 身份验证是用于验证 Windows 客户端以进行网络操作（包括域加入、访问网络资源以及用户或计算机身份验证）的协议。LM 身份验证级别可确定在客户端和服务器计算机之间协商哪个质询/响应身份验证协议。确切地说，LM 身份验证级别可确定客户端会尝试协商或服务器会接受哪些身份验证协议。设置的 LmCompatibilityLevel 值可确定将哪种质询/响应身份验证协议用于网络登录。该值会影响客户端使用的身份验证协议级别、协商的会话安全级别以及服务器接受的身份验证级别，具体请参见下表。<br /><br />可能的设置包括以下内容。 <div class="kb_nowrapper"><div class="kb_nowrapper"><span class="kb_collapsetext_close">收起该表格</span><span class="kb_expandtext">展开该表格</span></div><table class="table" border="0" cellspacing="1"><tbody><tr><th>值</th><th>设置</th><th>说明</th></tr><tr><td>0</td><td>发送 LM 和 NTLM 响应</td><td>客户端使用 LM 和 NTLM 身份验证而从不使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。</td></tr><tr><td>1</td><td>发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全</td><td>客户端使用 LM 和 NTLM 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。</td></tr><tr><td>2</td><td>仅发送 NTLM 响应</td><td>客户端只使用 NTLM 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。</td></tr><tr><td>3</td><td>仅发送 NTLMv2 响应</td><td>客户端只使用 NTLMv2 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器接受 LM、NTLM 和 NTLMv2 身份验证。</td></tr><tr><td>4</td><td>仅发送 NTLMv2 响应/拒绝 LM</td><td>客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。域控制器拒绝 LM，而只接受 NTLM 和 NTLMv2 身份验证。</td></tr><tr><td>5</td><td>仅发送 NTLMv2 响应/拒绝 LM 和 NTLM</td><td>客户端只使用 NTLMv2 身份验证并使用 NTLMv2 会话安全（如果服务器支持）；域控制器拒绝 LM 和 NTLM（它们只接受 NTLMv2 身份验证）。</td></tr></tbody></table></div><strong>注意</strong>：在 Windows 95、Windows 98 和 Windows 98 Second Edition 中，目录服务客户端在通过 NTLM 身份验证向 Windows Server 2003 服务器验证身份时使用 SMB 签名。但是，目录服务客户端在通过 NTLMv2 身份验证向这些服务器验证身份时并不使用 SMB 签名。另外，Windows 2000 服务器不响应来自这些客户端的 SMB 签名请求。<br /><br /><strong>检查 LM 身份验证级别</strong> 必须更改服务器上的策略以允许使用 NTLM，或者必须配置客户端计算机以支持 NTLMv2。<br /><br />如果要连接到的目标计算机上的策略设置为“(5) 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”，那么必须降低该计算机上的设置，或者对安全性进行设置使其与要从中进行连接的源计算机的设置相同。<br /><br />找到可以更改 LAN Manager 身份验证级别的正确位置，以便将客户端和服务器设置为同一级别。找到设置 LAN Manager 身份验证级别的策略后，如果您希望与运行较早版本 Windows 的计算机建立连接，请将该值至少降低到“(1) 发送 LM 和 NTLM - 若协商则使用 NTLMv2 会话安全”。不兼容设置的一个结果便是：如果服务器需要 NTLMv2（值 5），但客户端配置为仅使用 LM 和 NTLMv1（值 0），则尝试身份验证的用户会因使用了无效密码而无法登录，同时会因此增加无效密码计数。如果配置了帐户锁定，则可能最终会锁定该用户。<br /><br />例如，您可能必须查看域控制器，或者查看域控制器的策略。<br /><br /><strong>查看域控制器</strong><br /><strong>注意</strong>：您可能必须在所有域控制器上重复以下过程。 <ol><li>单击“开始”，指向“程序”，然后单击“管理工具”。</li><li>在“本地安全设置”下，展开“本地策略”。</li><li>单击“安全选项”。</li><li>双击“网络安全:LAN Manager 身份验证级别”，然后单击列表中的适当值。</li></ol></li>如果“有效设置”与“本地设置”相同，则表明已在此级别上更改了策略。如果这两个设置不同，则必须检查域控制器的策略以确定是否在此处定义了“网络安全:LAN Manager 身份验证级别”设置。如果未在此处定义，请查看域控制器的策略。<br /><br /><strong>查看域控制器的策略</strong><ol><li>单击“开始”，指向“程序”，然后单击“管理工具”。</li><li>在“域控制器安全”策略中，展开“安全设置”，然后展开“本地策略”。</li><li>单击“安全选项”。</li><li>双击“网络安全:LAN Manager 身份验证级别”，然后单击列表中的适当值。</li></ol><strong>注意</strong><ul><li>您可能还必须检查在网站级别、域级别或组织单位 (OU) 级别链接的策略，以确定必须配置 LAN Manager 身份验证级别的位置。</li><li>如果将某一组策略设置作为默认域策略来执行，则该策略将应用于域中的所有计算机。</li><li>如果将某一组策略设置作为默认域控制器的策略来执行，则该策略仅适用于域控制器的 OU 中的服务器。</li><li>最好在策略应用程序层次结构中所需范围的最低实体中设置 LAN Manager 身份验证级别。</li></ul>请在进行更改后刷新该策略。（如果更改是在本地安全设置级别进行的，则此更改会立即生效。但是，在进行测试之前必须重新启动客户端。）<br /><br />默认情况下，组策略设置在域控制器上每 5 分钟更新一次。要在 Windows 2000 或更高版本上立即强制更新策略设置，请使用 <strong>gpupdate</strong>命令。<br /><br /><strong>gpupdate /force</strong> 命令可更新本地组策略设置和基于 Active Directory 目录服务的组策略设置，包括安全设置。此命令取代了现已过时的 <strong>secedit</strong> 命令的 <strong>/refreshpolicy</strong> 选项。<br /><br /><strong>gpupdate</strong>命令使用以下语法：<br /><span class="userInput">gpupdate [/target:{<var>computer</var>|<var>user</var>}] [/force] [/wait:<var>value</var>] [/logoff] [/boot]<br /><br />通过使用 <strong>gpupdate</strong>命令手动重新应用所有策略设置，可以应用新的组策略对象 (GPO)。为此，请在命令提示符处键入以下内容，然后按 Enter： <div class="indent"><span class="userInput">GPUpdate /Force</span></div></span>查看应用程序事件日志以确保成功应用了策略设置。<br /><br />在 Windows XP 和 Windows Server 2003 上，可以使用“策略的结果集”管理单元来查看有效设置。为此，请单击“开始”，单击“运行”，键入 <span class="userInput">rsop.msc</span>，然后单击“确定”。<br /><br />如果对策略进行更改后问题仍然存在，请重新启动基于 Windows 的服务器，然后验证问题是否已解决。<br /><br /><strong>注意</strong>：如果您有多台基于 Windows 2000 的域控制器和/或多台基于 Windows Server 2003 的域控制器，则可能必须复制 Active Directory 以确保这些域控制器能够立即获得更新的更改。<br /><br />或者，该设置可能看起来像被设置为本地安全策略中的最低设置。如果可以通过安全数据库进行设置，则还可以通过在注册表中编辑以下注册表子项中的 <strong>LmCompatibilityLevel</strong> 项来设置 LAN Manager 身份验证级别： <div class="indent">HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa</div>Windows Server 2003 有一个仅使用 NTLMv2 的新默认设置。默认情况下，基于 Windows Server 2003 和基于 Windows 2000 Server SP3 的域控制器已启用“Microsoft 网络服务器:数字签名的通信(总是)”策略。此设置要求 SMB 服务器执行 SMB 数据包签名。 已经对 Windows Server 2003 进行了更改，原因是任何组织中的域控制器、文件服务器、网络结构服务器和 Web 服务器均要求采用不同的设置，以最大程度地提高其安全性。<br /><br />如果您想在网络中实施 NTLMv2 身份验证，请一定要确保将域中的所有计算机都设置为使用此身份验证级别。如果对 Windows 95 或 Windows 98 以及 Windows NT 4.0 应用了 Active Directory Client Extension，则此客户端扩展将使用 NTLMv2 中提供的改进的身份验证功能。 因为运行以下任何操作系统的客户端计算机都不受 Windows 2000 组策略对象的影响，所以您可能需要手动配置这些客户端： <ul><li>Microsoft Windows NT 4.0</li><li>Microsoft Windows Millennium Edition</li><li>Microsoft Windows 98</li><li>Microsoft Windows 95</li></ul><strong>注意</strong>：如果启用了“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”策略或设置了“NoLMHash”注册表项，则未安装目录服务客户端的 Windows 95 和 Windows 98 客户端在密码更改后将无法登录到域。<br /><br />许多第三方 CIFS 服务器（如 Novell Netware 6）都无法识别 NTLMv2 而只使用 NTLM。因此，高于 2 的级别都不允许进行连接。 <br /><br />有关如何手动配置 LAN Manager 身份验证级别的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： <div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/147706/" target="_blank"><span style="color: rgb(95,162,7)"><u>147706</u></span></a><span class="pLink">(http://support.microsoft.com/kb/147706/ ) </span>如何在 Windows NT 上禁用 LM 身份验证</div><div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/175641/" target="_blank"><span style="color: rgb(95,162,7)"><u>175641</u></span></a><span class="pLink">(http://support.microsoft.com/kb/175641/ ) </span>LMCompatibilityLevel 及其效果</div><div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/299656/" target="_blank"><span style="color: rgb(95,162,7)"><u>299656</u></span></a><span class="pLink">(http://support.microsoft.com/kb/299656/ ) </span>如何阻止 Windows 在 Active Directory 和本地 SAM 数据库中存储密码的 LAN Manager 哈希</div><div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/312630/" target="_blank"><span style="color: rgb(95,162,7)"><u>312630</u></span></a><span class="pLink">(http://support.microsoft.com/kb/312630/ ) </span>Outlook 不断提示您提供登录凭据</div>有关 LM 身份验证级别的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： <div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/239869/" target="_blank"><span style="color: rgb(95,162,7)"><u>239869</u></span></a><span class="pLink">(http://support.microsoft.com/kb/239869/ ) </span>如何启用 NTLM 2 身份验证</div><li><strong>危险配置</strong><br /><br />以下是有害的配置设置： <ul><li>以明文形式发送密码和拒绝 NTLMv2 协商的非限制性设置</li><li>阻止不兼容的客户端或域控制器协商通用身份验证协议的限制性设置</li><li>要求在运行早于 Windows NT 4.0 Service Pack 4 (SP4) 版本的成员计算机和域控制器上进行 NTLMv2 身份验证</li><li>要求在未安装 Windows 目录服务客户端的 Windows 95 客户端或 Windows 98 客户端上进行 NTLMv2 身份验证。</li><li>在基于 Windows Server 2003 或 Windows 2000 Service Pack 3 的计算机上，如果单击以选中 Microsoft 管理控制台“组策略编辑器”管理单元中的“要求 NTLMv2 会话安全”复选框，并将 LAN Manager 身份验证级别降为 0，那么这两项设置将发生冲突，并且您可能会在 Secpol.msc 文件或 GPEdit.msc 文件中收到以下错误消息： <div class="kb_errormsgbody"><div class="kb_errorcontent"><div class="errormsg">Windows 无法打开本地策略数据库。打开数据库时出现了一个未知错误。</div></div></div>有关安全配置和分析工具的更多信息，请参见 Windows 2000 或 Windows Server 2003“帮助”文件。<br /><br />有关如何在 Windows 2000 和 Windows Server 2003 上分析安全级别的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： <div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/313203/" target="_blank"><span style="color: rgb(95,162,7)"><u>313203</u></span></a><span class="pLink">(http://support.microsoft.com/kb/313203/ ) </span>如何在 Windows 2000 中分析系统安全</div><div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/816580/" target="_blank"><span style="color: rgb(95,162,7)"><u>816580</u></span></a><span class="pLink">(http://support.microsoft.com/kb/816580/ ) </span>如何在 Windows Server 2003 中分析系统安全</div></li></ul></li><li><strong>修改此设置的原因</strong><ul><li>您想要提高组织中客户端和域控制器支持的最低的通用身份验证协议。</li><li>在业务需要安全的身份验证的情况下，您希望禁止对 LM 和 NTLM 协议的协商。</li></ul></li><li><strong>禁用此设置的原因</strong><br /><br />已将客户端或服务器身份验证要求（或两者同时）提高到了通过通用协议也无法进行身份验证的程度。</li><li><strong>符号名称：</strong><br /><br /><strong>LmCompatibilityLevel</strong></li><li><strong>注册表路径：</strong><div class="indent">HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel</div></li><li><strong>兼容性问题的示例</strong><ul><li><strong>Windows Server 2003：</strong>默认情况下，Windows Server 2003 NTLMv2 的“发送 NTLM 响应”设置已启用。因此，在初始安装后，当您尝试连接到基于 Windows NT 4.0 的群集或基于 LanManager V2.1 的服务器（如 OS/2 Lanserver）时，Windows Server 2003 将收到“Access Denied”错误消息。在尝试从较早版本的客户端连接到基于 Windows Server 2003 的服务器时，也会发生此问题。</li><li>应该安装 Windows 2000 安全汇总包 1 (SRP1)。SRP1 会强制使用 NTLM 版本 2 (NTLMv2)。此汇总包是在 Windows 2000 Service Pack 2 (SP2) 之后发布的。有关 SRP1 的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：<br /><br /><div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/311401/" target="_blank"><span style="color: rgb(95,162,7)"><u>311401 </u></span></a><span class="pLink">(http://support.microsoft.com/kb/311401/ ) </span>2002 年 1 月版 Windows 2000 安全累积软件包 1 (SRP1)</div></li><li>即使 Microsoft Outlook 客户端已经登录到域，这些客户端也可能会收到要求提供凭据的提示。用户提供凭据后，将收到下面的错误消息： <div class="kb_errormsgbody"><div class="kb_errorcontent"><div class="errormsg">The logon credentials supplied were incorrect.Make sure your username and domain are correct, then type your password again.</div></div></div>即使将“登录网络安全性”设置设为“Passthrough”或“密码验证”，您也可能会在启动 Outlook 时收到要求提供凭据的提示。键入正确的凭据后，可能会收到下面的错误消息： <div class="kb_errormsgbody"><div class="kb_errorcontent"><div class="errormsg">The login credentials supplied were incorrect.</div></div></div>网络监视器跟踪可能会显示全局编录发出的远程过程调用 (RPC) 失败，状态为 0x5。状态 0x5 表示“拒绝访问”。</li><li><strong>Windows 2000：</strong>网络监视器捕获功能可能会在 TCP/IP 上的 NetBIOS (NetBT) 服务器消息块 (SMB) 会话期间显示以下错误： <div class="kb_errormsgbody"><div class="kb_errorcontent"><div class="errormsg">SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier</div></div></div></li><li><strong>Windows 2000：</strong>如果具有 NTLMv2 级别 2 或更高级别的 Windows 2000 域受到 Windows NT 4.0 域的信任，则资源域中基于 Windows 2000 的成员计算机可能会遇到身份验证错误。 <br /><br />有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： <div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/305379/" target="_blank"><span style="color: rgb(95,162,7)"><u>305379</u></span></a><span class="pLink">(http://support.microsoft.com/kb/305379/ ) </span>在 Windows NT 4.0 域中具有高于 2 的 NTLM 2 级别的 Windows 2000 中出现身份验证问题</div></li><li><strong>Windows 2000 和 Windows XP：</strong>默认情况下，Windows 2000 和 Windows XP 将“LAN Manager 身份验证级别本地安全策略”选项设置为 0。设置为 0 表示“发送 LM 和 NTLM 响应”。<br /><br /><strong>注意</strong>：基于 Windows NT 4.0 的群集必须使用 LM 才能进行管理。</li><li><strong>Windows 2000：</strong>如果两个节点都是 Windows NT 4.0 Service Pack 6a (SP6a) 域的一部分，则 Windows 2000 群集不能对一个加入节点进行身份验证。<br /><br />有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： <div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/305379/" target="_blank"><span style="color: rgb(95,162,7)"><u>305379</u></span></a><span class="pLink">(http://support.microsoft.com/kb/305379/ ) </span>在 Windows NT 4.0 域中具有高于 2 的 NTLM 2 级别的 Windows 2000 中出现身份验证问题</div></li><li>IIS Lockdown Tool (HiSecWeb) 将 LMCompatibilityLevel 的值设为 5，并将 RestrictAnonymous 的值设为 2。</li><li><strong>Macintosh 服务</strong><br /><br /><strong>User Authentication Module (UAM)：</strong>Microsoft UAM (User Authentication Module) 提供了一种对登录到 Windows AFP (AppleTalk Filing Protocol) 服务器所使用的密码进行加密的方法。Apple User Authentication Module (UAM) 仅提供最简单的加密或者根本不加密。因此，在 LAN 或 Internet 上，您的密码很容易被截获。虽然没有要求 UAM，但它确实可以为运行 Macintosh 服务的 Windows 2000 服务器提供加密的身份验证。此版本包括对 NTLMv2 128 位加密身份验证和与 MacOS X 10.1 兼容的版本的支持。<br /><br />默认情况下，Windows Server 2003 Services for Macintosh 服务器仅允许使用 Microsoft 身份验证。 <br /><br />有关更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： <div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/834498/" target="_blank"><span style="color: rgb(95,162,7)"><u>834498</u></span></a><span class="pLink">(http://support.microsoft.com/kb/834498/ ) </span>Macintosh 客户端无法连接到 Windows Server 2003 上的 Mac 服务</div><div class="indent"><a class="KBlink" href="http://support.microsoft.com/kb/838331/" target="_blank"><span style="color: rgb(95,162,7)"><u>838331</u></span></a><span class="pLink">(http://support.microsoft.com/kb/838331/ ) </span>Mac OS X 用户无法打开基于 Windows Server 2003 服务器上的 Macintosh 共享文件夹</div></li><li><strong>Windows Server 2008、Windows Server 2003、Windows XP 和 Windows 2000：</strong>如果将 LMCompatibilityLevel 值配置为 0 或 1，然后将 NoLMHash 值配置为 1，则可能会拒绝应用程序和组件通过 NTLM 进行访问。此问题是由于计算机被配置为启用 LM 而非使用 LM 存储的密码造成的。<br /><br />如果将 NoLMHash 值配置为 1，则必须将 LMCompatibilityLevel 值配置为 2 或更大的值。</li></ul></li></ol></div><p>相关资源：</p><p><a href="http://support.microsoft.com/kb/2269296/en-us" target="_blank">Error message when you try to install a network printer in Windows 7: &quot;0x0000052e&quot;</a></p><h3 id="tocHeadRef">Workaround 1</h3><p><script type="text/javascript"></script>Before you add the network printer, open a Command Prompt window, and type the following at the command prompt:</p><div class="indent"><span class="userInput">start \\&lt;servername&gt;\&lt;printername&gt;</span></div><p><b>Note</b> In this command, &lt;servername&gt; represents the name of the print server and &lt;printername&gt; represents the share name of the printer.<br /><br />In the authentication window, enter the appropriate credentials.<br /></p><h3 id="tocHeadRef">Workaround 2</h3><p><script type="text/javascript"></script>Store a trusted credential in <b>Credential Manager</b>. To do this, follow these steps: <br /><br />1. In <b>Control Panel</b>, open <b>Credential Manager</b>.<br />2. Click <strong class="uiterm">Add a Windows credential</strong>a.<i><br /></i>3. In the dialog box, enter an appropriate print server name. Then, enter a user name and password that are trusted on the print server.<br />4. Click <strong class="uiterm">OK</strong>.<br /></p> http://www.517sou.net/Article/Win7-can-nott-access-Sharing-settings.aspx http://www.517sou.net/Article/715/Trackback.ashx http://www.517sou.net/Article/Win7-can-nott-access-Sharing-settings.aspx#CommentPostAnchor http://www.517sou.net/Article/715/Feeds.ashx http://www.517sou.net/Article/Unable-to-view-WINDOWS-2008-R2-SERVER-MANAGER-UNEXPECTED-ERROR-CAN-NOT-ADD-ROLES-AND-FEATURES.aspx shanyiwan@live.com() Windows Fri, 21 Oct 2011 10:04:17 GMT <p><b>症状：</b></p><p>Windows 2008 R2 x64</p><p>[Window Title]<br />服务器管理器</p><p>[Main Instruction]<br />刷新服务器管理器时出现意外错误: 远程过程调用失败。 (异常来自 HRESULT:0x800706BE)</p><p>[Content]<br />有关详细信息，请参阅事件日志: 诊断、事件查看器、应用程序和服务日志、Microsoft、Windows、服务器管理器、操作。</p><p>[确定]</p><p>具体表现在：角色与功能无法显示也无法添加色与功能（灰色），系统也会提示出错</p><p><b>解决办法：</b></p><p>1、下载KB947821对应的更新包，可以在MS网站下载</p><p>Note that these<font color="#006600"><b>commands</b></font> were run from and <b>elevated command prompt</b> and the SUR tool update was downloaded to a<b>temporary working directory, c:\servicing</b>.<br /></p><pre> Microsoft Windows [Version 6.1.7600] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Users\Administrator&gt;<font color="#006600"><b>cd c:\servicing</b></font> c:\servicing&gt;<font color="#006600"><b>wusa Windows6.1-KB947821-v7-x64.msu /extract:c:\servicing\kb947821</b></font> c:\servicing&gt;<font color="#006600"><b>cd kb947821</b></font> c:\servicing\kb947821&gt;<font color="#006600"><b>CheckSURPackage.EXE /Quiet /WindowsUpdate /DeleteBadCab /pkgversion=9.0 /fixcab=%windir%\CheckSur\v1.0\*.CAB /fixcab=%windir%\CheckSur\*.CAB /pkgdownload</b></font> c:\servicing\kb947821&gt; </pre><p>The last command is somewhat deceiving as the command prompt immediately returns and is ready for additional commands. You'll see three processes kick off, checksur.exe, checksurlauncher.exe, CheckSURPackage.exe. The checksur.exe process seems to do most of the work and uses most of the memory (between 28 and 35 MB) and CPU time (between 4 and 10%) for the package. When these three exit, then the log file should be generated at c:\Windows\Logs\CBS\CheckSUR.log.<br /><br />查看c:\Windows\Logs\CBS\CheckSUR.log日志内容：checking System Update Readiness.<br />Binary Version 6.1.7600.20751<br />Package Version 9.0<br />2010-09-16 13:48<br /><br />Checking Windows Servicing Packages<br /><br />Checking Package Manifests and Catalogs<br />(f) CBS MUM Corrupt 0x00000000 servicing\Packages\Package_for_KB979916_RTM~31bf3856ad364e35~amd64~~6.1.1.0.mum Expected file name Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7600.16385.mum does not match the actual file name<br /><br />Checking Package Watchlist<br /><br />Checking Component Watchlist<br /><br />Checking Packages<br /><br />Checking Component Store<br /><br />Summary:<br />Seconds executed: 617<br />Found 1 errors<br />CBS MUM Corrupt Total count: 1<br /><br />Unavailable repair files:<br />servicing\packages\Package_for_KB979916_RTM~31bf3856ad364e35~amd64~~6.1.1.0.mum<br />servicing\packages\Package_for_KB979916_RTM~31bf3856ad364e35~amd64~~6.1.1.0.cat<br /></p><p>可以很明显看出是文件不匹配，如何获取这些文件呢？</p><p>KB979916: Microsoft .NET Framework 3.5.1 Security Update for Windows 7 and Windows Server 2008 R2<br /><a href="http://www.microsoft.com/downloads/en/details.aspx?FamilyID=a49532d7-53f6-4190-aaf6-b1a818924764" target="_blank"><font color="#0066dd">http://www.microsoft.com/downloads/en/details.aspx?FamilyID=a49532d7-53f6-4190-aaf6-b1a818924764</font></a><br /><br />I have created a <b>temporary working directory, c:\servicing</b> where I will download the update and work with extracting the relevant files to restore. I have performed the following steps from an<b>elevated command prompt</b> (if you have UAC enabled, start -&gt; search enter cmd, right click cmd and select &quot;run as administrator&quot;) My commands and output are below:<br /><br /></p><pre> Microsoft Windows [Version 6.1.7600] Copyright (c) 2009 Microsoft Corporation. All rights reserved. C:\Windows\system32&gt;<font color="#006600"><b>cd c:\servicing</b></font> c:\servicing&gt;<font color="#006600"><b>wusa Windows6.1-KB979916-x64.msu /extract:c:\servicing\kb979916</b></font> c:\servicing&gt;<b><font color="#006600">cd kb979916</font></b> c:\servicing\kb979916&gt;<font color="#006600"><b>mkdir files</b></font> c:\servicing\kb979916&gt;<font color="#006600"><b>expand Windows6.1-KB979916-x64.cab -F:* files</b></font> Microsoft (R) File Expansion Utility Version 6.1.7600.16385 Copyright (c) Microsoft Corporation. All rights reserved. Adding files\update.mum to Extraction Queue Adding files\update.cat to Extraction Queue Adding files\update-bf.mum to Extraction Queue Adding files\update-bf.cat to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_it-it_f3430b7fb86756fc\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_it-it_0a103aa59ec043d9\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_es-es_546eaedf26f998b9\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_es-es_3da17fb940a0abdc\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_pt-pt_47fc1a9c704f5213\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_pt-pt_312eeb7689f66536\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_pt-br_314470ba89e65532\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_pt-br_48119fe0703f420f\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_nl-nl_d6a7bad24ddd000a\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_nl-nl_ed74e9f83435ece7\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_fr-fr_6b1626355e89540a\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_fr-fr_81e3555b44e240e7\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_hu-hu_dc9b942980d79bab\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_hu-hu_c5ce65039a7eaece\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_he-il_dcece0bb809d07e9\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_he-il_c61fb1959a441b0c\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ar-sa_9f8513f0aea8df56\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ar-sa_88b7e4cac84ff279\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ja-jp_20c61c8bd647e339\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ja-jp_37934bb1bca0d016\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_zh-tw_0dfc00819bd12d84\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_zh-tw_f72ed15bb57840a7\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_zh-cn_f7900061b52f7597\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_zh-cn_0e5d2f879b886274\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ko-kr_64f686bfda944830\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ko-kr_4e295799f43b5b53\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_da-dk_2748523108d9139d\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_da-dk_107b230b228026c0\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_sv-se_d0e0ce92c9a37a04\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_sv-se_ba139f6ce34a8d27\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_fi-fi_6b6e72e75e487482\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_fi-fi_823ba20d44a1615f\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_tr-tr_fdbb1548e8005d5b\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_tr-tr_e6ede62301a7707e\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_pl-pl_484a97ac7015a7d3\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_pl-pl_317d688689bcbaf6\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_nb-no_ed4a775034574354\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_nb-no_d67d482a4dfe5677\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ru-ru_8bfac988c5dd556a\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ru-ru_a2c7f8aeac364247\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_el-gr_3da5516b409ed8d8\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_el-gr_5472809126f7c5b5\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_cs-cz_e280229104f9b487\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_cs-cz_f94d51b6eb52a164\system.security.resources.dll to Extraction Queue Adding files\amd64_netfx-system.security_b03f5f7f11d50a3a_6.1.7600.16543_none_31ac5a7799a8e33c\system.security.dll to Extraction Queue Adding files\msil_system.security_b03f5f7f11d50a3a_6.1.7600.16543_none_708a89228a90a5c1\system.security.dll to Extraction Queue Adding files\amd64_netfx-system.security_b03f5f7f11d50a3a_6.1.7600.20659_none_1adf2b51b34ff65f\system.security.dll to Extraction Queue Adding files\msil_system.security_b03f5f7f11d50a3a_6.1.7600.20659_none_59bd59fca437b8e4\system.security.dll to Extraction Queue Adding files\package_for_kb979916_rtm~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_de-de_10c003bb224be476\system.security.resources.dll to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_de-de_278d32e108a4d153\system.security.resources.dll to Extraction Queue Adding files\package_for_kb979916_rtm~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_for_kb979916_rtm_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_for_kb979916_rtm_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_9_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_9_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_9_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_9_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_8_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_8_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_8_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_8_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_7_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_7_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_7_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_7_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_6_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_6_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_6_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_6_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_5_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_5_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_5_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_5_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_4_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_4_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_4_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_4_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_3_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_3_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_3_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_3_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_2_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_2_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_2_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_2_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_26_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_26_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_26_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_26_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_25_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_25_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_25_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_25_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_24_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_24_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_24_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_24_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_23_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_23_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_23_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_23_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_22_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_22_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_22_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_22_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_21_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_21_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_21_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_21_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_20_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_20_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_20_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_20_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_1_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_1_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_1_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_1_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_19_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_19_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_19_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_19_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_18_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_18_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_18_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_18_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_17_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_17_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_17_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_17_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_16_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_16_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_16_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_16_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_15_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_15_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_15_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_15_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_14_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_14_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_14_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_14_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_13_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_13_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_13_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_13_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_12_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_12_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_12_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_12_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_11_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_11_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_11_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_11_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_10_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_10_for_kb979916~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\package_10_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.mum to Extraction Queue Adding files\package_10_for_kb979916_bf~31bf3856ad364e35~amd64~~6.1.1.0.cat to Extraction Queue Adding files\msil_system.security_b03f5f7f11d50a3a_6.1.7600.20659_none_59bd59fca437b8e4.manifest to Extraction Queue Adding files\msil_system.security_b03f5f7f11d50a3a_6.1.7600.16543_none_708a89228a90a5c1.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_zh-tw_f72ed15bb57840a7.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_zh-cn_f7900061b52f7597.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_tr-tr_e6ede62301a7707e.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_sv-se_ba139f6ce34a8d27.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ru-ru_8bfac988c5dd556a.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_pt-pt_312eeb7689f66536.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_pt-br_314470ba89e65532.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_pl-pl_317d688689bcbaf6.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_nl-nl_d6a7bad24ddd000a.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_nb-no_d67d482a4dfe5677.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ko-kr_4e295799f43b5b53.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ja-jp_20c61c8bd647e339.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_it-it_f3430b7fb86756fc.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_hu-hu_c5ce65039a7eaece.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_he-il_c61fb1959a441b0c.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_fr-fr_6b1626355e89540a.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_fi-fi_6b6e72e75e487482.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_es-es_3da17fb940a0abdc.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_en-us_3d9c9ca740a4ff99.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_el-gr_3da5516b409ed8d8.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_de-de_10c003bb224be476.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_da-dk_107b230b228026c0.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_cs-cz_e280229104f9b487.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.20659_ar-sa_88b7e4cac84ff279.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_zh-tw_0dfc00819bd12d84.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_zh-cn_0e5d2f879b886274.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_tr-tr_fdbb1548e8005d5b.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_sv-se_d0e0ce92c9a37a04.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ru-ru_a2c7f8aeac364247.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_pt-pt_47fc1a9c704f5213.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_pt-br_48119fe0703f420f.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_pl-pl_484a97ac7015a7d3.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_nl-nl_ed74e9f83435ece7.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_nb-no_ed4a775034574354.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ko-kr_64f686bfda944830.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ja-jp_37934bb1bca0d016.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_it-it_0a103aa59ec043d9.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_hu-hu_dc9b942980d79bab.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_he-il_dcece0bb809d07e9.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_fr-fr_81e3555b44e240e7.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_fi-fi_823ba20d44a1615f.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_es-es_546eaedf26f998b9.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_en-us_5469cbcd26fdec76.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_el-gr_5472809126f7c5b5.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_de-de_278d32e108a4d153.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_da-dk_2748523108d9139d.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_cs-cz_f94d51b6eb52a164.manifest to Extraction Queue Adding files\msil_system.security.resources_b03f5f7f11d50a3a_6.1.7600.16543_ar-sa_9f8513f0aea8df56.manifest to Extraction Queue Adding files\amd64_netfx-system.security_b03f5f7f11d50a3a_6.1.7600.20659_none_1adf2b51b34ff65f.manifest to Extraction Queue Adding files\amd64_netfx-system.security_b03f5f7f11d50a3a_6.1.7600.16543_none_31ac5a7799a8e33c.manifest to Extraction Queue Adding files\amd64_f6512670a5f7e778499fd07709ef98a9_b03f5f7f11d50a3a_6.1.7600.20659_none_546b795cf37f167d.manifest to Extraction Queue Adding files\amd64_f26d2373f0767d5ea2df8c38f7cfcdee_b03f5f7f11d50a3a_6.1.7600.16543_none_81adb90cbe8b824b.manifest to Extraction Queue Adding files\amd64_ef1beda3a3cb72c36605228d5fe8f1da_b03f5f7f11d50a3a_6.1.7600.20659_none_69ff8324c3abacbb.manifest to Extraction Queue Adding files\amd64_ecbbe006f78f32b5a418e603efb43045_b03f5f7f11d50a3a_6.1.7600.20659_none_aed6fdd7e3e95a32.manifest to Extraction Queue Adding files\amd64_ea7089d02809f9936d3522142ba4b270_b03f5f7f11d50a3a_6.1.7600.20659_none_7a61b2f0fed3255e.manifest to Extraction Queue Adding files\amd64_e1c624fbe0f5abc91702147979b1da2b_b03f5f7f11d50a3a_6.1.7600.20659_none_8873b4204af8d924.manifest to Extraction Queue Adding files\amd64_e05a96c7a567814cce8cf7a2e8301a89_b03f5f7f11d50a3a_6.1.7600.20659_none_3555333baf9b3eaa.manifest to Extraction Queue Adding files\amd64_dfd57eb02976457c7b70239896976cba_b03f5f7f11d50a3a_6.1.7600.16543_none_2166bae28df4217f.manifest to Extraction Queue Adding files\amd64_de18d70754c35c37324f89da13edc800_b03f5f7f11d50a3a_6.1.7600.16543_none_0910d760d0e37ea0.manifest to Extraction Queue Adding files\amd64_d6d488073811ff73d0003a7a38310909_b03f5f7f11d50a3a_6.1.7600.16543_none_3c3276198b822d31.manifest to Extraction Queue Adding files\amd64_d3c7296db67c8098058d027377076695_b03f5f7f11d50a3a_6.1.7600.16543_none_f6890170238181ad.manifest to Extraction Queue Adding files\amd64_cfc253b1ec047ce1617b62a884a40cb4_b03f5f7f11d50a3a_6.1.7600.20659_none_063194f62d4093c3.manifest to Extraction Queue Adding files\amd64_cbd1d280174df1d8231c5bc76c8b8d16_b03f5f7f11d50a3a_6.1.7600.16543_none_af5edd514f6c74bd.manifest to Extraction Queue Adding files\amd64_ca53ef111b9577e5aae0b9ce5af7954a_b03f5f7f11d50a3a_6.1.7600.16543_none_b7be27e7a941931c.manifest to Extraction Queue Adding files\amd64_bfbabda298932d1e1028a8402a78b695_b03f5f7f11d50a3a_6.1.7600.20659_none_d37949fbd7bb77c2.manifest to Extraction Queue Adding files\amd64_b96c308cb77e0bad4b0b90318c003720_b03f5f7f11d50a3a_6.1.7600.16543_none_bf1b4f6a0c275984.manifest to Extraction Queue Adding files\amd64_b777b20a213b1c4a406c0de20536fc59_b03f5f7f11d50a3a_6.1.7600.20659_none_063dd88ccb97c7a5.manifest to Extraction Queue Adding files\amd64_b6f200188621af29fc9e33c2baf1a811_b03f5f7f11d50a3a_6.1.7600.16543_none_9cc747c4989b1303.manifest to Extraction Queue Adding files\amd64_b4c90bd50c46988fdbdafe2bfdf2e796_b03f5f7f11d50a3a_6.1.7600.16543_none_6ba1cc067653315e.manifest to Extraction Queue Adding files\amd64_b296a514fb4ff122a77b06b1603e95c8_b03f5f7f11d50a3a_6.1.7600.16543_none_3234899c8071da12.manifest to Extraction Queue Adding files\amd64_b1d301a96d6cd027fde45913d34ab244_b03f5f7f11d50a3a_6.1.7600.16543_none_116e96d708757d30.manifest to Extraction Queue Adding files\amd64_b12ce4f4ac13631f8e0b2f74da4de3a2_b03f5f7f11d50a3a_6.1.7600.20659_none_c5292c6fd5cd513e.manifest to Extraction Queue Adding files\amd64_9df43443ea3d5b62944a0338ef4ebf0b_b03f5f7f11d50a3a_6.1.7600.16543_none_95d038fe4b410809.manifest to Extraction Queue Adding files\amd64_9d1669aab3cd1f4269001453e1fc3b06_b03f5f7f11d50a3a_6.1.7600.16543_none_0c2e8a14db9cdc58.manifest to Extraction Queue Adding files\amd64_99217a99e465db7d3c9f6c0a501140c5_b03f5f7f11d50a3a_6.1.7600.20659_none_8554d82b3d591803.manifest to Extraction Queue Adding files\amd64_9469ee17d21b19dae6469d680810969f_b03f5f7f11d50a3a_6.1.7600.20659_none_852815661fd6f4d2.manifest to Extraction Queue Adding files\amd64_86fbdbc1b1850de9f5946c2aacdd5a48_b03f5f7f11d50a3a_6.1.7600.16543_none_a256b006f5243888.manifest to Extraction Queue Adding files\amd64_85f259ab079aa3aacace1dd73e5441de_b03f5f7f11d50a3a_6.1.7600.16543_none_521047e30f9e24c4.manifest to Extraction Queue Adding files\amd64_8309e6d787e9f96d36c11282f32f174d_b03f5f7f11d50a3a_6.1.7600.20659_none_7e78d192709a2194.manifest to Extraction Queue Adding files\amd64_78efbe6cedd022eed37c4e37a0500534_b03f5f7f11d50a3a_6.1.7600.16543_none_bab9d482ee36fac3.manifest to Extraction Queue Adding files\amd64_7618383e7e4c873e4406c9eef5438f36_b03f5f7f11d50a3a_6.1.7600.20659_none_b010a999032dca57.manifest to Extraction Queue Adding files\amd64_71d88231d794ce3bffa99a72ea4f365f_b03f5f7f11d50a3a_6.1.7600.16543_none_30c06dd726b07768.manifest to Extraction Queue Adding files\amd64_6f4ae50579f4d5a5cac2359a553c1221_b03f5f7f11d50a3a_6.1.7600.16543_none_bf2c9c6e2f9d8c4c.manifest to Extraction Queue Adding files\amd64_65b7e899231b56b5376c35fbc54f2e54_b03f5f7f11d50a3a_6.1.7600.16543_none_a685a1e57988036e.manifest to Extraction Queue Adding files\amd64_5c74357b813e08b28c85dc19e13541ea_b03f5f7f11d50a3a_6.1.7600.20659_none_6bfaba45a8a77338.manifest to Extraction Queue Adding files\amd64_5a2d8b9a5d4dd844cd1d9836325ed0d6_b03f5f7f11d50a3a_6.1.7600.20659_none_b32599feaf259e75.manifest to Extraction Queue Adding files\amd64_5705f324839e0a84dbd6d1a603d27570_b03f5f7f11d50a3a_6.1.7600.20659_none_6f8996a6a9877765.manifest to Extraction Queue Adding files\amd64_540650be2385bed2d2d7f55a02594ec6_b03f5f7f11d50a3a_6.1.7600.16543_none_e7213ec690c8885e.manifest to Extraction Queue Adding files\amd64_4df5e178d56b1a6ca7280aa7aad8ae12_b03f5f7f11d50a3a_6.1.7600.16543_none_c7e456145417430c.manifest to Extraction Queue Adding files\amd64_4d79c3cf58456a4cc8a5f4f54f6201bd_b03f5f7f11d50a3a_6.1.7600.16543_none_6a429a514e151d92.manifest to Extraction Queue Adding files\amd64_3c4f2bacca5f0ff8fa00a616149ebdad_b03f5f7f11d50a3a_6.1.7600.20659_none_ad26bbc32e62b56d.manifest to Extraction Queue Adding files\amd64_3b8db582301f354a24e85dfed0ab563e_b03f5f7f11d50a3a_6.1.7600.20659_none_8f9c10aa99bb4f0d.manifest to Extraction Queue Adding files\amd64_39cf7c34571b72cc43a63d747215d5a1_b03f5f7f11d50a3a_6.1.7600.20659_none_bf42062bfa802dbf.manifest to Extraction Queue Adding files\amd64_377a74d63648641ab5c5b36de3c7f368_b03f5f7f11d50a3a_6.1.7600.20659_none_b5d3eaade29b8976.manifest to Extraction Queue Adding files\amd64_2a1e5e166f043e387aca053f1350593e_b03f5f7f11d50a3a_6.1.7600.20659_none_cd5f35fa561795a5.manifest to Extraction Queue Adding files\amd64_22574cd4dbeff6e45aa8708b4a63549d_b03f5f7f11d50a3a_6.1.7600.16543_none_72999148913043cf.manifest to Extraction Queue Adding files\amd64_1f194eb23df3e5593e51fa829b622ced_b03f5f7f11d50a3a_6.1.7600.16543_none_33d506f7508e1386.manifest to Extraction Queue Adding files\amd64_1d0b379f4012c7ffc3c4ff3c20be60cd_b03f5f7f11d50a3a_6.1.7600.16543_none_5dd56d0499ab0476.manifest to Extraction Queue Adding files\amd64_1373ed3590246eab65d16409e9acca4a_b03f5f7f11d50a3a_6.1.7600.20659_none_259e55bf8baeb819.manifest to Extraction Queue Adding files\amd64_12e485739baa116354b2e696cadbca1c_b03f5f7f11d50a3a_6.1.7600.20659_none_05fa104135da3927.manifest to Extraction Queue Adding files\amd64_0d803ef1b88815d4fde074dc9d5d8a77_b03f5f7f11d50a3a_6.1.7600.20659_none_40f77ae40736af50.manifest to Extraction Queue Adding files\amd64_0d665ea169c955771d237e2723c193ca_b03f5f7f11d50a3a_6.1.7600.20659_none_de15fd89ca5fef42.manifest to Extraction Queue Expanding Files .... Progress: 50 out of 266 files Expanding Files Complete ... 266 files total. </pre><p><b>If you followed my steps exactly, the files to restore should be in C:\servicing\kb979916\files</b>. The files below should be<b>restored to the path relative to %systemroot% (usually c:\Windows\)</b>. For me, I would restore these files from the directory:<br /><br />Package_for_KB979916_RTM~31bf3856ad364e35~amd64~~6.1.1.0.mum<br />Package_for_KB979916_RTM~31bf3856ad364e35~amd64~~6.1.1.0.cat<br /><br />to:<br /><br />C:\Windows\servicing\packages\Package_for_KB979916_RTM~31bf3856ad364e35~amd64~~6.1.1.0.mum<br />C:\Windows\servicing\packages\Package_for_KB979916_RTM~31bf3856ad364e35~amd64~~6.1.1.0.cat<br /></p><p>覆盖原来文件</p><p><br />最后，再次检查一下，看有无错误发生<br />c:\servicing\kb947821&gt;CheckSURPackage.EXE /Quiet /WindowsUpdate /DeleteBadCab /pkgversion=9.0 /fixcab=%windir%\CheckSur\v1.0\*.CAB /fixcab=%windir%\CheckSur\*.CAB /pkgdownload<br /></p><p>查看日志文件：c:\Windows\Logs\CBS\CheckSUR.log<br />=================================<br />Checking System Update Readiness.<br />Binary Version 6.1.7601.21645<br />Package Version 9.0<br />2011-10-21 18:01</p><p>Checking Windows Servicing Packages</p><p>Checking Package Manifests and Catalogs</p><p>Checking Package Watchlist</p><p>Checking Component Watchlist</p><p>Checking Packages</p><p>Checking Component Store</p><p>Summary:<br />Seconds executed: 89<br />&nbsp;No errors detected</p> http://www.517sou.net/Article/Unable-to-view-WINDOWS-2008-R2-SERVER-MANAGER-UNEXPECTED-ERROR-CAN-NOT-ADD-ROLES-AND-FEATURES.aspx http://www.517sou.net/Article/706/Trackback.ashx http://www.517sou.net/Article/Unable-to-view-WINDOWS-2008-R2-SERVER-MANAGER-UNEXPECTED-ERROR-CAN-NOT-ADD-ROLES-AND-FEATURES.aspx#CommentPostAnchor http://www.517sou.net/Article/706/Feeds.ashx http://www.517sou.net/Article/Deploying-Windows-Server-2008-R2-domain-controllers.aspx shanyiwan@live.com() Windows Wed, 19 Oct 2011 01:57:19 GMT <div><b>第一部分：部署Windows Server 2008 R2域控制器</b></div><div><b>前言</b></div><div><b>对于活动目录（AD）来讲，从Windows 2000到现在有非常多的文章在对其进行探讨，微软公司每推出一代新的Windows系统，这一重要服务技术不管是从功能上还是从性能上都在不断进步。在此，以最新Windows Server 2008 R2（以后简称WIN08R2）系统为例，从零开始讲述关于WIN08R2活动目录相关技术。希望能一直坚持写完！</b></div><div align="right"><b>——胖哥</b></div><div>通过多年来AD在企业中的部署，技术人员几乎都知道与活动目录相关的一系列概念了，如：域、域树、域林、OU和站点，还有域控制器（DC）等。那么，对于一个AD来讲是从哪里开始实现的呢？</div><div>也许有人将是从第一台DC开始的。的确，AD的起点是从安装第一台DC开始的。但是，可能很少有人会意识到在安装第一台DC时，实际上是在部署AD的第一个域——根域，第一棵域树，乃至实现一个单域的域林。只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机——第一个DC。</div><div>由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。</div><div>&nbsp;</div><div><b>一、DC</b><b>网络属性的基本配置</b></div><div>对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。</div><div><a href="http://www.517sou.net/Attach/month_1110/3fsfbe_100917_1.jpg" target="_blank"><img title="clip_image001" border="0" alt="clip_image001" src="http://www.517sou.net/Attach/month_1110/1qyh3w_100918_2.jpg" height="404" /></a></div><div>图1</div><div>由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的，所以，最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”（如图2）。</div><div><a href="http://www.517sou.net/Attach/month_1110/w3pedy_100918_3.jpg" target="_blank"><img title="clip_image003" border="0" alt="clip_image003" src="http://www.517sou.net/Attach/month_1110/s2bsbj_100918_4.jpg" height="267" /></a></div><div>图2</div><div>当然，除此之外，当前计算机的NetBIOS名，也就是计算机需要设置好，因为安装完DC后，再去进行修改操作是不明智的。</div><div><b>二、准备安装AD</b><b>服务</b></div><div>WIN08R2对于AD服务的安装与早期版本略有不同，可以通过“服务器管理”的角色添加来完成初始化的准备工作（如图3），打开“服务器管理”工具，展开“角色”节点，在右边窗口中点击“添加角色”。</div><div><a href="http://www.517sou.net/Attach/month_1110/oc3plm_100918_5.jpg" target="_blank"><img title="clip_image005" border="0" alt="clip_image005" src="http://www.517sou.net/Attach/month_1110/lotlwo_100918_6.jpg" height="389" /></a></div><div>图3</div><div>打开“添加角色向导”（如图4），在该页中会得到系统的三点提示，其中最重要的是第二点。对于第一、三点来讲，可以不按提示配置，也不影响安装，点击“下一步”。</div><div><a href="http://www.517sou.net/Attach/month_1110/gnfzua_100918_7.jpg" target="_blank"><img title="clip_image007" border="0" alt="clip_image007" src="http://www.517sou.net/Attach/month_1110/fbbfht_100918_8.jpg" height="412" /></a></div><div>图4</div><div>在“服务器角色”列表中勾选“Active Directory域服务”（如图5），此时，系统会自动弹出对话框，</div><div><a href="http://www.517sou.net/Attach/month_1110/cm3csv_100918_9.jpg" target="_blank"><img title="clip_image009" border="0" alt="clip_image009" src="http://www.517sou.net/Attach/month_1110/8loqqh_100918_10.jpg" height="412" /></a></div><div>图5</div><div>要求安装“.NET Framework 3.5.1功能”（如图6），由于AD在WIN08R2上必须该功能的支持，</div><div><a href="http://www.517sou.net/Attach/month_1110/5xfn1j_100918_11.jpg" target="_blank"><img title="clip_image011" border="0" alt="clip_image011" src="http://www.517sou.net/Attach/month_1110/zw21y5_100919_12.jpg" height="270" /></a></div><div>图6</div><div>所以在此必须点击“添加必需的功能”按钮，返回“选择服务器角色”对话框后点击“下一步”（如图7）。</div><div><a href="http://www.517sou.net/Attach/month_1110/xkxhlo_100919_13.jpg" target="_blank"><img title="clip_image013" border="0" alt="clip_image013" src="http://www.517sou.net/Attach/month_1110/uvoewq_100919_14.jpg" height="412" /></a></div><div>图7</div><div>在“Active Directory域服务”对话框中，向导会给出四点注意事项（如图8），根据这些注意事项可以了解到安装AD前后操作应该执行的任务和AD需要的服务。</div><div><a href="http://www.517sou.net/Attach/month_1110/r8fb7s_100919_15.jpg" target="_blank"><img title="clip_image015" border="0" alt="clip_image015" src="http://www.517sou.net/Attach/month_1110/ni79hv_100919_16.jpg" height="412" /></a></div><div>图8</div><div>点击“下一步”进行安装（如图9）。</div><div><a href="http://www.517sou.net/Attach/month_1110/m72o5e_100919_17.jpg" target="_blank"><img title="clip_image017" border="0" alt="clip_image017" src="http://www.517sou.net/Attach/month_1110/jhslfg_100919_18.jpg" height="412" /></a></div><div>图9</div><div>当出现“安装结果”对话框时，如果没有错误，证明AD的安装准备已经完成，但是由于该台计算机还不能完全正常运行DC，所以提示需要启用AD安装向导（dcpromo.exe）来完成安装（如图10）。可以直接点击“关闭该向导并启动Active Directory域服务安装向导（dcpromo.exe）”进入安装向导，也可以直接点击“关闭”按钮之后，手动打开AD安装向导。</div><div><a href="http://www.517sou.net/Attach/month_1110/h6n33z_100919_19.jpg" target="_blank"><img title="clip_image019" border="0" alt="clip_image019" src="http://www.517sou.net/Attach/month_1110/ftjipi_100919_20.jpg" height="412" /></a></div><div>图10</div><div><b>三、完成AD</b><b>服务器的安装</b></div><div>1、需要运行AD域服务器安装向导才能完成该服务器的部署，所以在“运行”对话框中输入“dcpromo”点击“确定”启动向导（如图11）。</div><div><a href="http://www.517sou.net/Attach/month_1110/c5af1l_100919_21.jpg" target="_blank"><img title="clip_image020" border="0" alt="clip_image020" src="http://www.517sou.net/Attach/month_1110/bs6wn5_100919_22.jpg" height="252" /></a></div><div>图11</div><div>2、经过系统自动检测后，将出现AD安装向导的欢迎界面（如图12）。在该对话框中可以选择使用标准或高级模式来进行安装。对于高级模式是提供给有经验的用户对安装过程有更多的控制，</div><div><a href="http://www.517sou.net/Attach/month_1110/0g2cbn_100919_23.jpg" target="_blank"><img title="clip_image021" border="0" alt="clip_image021" src="http://www.517sou.net/Attach/month_1110/84wsy7_100919_24.jpg" height="444" /></a></div><div>图12</div><div>但是在此建议使用高级模式来进行操作。高级模式较之标准模式的功能增强可以参考表1所示。此外，还可直接在命令提示符下运行带有/adv开关的dcpromo命令（dcpromo /adv）来启动高级向导。</div><div><a href="http://www.517sou.net/Attach/month_1110/7rr0lp_100919_25.jpg" target="_blank"><img title="2010-04-18_221035" border="0" alt="2010-04-18_221035" src="http://www.517sou.net/Attach/month_1110/43i7ws_100919_26.jpg" width="650" height="420" /></a></div><div>表1</div><div>3、点击“下一步”，对部属配置进行选择（如图13），由于目的是部属企业中的第一个DC，所以在此应选择“在新林中新建域”。因为，创建新林需要管理员权限，所以必须是正在其上安装AD的服务器本地管理员组的成员。</div><div><a href="http://www.517sou.net/Attach/month_1110/2qemjb_100919_27.jpg" target="_blank"><img title="clip_image022" border="0" alt="clip_image022" src="http://www.517sou.net/Attach/month_1110/y36jud_100919_28.jpg" height="444" /></a></div><div>图13</div><div>4、点击“下一步”，对域林的根域进行命名（如图14）。需要在之前对DNS基础结构有一个完整的计划。必须了解该林的完整DNS名称。可以在安装AD之前先安装DNS服务器服务，或者如本实例一样选择让AD安装向导安装DNS服务器服务。</div><div><a href="http://www.517sou.net/Attach/month_1110/wp11hw_100919_29.jpg" target="_blank"><img title="clip_image023" border="0" alt="clip_image023" src="http://www.517sou.net/Attach/month_1110/udwg5f_100919_30.jpg" height="444" /></a></div><div>图14</div><div>让AD向导来安装DNS服务器服务，将使用此处的DNS名称为林中的第一个域自动生成NetBIOS名称。点击“下一步”，向导会验证DNS名称和NetBIOS名称在网络中的唯一性。由于使用的是高级模式，所以NetBIOS无论是否发生冲突，都会出现“域NetBIOS名称”步骤（如图15）。当然，在标准模式下，只有检查到自动生成的NetBIOS名称与现有网络中名称冲突时，才会出现该步骤。</div><div><a href="http://www.517sou.net/Attach/month_1110/t2rxrz_100919_31.jpg" target="_blank"><img title="clip_image024" border="0" alt="clip_image024" src="http://www.517sou.net/Attach/month_1110/romdfi_100919_32.jpg" height="444" /></a></div><div>图15</div><div>5、点击“下一步”，“设置林功能级别”（如图16），功能级别确定了在域或林中启用AD的功能，还将限制可以在域或域林中DC上运行的Windows服务器版本。但是，功能级别不会影响在连接到域或域林的工作站和成员服务器上运行的操作系统。</div><div><a href="http://www.517sou.net/Attach/month_1110/o1dapk_100919_33.jpg" target="_blank"><img title="clip_image025" border="0" alt="clip_image025" src="http://www.517sou.net/Attach/month_1110/jz1on7_100919_34.jpg" height="444" /></a></div><div>图16</div><div>创建新域或新林时，建议将域和林功能级别设置为当前环境可以支持的最高值，这样可以尽可能的充分发挥AD的功能。如果肯定不会将运行Windows Server 2008（以后简称WIN08）或任何更早版本的操作系统的域控制器添加到域或林，可以选择WIN08R2功能级别。另外，如果可能会保留或添加运行WIN08或早版本的域控制器，则在安装期间应选择 Windows Server 2008 功能级别。若确定不会添加这类域控制器或这类域控制器不再使用，则安装后可以提升功能级别。需要注意的是不能将域功能级别设置为低于林功能级别的值。例如将林功能级别设置为WIN08，则只能将域功能级别设置为WIN08或WIN08R2。Windows 2000（以后简称WIN2K）和Windows Server 2003（以后简称WIN03）域功能级别值在“设置域功能级别”向导页中将不可选择。因此，若选择林功能级别为WIN08R2，那么，向导将不会出现“设置域功能级别”步骤，默认情况下向林添加的所有域都将为WIN08R2域功能级别。</div><div><font color="#ff0000" size="3" face="楷体"><strong>特别需要注意：</strong></font></div><div><font color="#ff0000" size="3" face="楷体"><strong>将域功能级别设置为某个特定值后，将无法回滚或降低域功能级别，但以下情况例外：将域功能级别提升至WIN08R2，并且林功能级别为WIN08或更低时，可以将域功能级别回滚到WIN08，且只能将其从WIN08R2降到WIN08，而不能将其回直接滚到WIN03。</strong></font></div><div><font color="#ff0000" size="3" face="楷体"><strong>将林功能级别设置为某个值之后，就不能回滚或降低林功能级别，但有一种情况例外：当您将林功能级别提升到WIN08R2且没有启用AD回收站时，则可以选择将林功能级别回滚到WIN08。且只能将其从WIN08R2降到WIN08，而不能将其回直接滚到WIN03。</strong></font></div><div>以下表2列出了每种域功能级别启用的功能和支持的域控制器操作系统</div><div><a href="http://www.517sou.net/Attach/month_1110/inv5ap_100919_35.jpg" target="_blank"><img title="2010-04-18_221317" border="0" alt="2010-04-18_221317" src="http://www.517sou.net/Attach/month_1110/eym2lr_100919_36.jpg" width="650" height="568" /></a></div><div><a href="http://www.517sou.net/Attach/month_1110/dmhi9a_100919_37.jpg" target="_blank"><img title="2010-04-18_221344" border="0" alt="2010-04-18_221344" src="http://www.517sou.net/Attach/month_1110/9l5v7w_100919_38.jpg" width="650" height="433" /></a></div><div>表2</div><div>以下表3列出了每种林功能级别启用的功能和支持的域控制器操作系统</div><div><a href="http://www.517sou.net/Attach/month_1110/6xvshy_100919_39.jpg" target="_blank"><img title="2010-04-18_221453" border="0" alt="2010-04-18_221453" src="http://www.517sou.net/Attach/month_1110/1wh7fk_100919_40.jpg" width="650" height="510" /></a></div><div><a href="http://www.517sou.net/Attach/month_1110/x894pm_100919_41.jpg" target="_blank"><img title="2010-04-18_221513" border="0" alt="2010-04-18_221513" src="http://www.517sou.net/Attach/month_1110/ujz11o_100919_42.jpg" width="650" height="279" /></a></div><div>表3</div><div>6、点击“下一步”，配置“其它域控制器选项”（如图17）。在AD安装期间，可以为DC选择安装DNS服务、或将其设置成为全局编录服务器（GC）或只读域控制器（RODC）。</div><div><a href="http://www.517sou.net/Attach/month_1110/quqwar_100919_43.jpg" target="_blank"><img title="clip_image026" border="0" alt="clip_image026" src="http://www.517sou.net/Attach/month_1110/n7htlt_100919_44.jpg" height="444" /></a></div><div>图17</div><div><b>DNS</b><b>服务器选项</b></div><div>正如“DC网络属性的基本配置”一节中谈到的在DC上同时安装DNS服务，此处就需要勾选“DNS服务器”选项。该选项的默认设置取决于此前选择的部署配置和当前网络中的DNS环境等因素。表4中列出了不同AD部署配置的默认DNS服务安装配置。</div><div><a href="http://www.517sou.net/Attach/month_1110/kh8qwv_100919_45.jpg" target="_blank"><img title="2010-04-18_221628" border="0" alt="2010-04-18_221628" src="http://www.517sou.net/Attach/month_1110/i648je_100919_46.jpg" width="650" height="263" /></a></div><div>表4</div><div><strong><font color="#ff0000" size="3" face="楷体">需要注意的是：</font></strong></div><div><font color="#ff0000" size="3" face="楷体"><strong>如果启动AD安装向导之前已经安装了DNS服务，但AD没有 DNS 基础结构，则 DNS 服务将继续为它承载的任何基于文件的区域解析名称，但不会承载它作为域控制器所在的域的任何AD集成的DNS区域。</strong></font></div><div><b>全局编录选项</b></div><div>由于林中的第一台DC必须是GC，因此在创建域林时“全局编录”复选框处于会被自动选中，而且变灰不能被取消。在现有域中安装其他DC时，默认也会选中该复选框。但是，可以手动取消选择。</div><div>在创建新的子域或域树时，默认情况下不会选中“全局编录”复选框，因为新域中的第一个域控制器承载着所有域范围的操作主机角色（FSMO角色），包括基础结构操作主机角色。在多域林中，除非域中的所有DC都是GC，否则在GC上承载基础结构主机角色可能会出现问题。因此，在新子域或域树的第一个DC上安装全局编录，则需要在将其他DC安装到域中之后转移基础结构主机角色，或是确保安装到域中的所有其他DC也都是GC。而且，在安装其他可写域控制器时，AD安装向导会验证基础结构主机是否承载于合适的DC上，并且会验证它是否可以修复使用所选安装选项引发的问题。</div><div><b>RODC</b><b>选项</b></div><div>以下条件下不允许安装 RODC：</div><ul><li>新林中安装第一个域控制器</li><li>新域中安装第一个域控制器</li><li>林功能级别不是WIN03、WIN08或WIN08R2</li><li>要安装RODC的域中没有WIN08 或WIN08R2的可写域控制器</li></ul><div><b>选项间的关系</b></div><div>如果选中“只读域控制器（RODC）”复选框，除非无法选中“DNS 服务器”复选框，否则向导会自动选中此选项。如果在向导选中“DNS 服务器”复选框之后将其清除，则向导会发出警告：“如果不同时安装 DNS 服务器，分支机构中的客户端可能无法找到RODC”。默认情况下，“全局编录”复选框可能也处于选中状态，具体取决于选择的其他安装选项。默认情况下，如果选中“只读域控制器”复选框，向导就会自动选中“全局编录”复选框。</div><div><b>验证检查选项</b></div><div>在“其他域控制器选项”页上选择选项，然后点击“下一步”之后，向导会执行以下验证检查，之后才会继续进行操作。</div><div>静态 IP 地址验证——如果选中“DNS 服务器”复选框，AD安装向导会验证服务器的所有物理网络适配器是否都具有一个静态地址，包括静态的IPv4和IPv6地址。尽管不使用静态IP地址便可以完成AD安装，但不建议这样做，因为如果DC的 IP地址发生变化，客户端可能无法联系DC。</div><div>基础结构主机检查——如果选择在域中安装其他域控制器的选项，AD安装向导默认会选中“全局编录”复选框。如果正在安装可写域控制器（“只读域控制器”复选框处于清除状态），而且清除了“全局编录”复选框，向导会检查域中的全局编录服务器上当前是否承载了基础结构主机角色。如果检查结果为是，向导会提示将该角色转移到正在安装的DC上。可以点击“是”将基础结构主机角色转移到此DC上，或点击“否”稍后更改配置。</div><div>Adprep /rodcprep检查——如果安装 RODC，向导会验证adprep /rodcprep命令是否成功完成，以及该命令导致的更改是否复制到整个林中。如果adprep /rodcprep命令没有成功完成，或是更改尚未复制到整个林中，会收到一条错误消息，指出在继续进行安装之前必须运行该命令。如果收到此消息，可以在林中的任何计算机上再次运行adprep /rodcprep，或是等待更改复制到整个林中。</div><div>7、点击“下一步”，系统会弹出DNS服务委派警告对话框（如图18）。在此，点击“是”继续完成向导。这个对话框的出现是由于配置其它服务器时，选择了“DNS服务器”选项，而当前计算机又未找到指定域的权威父域Windows DNS服务器，从而无法确定是否对指定域进行了委派导致的。</div><div><a href="http://www.517sou.net/Attach/month_1110/fgu5th_100919_47.jpg" target="_blank"><img title="clip_image027" border="0" alt="clip_image027" src="http://www.517sou.net/Attach/month_1110/csl25j_100919_48.jpg" height="208" /></a></div><div>图18</div><div>8、确定AD数据库、日志文件和SYSVOL放置的位置（如图19）。对于数据库来讲主要存储有关用户、计算机和网络中其它对象的信息；日志文件记录与AD有关的活动；SYSVOL存储组策略对象和脚本，其默认是位于%windir%目录中的操作系统文件的一部分。</div><div><a href="http://www.517sou.net/Attach/month_1110/afghr3_100919_49.jpg" target="_blank"><img title="clip_image028" border="0" alt="clip_image028" src="http://www.517sou.net/Attach/month_1110/04cyfl_100919_50.jpg" height="444" /></a></div><div>图19</div><div>在决定AD文件的存储位置时，可以从以下两个因素来考虑——</div><div><b>备份和恢复</b></div><div>对于只有一个硬盘的服务器来将，只需接受AD安装向导的默认安装设置即可。但是，必须至少在该硬盘上创建两个卷。其中一个卷用于存储关键卷数据，另一个卷用于存储备份。 在使用Windows Server Backup或Wbadmin.exe命令行工具备份DC时，至少必须备份系统状态数据，以便使用备份恢复服务器。用于存储备份的卷不能与承载系统状态数据的卷相同。构成系统状态数据的系统组件由安装在计算机上的服务器角色来决定。系统状态数据至少包括下列数据（根据所安装的服务器角色，还可能包括其他数据）：</div><ul><li>注册表</li><li>COM+ 类注册数据库</li><li>引导文件</li><li>Active Directory 证书服务 (AD CS) 数据库</li><li>承载 Active Directory 数据库 (Ntds.dit) 的卷</li><li>承载 Active Directory 数据库日志文件的卷</li><li>SYSVOL 目录</li><li>群集服务信息</li><li>Microsoft Internet Information Services (IIS) 元目录</li><li>Windows 资源保护下的系统文件</li></ul><div><b>性能</b></div><div>对于更加复杂的安装，可能需要配置硬盘存储以优化 AD的性能。由于数据库和日志文件以不同方式利用磁盘存储空间，因此可以通过将每种内容分配到不同的硬盘主轴来提高 AD的性能。</div><div>例如，一台服务器具有四个可用的硬盘驱动器，它们的驱动器卷标分别为：</div><ul><li>驱动器 C，包含操作系统文件</li><li>驱动器 D，未使用</li><li>驱动器 E，未使用</li><li>驱动器 F，用于备份</li></ul><div>在此服务器上，可以通过将数据库和日志文件分别安装到专用的驱动器（如D和E）中而最大限度提高AD的性能。这有助于提高数据库的搜索性能，因为有一个驱动器主轴可以专用于搜索活动。在同时进行大量更改的情况下，这种配置也会降低承载日志文件的磁盘出现瓶颈问题的几率。可以将 SYSVOL 与操作系统文件一起存储在驱动器 C 中。</div><div>9、点击“下一步”，向导要求输入“目录还原模式的Administrator密码”（如图20）。在 AD未运行时，目录服务还原模式（DSRM）密码是登录域控制器所必需的。</div><div><a href="http://www.517sou.net/Attach/month_1110/6f4vpo_100920_51.jpg" target="_blank"><img title="clip_image029" border="0" alt="clip_image029" src="http://www.517sou.net/Attach/month_1110/2ep9n0_100920_52.jpg" height="444" /></a></div><div>图20</div><div><font color="#ff0000" size="3" face="楷体"><strong>特别注意</strong></font></div><div><font color="#ff0000" size="3" face="楷体"><strong>DSRM密码与域管理员帐户的密码不同。</strong></font></div><div>当创建林中第一台DC时，AD安装向导会将本地服务器上生效的密码策略强制作用于此。对于所有的其他DC的安装，AD安装向导将现有DC上生效的密码策略强制作用于此。这意味着，指定的DSRM密码必须符合包含现有DC所在域的最小密码长度、历史记录和复杂性要求。默认情况下，必须包含大写和小写字母组合、数字和符号的强密码。</div><div>10、点击“下一步”，显示安装摘要（如图21），并且可以单击“导出设置”将在此向导中指定的设置保存到一个应答文件。然后，可以使用应答文件自动执行AD的后续安装。</div><div><a href="http://www.517sou.net/Attach/month_1110/xpg6yb_100920_53.jpg" target="_blank"><img title="clip_image030" border="0" alt="clip_image030" src="http://www.517sou.net/Attach/month_1110/u2839e_100920_54.jpg" height="444" /></a></div><div>图21</div><div>应答文件是包含 [DCInstall] 标题的纯文本文件，应答文件提供了对AD安装向导所需配置的设置值。使用该应答文件时，管理员无需与该向导进行交互。向导会向该应答文件中添加文本，说明如何使用该文件，例如，说明如何使用dcpromo命令来调用该文件以及必须更新哪些设置才能使用该文件。</div><div>若要使用应答文件来安装AD，在命令提示符下输入：</div><div><font color="#800000"><strong>dcpromo /answer[:filename]</strong></font></div><div>其中 filename 为应答文件的名称。</div><div>11、点击“下一步”，安装向导执行安装操作（如图22）。如果没有勾选“完成后重新启动”复选框，</div><div><a href="http://www.517sou.net/Attach/month_1110/p1tg7z_100920_55.jpg" target="_blank"><img title="clip_image031" border="0" alt="clip_image031" src="http://www.517sou.net/Attach/month_1110/kzft5l_100920_56.jpg" height="289" /></a></div><div>图22</div><div>则执行完毕后，AD安装向导将出现完成安装页（如图23）。点击“完成”，</div><div><a href="http://www.517sou.net/Attach/month_1110/ha7qen_100920_57.jpg" target="_blank"><img title="clip_image032" border="0" alt="clip_image032" src="http://www.517sou.net/Attach/month_1110/gy3837_100920_58.jpg" height="444" /></a></div><div>图23</div><div>系统会提示需要重新启动计算机配置才能生效（如图24）。点击“立即重新启动”完成DC安装操作。</div><div><a href="http://www.517sou.net/Attach/month_1110/emxnpp_100920_59.jpg" target="_blank"><img title="clip_image033" border="0" alt="clip_image033" src="http://www.517sou.net/Attach/month_1110/bxok1s_100920_60.jpg" height="136" /></a></div><div>图24</div><div><b>四、完成后简单验证安装情况</b></div><div>重启服务器后，可以通过以下几点的验证来确定DC的基本安装成功。</div><div>1、AD数据文件是否产生（如图25）。</div><div><a href="http://www.517sou.net/Attach/month_1110/0lj1nb_100920_61.jpg" target="_blank"><img title="clip_image035" border="0" alt="clip_image035" src="http://www.517sou.net/Attach/month_1110/90fhau_100920_62.jpg" height="359" /></a></div><div>图25</div><div>2、DNS服务是否工作正常，与域相关的资源记录，特别是SRV记录是否正确写入（如图26）。</div><div><a href="http://www.517sou.net/Attach/month_1110/7waxxd_100920_63.jpg" target="_blank"><img title="clip_image037" border="0" alt="clip_image037" src="http://www.517sou.net/Attach/month_1110/492u9g_100920_64.jpg" height="368" /></a></div><div>图26</div><div>3、SYSVOL文件夹是否存在，能正常访问。</div><div>4、日志中是否有错误事件等。</div><div>若均无问题，则表明当前部署的企业中第一台DC工作基本正常。</div><p><b>第二部分：使用 Windows 界面安装其他域控制器</b></p><div class="title">一、<a href="http://technet.microsoft.com/zh-cn/library/cc753720(WS.10).aspx" target="_blank">使用 Windows 界面安装其他域控制器</a></div><p></p><div id="mainSection"><div id="mainBody"><p>Windows 界面提供了引导您完成安装 Active Directory 域服务 (AD DS) 过程的两个向导。第一个向导是添加角色向导，可以在服务器管理器中访问该向导。第二个向导是 Active Directory 域服务安装向导，您可以通过下列方法对其进行访问：</p><ul><li class="unordered">完成添加角色向导后，单击打开 Active Directory 域服务安装向导的链接。</li><li class="unordered">依次单击<strong>「开始」</strong>、<strong>“运行”</strong>，键入 <strong>dcpromo.exe</strong>，然后单击<strong>“确定”</strong>。</li></ul><p>如果使用 Active Directory 域服务安装向导中的高级选项，则可以通过从介质安装 (IFM) 方法或通过复制来控制在服务器上安装 AD DS 的方式：</p><ul><li class="unordered">IFM：您可以为使用 Ntdsutil.exe 创建的或从同一域的类似域控制器的备份中还原的安装介质提供一个位置。如果通过使用 Ntdsutil 创建安装介质，则可以选择为只读域控制器 (RODC) 创建安全的安装介质。在这种情况下，Ntdsutil 将从安装介质中删除缓存机密，如密码。有关详细信息，请参阅<a id="ctl00_MTCS_main_ctl01" href="http://technet.microsoft.com/zh-cn/library/cc770654(WS.10).aspx" target="_blank"><font color="#0033cc">从介质安装 AD DS</font></a>。</li><li class="unordered">复制：您可以在域中指定一个从中复制 AD DS 的域控制器。</li></ul><p><strong>管理凭据</strong></p><p>若要执行此过程，您必须是正在安装域控制器的域中 Domain Admins 组的成员。</p><h4 class="subHeading">通过使用 Windows 界面在现有域中安装域控制器的步骤</h4><div class="subSection"><ol class="ordered"><li><p>打开服务器管理器。单击“开始”，指向“管理工具”，然后单击“服务器管理器”。</p></li><li><p>在<strong>“角色摘要”</strong>中，单击<strong>“添加角色”</strong>。</p></li><li><p>如有必要，请查看<strong>“开始之前”</strong>页上的信息，然后单击<strong>“下一步”</strong>。</p></li><li><p>在<strong>“选择服务器角色”</strong>页上，单击<strong>“Active Directory 域服务”</strong>复选框，然后单击<strong>“下一步”</strong>。</p><div class="alert"><table><tbody><tr><th align="left"><img alt="note" src="http://www.517sou.net/Attach/month_1110/2wxbvz_100920_65.gif" />备注</th></tr><tr><td>在运行 Windows Server 2008 R2 的服务器上，可能必须单击<strong>“添加必需的功能”</strong>安装 .NET Framework 3.5.1 功能，然后才能单击<strong>“下一步”</strong>。 <p></p></td></tr></tbody></table><p></p></div></li><li><p>如有必要，请查看<strong>“Active Directory 域服务”</strong>页上的信息，然后单击<strong>“下一步”</strong>。</p></li><li><p>在<strong>“确认安装选择”</strong>页上，单击<strong>“安装”</strong>。</p></li><li><p>在<strong>“安装结果”</strong>页上，单击<strong>“关闭该向导并启动 Active Directory 域服务安装向导(dcpromo.exe)”</strong>。</p></li><li><p>在<strong>“欢迎使用 Active Directory 域服务安装向导”</strong>页上，单击<strong>“下一步”</strong>。</p><p>如果您希望从介质安装，请为 AD DS 复制标识源域控制器，或为 RODC 指定密码复制策略 (PRP) 作为其他域控制器安装的一部分，然后选中<strong>“使用高级模式安装”</strong>。</p></li><li><p>在<strong>“操作系统兼容性”</strong>页上，查看有关 Windows Server 2008 和 Windows Server 2008 R2 域控制器的默认安全设置的警告，然后单击<strong>“下一步”</strong>。</p></li><li><p>在<strong>“选择某一部署配置”</strong>页上，单击<strong>“现有林”</strong>，再单击<strong>“向现有域添加域控制器”</strong>，然后单击<strong>“下一步”</strong>。</p></li><li><p>在<strong>“网络凭据”</strong>页上，键入计划要在其中安装其他域控制器的林中的任何现有域的名称。在<strong>“请指定用于执行安装的帐户凭据”</strong>下，单击<strong>“我的当前登录凭据”</strong>或单击<strong>“备用凭据”</strong>，然后单击<strong>“设置”</strong>。在<strong>“Windows 安全”</strong>对话框中，提供可用来安装其他域控制器帐户的用户名和密码。若要安装其他域控制器，您必须是 Enterprise Admins 组或 Domain Admins 组的成员。提供凭据后，单击<strong>“下一步”</strong>。</p></li><li><p>在<strong>“选择一个域”</strong>页上，选择新域控制器的域，然后单击<strong>“下一步”</strong>。</p></li><li><p>在<strong>“请选择一个站点”</strong>页上，从列表中选择站点或选择站点中与其 IP 地址相对应的选项来安装域控制器，然后单击<strong>“下一步”</strong>。</p></li><li><p>在<strong>“其他域控制器选项”</strong>页上，进行如下选择，然后单击<strong>“下一步”</strong>：</p><ul><li class="unordered"><strong>“DNS 服务器”</strong>：默认情况下，此选项处于选中状态，以便域控制器可以作为域名系统 (DNS) 服务器。如果您不希望该域控制器成为 DNS 服务器，则清除该选项。<br /><br /><div class="alert"><table><tbody><tr><th align="left"><img alt="note" src="http://www.517sou.net/Attach/month_1110/2wxbvz_100920_65.gif" />备注</th></tr><tr><td>选择安装 DNS 服务器的选项时，可能会收到一条消息，指示无法为 DNS 服务器创建 DNS 委派，并指示应手动为 DNS 服务器创建 DNS 委派以确保可靠的名称解析。如果是在林根域或树根域中安装其他域控制器，则不需要创建 DNS 委派。在这种情况下，请单击<strong>“是”</strong>并忽略该消息。 <p></p></td></tr></tbody></table><p></p></div></li><li class="unordered"><strong>“全局编录”</strong>：默认情况下，此选项处于选中状态。它会将全局编录、只读目录分区添加到域控制器，并且将启用全局编录搜索功能。<br /><br /></li><li class="unordered"><strong>“只读域控制器”</strong>。默认情况下此选项未被选中。该选项使其他域控制器成为只读，也就是说，使域控制器成为 RODC。<br /><br /></li></ul><p>如果未向网络适配器分配静态 IPv4 和 IPv6 地址，可能会显示警报消息，建议您先为这些协议设置静态地址，然后才能继续操作。如果已向网络适配器分配了静态 IPv4 地址，并且您的组织不使用 IPv6，则可以忽略此消息，并单击<strong>“是，该计算机将使用动态分配的 IP 地址(不推荐)”</strong>。</p><div class="alert"><table><tbody><tr><th align="left"><img alt="Important" src="http://www.517sou.net/Attach/month_1110/g3xu75_100924_66.gif" />重要事项</th></tr><tr><td>我们建议您不要禁用 IPv6 协议。 <p></p></td></tr></tbody></table><p></p></div></li><li><p>如果在<strong>“欢迎”</strong>页面上选中了<strong>“使用高级模式安装”</strong>，则会显示<strong>“从介质安装”</strong>页。可以提供将用于创建域控制器和配置 AD DS 的安装介质的位置，还可以选择通过网络执行所有复制。注意，即使您从介质安装，也会通过网络复制某些数据。有关使用该方法安装域控制器的信息，请参阅<a id="ctl00_MTCS_main_ctl05" href="http://technet.microsoft.com/zh-cn/library/cc770654(WS.10).aspx" target="_blank"><font color="#0033cc">从介质安装 AD DS</font></a>。</p></li><li><p>如果在<strong>“欢迎使用”</strong>页上选中<strong>“使用高级模式安装”</strong>，则会出现<strong>“源域控制器”</strong>页。单击<strong>“让向导选择一个合适的域控制器”</strong>或单击<strong>“使用此特定的域控制器”</strong>以指定希望为创建新的域控制器而作为复制源提供的域控制器，然后单击<strong>“下一步”</strong>。如果您未选择从介质安装，则会从此源域控制器复制所有数据。</p></li><li><p>在<strong>“数据库、日志文件和 SYSVOL 的位置”</strong>页上，键入或浏览到数据库文件、目录服务日志文件和系统卷 (SYSVOL) 文件的卷和文件夹位置，然后单击<strong>“下一步”</strong>。</p><p>Windows Server Backup 按卷备份目录服务。为了有效地备份和恢复，请将这些文件存储到不包含应用程序或其他非目录文件的其他卷上。</p></li><li><p>在<strong>“目录服务还原模式的 Administrator 密码”</strong>页上，键入并确认还原模式密码，然后单击<strong>“下一步”</strong>。此密码必须用于在目录服务还原模式 (DSRM) 下启动 AD DS 才能完成必须脱机执行的任务。</p></li><li><p>在<strong>“摘要”</strong>页上，检查您的选择。如有必要，请单击<strong>“上一步”</strong>更改任何选项。</p><p>若要将选择的设置保存到答案文件以便以后自动执行 AD DS 操作，请单击<strong>“导出设置”</strong>。为答案文件键入名称，然后单击<strong>“保存”</strong>。</p><p>确认所做选择正确无误之后，请单击<strong>“下一步”</strong>安装 AD DS。</p></li><li><p>在<strong>“完成 Active Directory 域服务安装向导”</strong>页上，单击<strong>“完成”</strong>。</p></li><li><p>还可以选中<strong>“完成后重新启动”</strong>复选框使服务器自动重启，也可在收到系统提示后重启服务器完成对 AD DS 的安装。</p></li></ol></div></div></div><p>二、部署企业中Windows Server 2008 R2额外域控制器</p><p>在企业中对于AD来讲，为了保证安全稳定运行，至少需要两台以上的物理域控制器。</p><p>在早期的Windows中可以部署备份域控制器（BDC）；到WIN2K后，AD使用额外域控制器和操作主机角色来解决域控制器备份的问题；到了WIN08后，为了增加在分支机构的应用，引入了只读域控制器（RODC）概念，其和读写域控制器同时一同部署从而提高Windows AD的可用性。在此，主要讨论关于部署当前域的额外域控制器，即读写额外域控制器。</p><p>额外域控制器由于不是企业中的第一台域控制器，所以在其部署之前，亦即在创建域森林的时候就应该将其规划妥当。由此，虽然其没有首台DC部署那样需要注意的事项多，但是对于WIN08R2来讲还是有很多地方值得提及，也与早期的版本不同。</p><p><b>一、DC</b><b>网络属性的基本配置</b></p><p>其配置情况主要应该参考当前网络规划和首台DC的配置而定，在此就延续前一篇文章所述内容来描述。由于首台DC被规划为同时充当DNS服务器，因此该台额外域控制器首选DNS服务器配置项中的值应该指向首台DC的IP地址（如图1）。但是，在规划时这台额外域控制器同时还要作为域中的DNS服务器，并已经安装配置好DNS服务了，而且还从首台DC同步的DNS区域数据，那么可以将首选的DNS服务器选项设置为其自身IP地址。</p><p><a href="http://www.517sou.net/Attach/month_1110/h3dznj_100924_67.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image001" border="0" alt="clip_image001" src="http://www.517sou.net/Attach/month_1110/7oh77a_100924_68.jpg" width="370" height="404" /></a></p><p>图1</p><p>注意：如果企业中有专门的DNS服务器存在，则需要指向这些服务器，而不能指向首台DC。</p><p>此外，同样需要将“网络和共享中心”窗口中的“公用网络”更改为“专用网络”。这样才能保证额外域控制在配置和运行中能够正常与其他服务器和客户通信。</p><p><b>二、准备安装AD</b><b>服务</b></p><p>WIN08R2安装额外域控制器，依然是通过“服务器管理器”的角色添加来完成初始化的准备工作的。在角色选择过程中勾选“Active Directory域服务”（如图2），并根据向导完成初始化操作。</p><p><a href="http://www.517sou.net/Attach/month_1110/yzuhex_100924_69.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image003" border="0" alt="clip_image003" src="http://www.517sou.net/Attach/month_1110/q09rnl_100925_70.jpg" width="558" height="412" /></a></p><p>图2</p><p><b>三、完成AD</b><b>服务器的安装</b></p><p>1、通过“运行”对话框执行“dcpromo”，打开“Active Directory域服务安装向导”（如图3），根据建议勾选“使用高级模式安装”，单击“下一步”。</p><p><a href="http://www.517sou.net/Attach/month_1110/kwpl9q_100925_71.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image004" border="0" alt="clip_image004" src="http://www.517sou.net/Attach/month_1110/fvcz7b_100925_72.jpg" width="421" height="252" /></a></p><p>图3</p><p>根据AD部署向导，仍然建议选择“使用高级模式安装”。</p><p>2、由于现在已经存在AD目录森林，所以在“选择某一部署配置”界面要选择“现有林”。因为现在是要安装额外域控制器，因此同时选中“向现有域添加域控制器”，单击“下一步”（如图4）。</p><p><a href="http://www.517sou.net/Attach/month_1110/dj8ftu_100925_73.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image005" border="0" alt="clip_image005" src="http://www.517sou.net/Attach/month_1110/9iutrg_100925_74.jpg" width="507" height="444" /></a></p><p>图4</p><p>3、指定要将此额外域控制器安装到的森林，即为哪个森林添加额外域控制器。在这里建议填写该服务器将要安装到的域，而不要写森林中的其它域。WIN8R2在这一过程中还同时需要指定具有升级额外域控制器权限的用户。如果是在工作组中直接升级为额外域控制器，则不能用当前账户凭证进行，只能使用备用凭证。此外，即使之前将该台作为额外域控制器的服务器已经加入了域，登录进行升级操作的域用户也必须要有在域中添加删除DC权限才能直接使用当前用户凭证，否则也只能使用备用凭证进行操作（如图5）。</p><p><a href="http://www.517sou.net/Attach/month_1110/87p0ez_100925_75.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image006" border="0" alt="clip_image006" src="http://www.517sou.net/Attach/month_1110/5ig7p2_100925_76.jpg" width="507" height="444" /></a></p><p>图5</p><p>对于不同的部署配置，AD安装向导所需要的网络凭证是不相同的，如果实现像前一节中讲述的安装新的森林，只需作为将成为林的第一个域控制器的服务器上的本地管理员组的成员。但是，若要向现有林中添加新域或删除域，必须是要添加或删除域的父域中的 Enterprise Admins 组或 Domain Admins 组的成员。Active Directory 域服务安装向导将验证凭据是否足以实现在向导中指定的部署配置，如表1中列出了添加和删除不同的域或DC所需要的权限。</p><p><a href="http://www.517sou.net/Attach/month_1110/x5y1a7_100925_77.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image008" border="0" alt="clip_image008" src="http://www.517sou.net/Attach/month_1110/s5kd9s_100925_78.jpg" width="558" height="519" /></a></p><p>表1</p><p>4、指定要将该服务器安装到哪个域，作为其额外域控制器存在（如图6）。选中之后单击“下一步”。</p><p><a href="http://www.517sou.net/Attach/month_1110/mq38tw_100925_79.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image009" border="0" alt="clip_image009" src="http://www.517sou.net/Attach/month_1110/hqolri_100925_80.jpg" width="507" height="444" /></a></p><p>图6</p><p>确定当前额外域控制器物理主机放置的站点（如图7）。在早期版本中实现非首台DC的安装时是不会出现如此的操作步骤的，在进行选择的时候直接都是很含糊的进行指定，而在WIN08R2中，微软把这些步骤进行的细化，并且更加明确了。这样便于工程师在部署时更能精确的进行配置。</p><p><a href="http://www.517sou.net/Attach/month_1110/e2fi2k_100925_81.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image010" border="0" alt="clip_image010" src="http://www.517sou.net/Attach/month_1110/bd7fcm_100925_82.jpg" width="507" height="444" /></a></p><p>图7</p><p>5、单击“下一步”，配置“其它域控制器选项”（如图8）。此处，由于是安装域中的额外域控制器，对于其是否成为“DNS服务器”，“全局编录”，“只读域控制器（RODC）”在此过程中均可忽略。其原因如下：</p><ul><li>现在森林中已经有了DNS服务器，还要将该服务器作为DNS服务器实现，则可以在完成AD安装向导后来单独实现；</li><li>对于全局编录并非在每台DC上都要建立，所以也可以按其后管理过程中根据需要进行设置。但是如果是作为某一个站点的第一台DC来讲，在这里还是有必要将其选中，因为建议每个站点至少要有一个GC；</li><li>由于在此讲述的是可读写额外域控制器的安装，因此当然是一定不能选择只读域控制器选项的了。</li></ul><p><a href="http://www.517sou.net/Attach/month_1110/8oxcmp_100925_83.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image011" border="0" alt="clip_image011" src="http://www.517sou.net/Attach/month_1110/2bf78t_100925_84.jpg" width="507" height="444" /></a></p><p>图8</p><p>6、单击“下一步”，向导可能会提示“结构主机配置冲突”的对话框（如图9）。如果域森林在此前只有一台DC，那么在安装额外域控制器，即第二台DC时，肯定会遇到这一提示对话框。产生这一个提示对话框的原因是因为当前域中的基础结构主机（IM）同时又承载着GC的角色。</p><p><a href="http://www.517sou.net/Attach/month_1110/tmsggh_100925_85.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image012" border="0" alt="clip_image012" src="http://www.517sou.net/Attach/month_1110/i9woz8_100925_86.jpg" width="410" height="243" /></a></p><p>图9</p><p>IM更新的引用信息是来自其它域的信息，即非本域信息。在以下两种情况，IM其实是不工作的：</p><ul><li>只有一个域时，此时无论把基础结构主控放在哪都无所谓。因为没有其它域的信息需要引用。</li><li>多域环境，所有DC都是GC。这时基础结构主控也无需工作，因为所有的DC都是GC，GC拥有其它域的只读信息。</li></ul><p>而且IM在GC上运行，将会停止更新对象信息，原因是其已包含对其所拥有的对象的引用。所以，强烈建议IM和GC不要在同一台DC上共存。在此，选择“将结构主机角色传送到此域控制器”。</p><p>7、对于WIN08R2安装额外域控制器时，可以从介质安装（IFM），而不用通过网络复制所有的目录数据。将安装介质存储在本地驱动器、可移动媒体（如 DVD）或网络共享文件夹上。执行IFM操作来创建额外域控制器，可以大大降低安装AD时所使用的网络带宽。但是，网络连接仍然是必要的，以便将所有的新对象和对现有对象的最新更改复制到新的域控制器。</p><p>创建安装介质有两种不同的方法：</p><ul><li>建议使用Ntdsutil.exe工具来创建，通过该工具的ifm子命令可以创建安装AD目录服务所必需的文件</li><li>还可以使用还原系统状态备份并将其用作安装介质，但域控制器的系统状态备份所包含的数据通常要多于执行 IFM 操作所需的数据。</li></ul><p><b><font color="#ff0000" face="楷体">注意：若用另一个DC的备份作为安装介质，则应该使用最新的可用备份。较早的备份需要更多网络带宽来执行复制。并且所使用的备份不能比域的墓碑生存时间更早，该生存时间被默认设置为180天（早期版本的服务器上创建的林中，默认值为60天）。</font></b></p><p>但是，出于操作的方便和稳妥，在网络资源和服务器资源允许的情况下，建议还是采用通过网络复制来完成（如图10）。选择“通过网络从现有域控制器复制数据”，单击“下一步”。</p><p><a href="http://www.517sou.net/Attach/month_1110/t043kf_100926_87.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image013" border="0" alt="clip_image013" src="http://www.517sou.net/Attach/month_1110/dutn2r_100926_88.jpg" width="507" height="444" /></a></p><p>图10</p><p>8、由于额外域控制器的安装，无论是从网络复制还是通过IFM来进行，都需要从现有DC中复制数据。通过“源域控制器”界面，可以手动指定将哪台现有DC作为安装期间必须复制的数据的源，也可以让该向导自动选择DC（如图11）。</p><p><a href="http://www.517sou.net/Attach/month_1110/15tb81_100926_89.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image014" border="0" alt="clip_image014" src="http://www.517sou.net/Attach/month_1110/kpjwoc_100926_90.jpg" width="507" height="444" /></a></p><p>图11</p><p>建议指定安装伙伴时，应选择入站和出站连接数较低的DC，并且不是重要负责使用文件复制服务（FRS）复制伙伴生产或转发更改的设备。此外，若不使用IFM，系统将在安装伙伴上创建或修改新的NTDS设置对象和新的计算机账户；安装伙伴还会将SYSVOL内容复制到新域控制器上。</p><p><b><font color="#ff0000" face="楷体">注意：</font></b></p><ul><li><b><font color="#ff0000" face="楷体">只读域控制器（RODC）永远不能为安装伙伴。 </font></b></li><li><b><font color="#ff0000" face="楷体">如果安装 RODC，则只有运行WIN08或WIN08R2的可写域控制器才可以作为安装伙伴。</font></b></li><li><b><font color="#ff0000" face="楷体">如果为现有域安装额外域控制器，则只有该域的DC可以为安装伙伴。</font></b></li></ul><p>9、指定活动目录数据库文件、日志文件、SYSVOL文件夹存放的位置，并且设置目录还原模式的管理员密码。在“摘要”页面确认相关设置信息无误，单击“下一步”，直接进行网络复制安装额外域控制器（如图12）。</p><p><a href="http://www.517sou.net/Attach/month_1110/dc2p0h_100926_91.jpg" target="_blank"><img style="border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="clip_image015" border="0" alt="clip_image015" src="http://www.517sou.net/Attach/month_1110/9bo483_100926_92.jpg" width="441" height="289" /></a></p><p>图12</p><p>此处，可以勾选“完成后重新启动”，以便安装完后自动重启更新。</p><p><b>四、完成后简单验证和其它操作</b></p><p>1、与第一台DC相同，安装完成后依然需要对其进行基本的测试和验证。</p><p>2、可以把该DC作为DNS服务器，为域中DNS进行备份。</p><p>3、为了对域内DC进行负载平衡和降低风险，可以将操作主机进行迁移，尽量分布在不同的DC上。</p> http://www.517sou.net/Article/Deploying-Windows-Server-2008-R2-domain-controllers.aspx http://www.517sou.net/Article/703/Trackback.ashx http://www.517sou.net/Article/Deploying-Windows-Server-2008-R2-domain-controllers.aspx#CommentPostAnchor http://www.517sou.net/Article/703/Feeds.ashx http://www.517sou.net/Article/mRemote.aspx shanyiwan@live.com() Windows Thu, 25 Aug 2011 08:59:08 GMT <p>还在使用Windows自带的mstsc吗？还在为切换多个远程桌面而痛苦不已吗？想不想换个远程桌面程序呢？如果您的答案是Yes，那么我向您推荐mRemote。至今为止，我用过的最好的远程桌面工具。</p><p><a href="http://www.517sou.net/Attach/month_1108/6yopwu_170015_1.png" target="_blank"><img style="border-right-width: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="image" border="0" alt="image" src="http://www.517sou.net/Attach/month_1108/qv4o08_170015_2.png" width="821" height="439" /></a></p><p>它具有如下几个功能：</p><p>1.摆脱了mstsc那种一个程序一个界面的模式，采用了左边树+右边Tab页的显示形式，让你在一个mRemote界面中，可以连接多个远程桌面，再也不用为切来切去而烦恼了(如上图)。</p><p>2.引入了继承和分类的概念。你可以在左边的树中自定义分类目录且下级目录可选是否继承上级目录的配置(连接用户名，密码等)。如上图。</p><p>3.配置方便。mRemote采用xml来保存用户的配置信息。这样用户可以方便的存储多个远程桌面集合文件，且分发导入都十分方便。这里值得一提的是，mRemote在xml中把用户密码进行了加密，防止明文密码出现在文本配置文件中。</p><p>4.支持多种访问模式。RDP,VNC,SSH1,SSH2,Telnet,Rlogin,RAW,HTTP,HTTPS,ICA.</p><p>5.附带多种实用小工具。SSH文件传输，端口扫描，外部应用等。</p><p>6.开源软件。mRemote有GPL版本，大家可以放心使用。</p><p>7.官方网站下载地址：<a title="http://www.mremote.org/wiki/MainPage.ashx" href="http://www.mremote.org/wiki/MainPage.ashx" target="_blank"><font color="#336699">http://www.mremote.org/wiki/MainPage.ashx</font></a></p><p>下面我用图例的方式，向大家展示mRemote的使用方法。</p><p>1.右击Connection，可以出现下图所示配置界面，可以选择新建连接，或是新建目录，或是从Tools里面导入以前已经配置好的连接。</p><p><a href="http://www.517sou.net/Attach/month_1108/7ac5sw_170015_3.png" target="_blank"><img style="border-right-width: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="image" border="0" alt="image" src="http://www.517sou.net/Attach/month_1108/mpmjbk_170015_4.png" width="256" height="327" /></a></p><p>2.如下图，已经配置好了相关连接。里面的Config里面可以显示当前节点的具体配置信息。</p><p><a href="http://www.517sou.net/Attach/month_1108/h2xa68_170016_5.png" target="_blank"><img style="border-right-width: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="image" border="0" alt="image" src="http://www.517sou.net/Attach/month_1108/idmp20_170017_6.png" width="248" height="449" /></a></p><p>但是里面并没有大家常见的IP,用户名和密码等选项，原因就在于“继承选项”。192.168.110.21继承了父节点的相关属性，所以他不必再输入。</p><p><a href="http://www.517sou.net/Attach/month_1108/hvemtj_170017_7.png" target="_blank"><img style="border-right-width: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px" title="image" border="0" alt="image" src="http://www.517sou.net/Attach/month_1108/ulfyma_170017_8.png" width="228" height="271" /></a></p><p>到此，一组简单的配置已经完成，大家可以亲自试用一下这个软件，里面还有很多求知的功能，等待大家去挖掘。</p> http://www.517sou.net/Article/mRemote.aspx http://www.517sou.net/Article/651/Trackback.ashx http://www.517sou.net/Article/mRemote.aspx#CommentPostAnchor http://www.517sou.net/Article/651/Feeds.ashx http://www.517sou.net/Article/SQL-Server-2008-R2-can-support-SCOM-2007-R2.aspx shanyiwan@live.com() Windows Mon, 20 Jun 2011 09:59:59 GMT <p>SQL Server 2008 R2 is release over 1 year . Before , you can't using SQL Server 2008 R2 as SCOM 2007 R2 's datebase directly, but now , you can !</p><p>So , how can we do that ?</p><p>如果直接安装SCOM，会有如下提示（即使你已经正确安装了SQL Server 2008 R2）：<br />要求安装 Microsoft SQL Server。请参阅详细信息<br />System Center Operations Manager 2007 R2 要求安装 SQL Server 2005 Standard 或&nbsp; Enterprise 版本 SP1 及以后版本或者 SQL Server 2008 Standard 或 Enterprise 版本 SP1 及以后版本。注意: Operations Manager 2007 R2 在 64 位操作系统上不支持 32 位 Operations Manager Operations 数据库、Reporting Server 数据库或 Audit Collection 数据库。<br />从提供的链接安装 SQL Server 2008 试用版: <a href="http://go.microsoft.com/fwlink/?LinkId=148453" target="_blank">http://go.microsoft.com/fwlink/?LinkId=148453</a>。从提供的链接安装 SQL Server 2008 SP1，然后再次运行先决条件检查程序:&nbsp; <a href="http://go.microsoft.com/fwlink/?LinkId=148449" target="_blank">http://go.microsoft.com/fwlink/?LinkId=148449</a></p><p>解决办法：</p><p>First , you need to install SQL Server 2008 R2 standard or Enterprise , if you need SCOM 2007 R2 reporting , don't forget install SSRS .</p><p>On this DB Server , insert SCOM 2007 R2 image , find and run <strong>DBCreatWizard.exe</strong> tool</p><p><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/b7pmnu_180422_1.png" /></p><p>Display <strong>database configuration wizard </strong></p><p><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/sbzu7b_180427_2.png" /></p><p>Next , under<strong> Database Information</strong> , you can select database type , now we need create Operations Manager Database firstly ,fill in SQL Port and Db name and size .</p><p><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/gnpq9g_180431_3.png" /></p><p>Next , under <strong>Management Group Configuration</strong> , you can assign MG name , and permission .</p><p><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/hual00_180433_4.png" /></p><p>Next , in<strong> Summary</strong> , you can check p<span class="hps" title="点击可显示其他翻译">revious configuration </span></p><p><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/o4c01l_180436_5.png" /></p><p>if OK , <strong>Finish</strong> to create till display successfully .</p><p><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/ty88qc_180437_6.png" /></p><p>S<span class="hps" title="点击可显示其他翻译">econdly , using again this tool to create Operations Manager DW database </span></p><p><span class="hps" title="点击可显示其他翻译"><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/p5fgoq_180438_7.png" /></span></p><p><span class="hps" title="点击可显示其他翻译"><strong>Next</strong> till to finish. Now , you can review two db in this</span></p><p><span class="hps" title="点击可显示其他翻译"><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/73kznu_180440_8.png" /></span></p><p><span class="hps" title="点击可显示其他翻译">OK , you can starting install SCOM 2007 R2 . When you Installing SCOM 2007 R2 first Management Server . you need pay attention , <strong><span style="color: rgb(255,0,0)">don't </span></strong>choose Database item </span></p><p><span class="hps" title="点击可显示其他翻译"><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/z3b3ol_180442_9.png" /></span></p><p><span class="hps" title="点击可显示其他翻译">When you install SCOM 2007 R2 Reporting ,(<span style="color: #ff0000">注意：此处的本地组名更改，如不更改，则安装程序无法继续，一直处理等待状态</span>)</span></p><p><span style="color: rgb(0,0,0)">a. On the SQL Server Reporting Services server, rename the local group <strong>SQLServerReportServerUser$<var>&lt;hostname&gt;</var>$MSSRS10_50.<var>&lt;SQLInstanceName&gt;</var></strong> to <strong>SQLServerReportServerUser$<var>&lt;hostname&gt;</var>$MSSRS10.<var>&lt;SQLInstanceName&gt;</var></strong></span></p><p><span style="color: rgb(0,0,0)">b. Install System Center Operations Manager 2007 R2 Reporting.<br />Important When you install System Center Operations Manager 2007 R2 Reporting, you should not install the Data Warehouse component. </span></p><p><span style="color: rgb(0,0,0)"><span class="hps" title="点击可显示其他翻译"><img border="0" alt="" src="http://www.517sou.net/Attach/month_1106/h6efgs_180443_10.png" /></span></span></p><p><span style="color: rgb(0,0,0)">c. Rename the local group <strong>SQLServerReportServerUser$<var>&lt;hostname&gt;</var>$MSSRS10.<var>&lt;SQLInstanceName&gt;</var></strong> back to original name <strong>SQLServerReportServerUser$<var>&lt;hostname&gt;</var>$MSSRS10_50.<var>&lt;SQLInstanceName&gt;</var></strong></span></p><p><strong><span class="hps" title="点击可显示其他翻译">OK , <span class="hps" title="点击可显示其他翻译">You will</span><span class="hps" title="点击可显示其他翻译">successfully</span><span class="hps" title="点击可显示其他翻译">complete the installation. </span></span></strong></p> http://www.517sou.net/Article/SQL-Server-2008-R2-can-support-SCOM-2007-R2.aspx http://www.517sou.net/Article/628/Trackback.ashx http://www.517sou.net/Article/SQL-Server-2008-R2-can-support-SCOM-2007-R2.aspx#CommentPostAnchor http://www.517sou.net/Article/628/Feeds.ashx http://www.517sou.net/Article/rpc-server-is-unavailable-error.aspx shanyiwan@live.com() Windows Thu, 16 Jun 2011 09:40:51 GMT <p>One of the coolest features of the Windows Server 2008 R2 Server Manager application, is the fact that you can now remotely connect to a server running Windows Server 2008 R2, and manage roles, features, services, disks and other aspects of the remote server. This was not possible in Windows Server 2008.</p><p>The steps needed to enable remote management are listed in my <a href="http://www.petri.co.il/remote-management-in-windows-server-2008-r2.htm" target="_blank"><strong><font color="#1632b5">Enabling Remote Management in Windows Server 2008 R2</font></strong></a> article.</p><p>A few days ago I was asked by one of my readers about a strange error he was getting. It seems that whenever they tried to connect to a remote server and use the Disk Management snap-in, they got this error:</p><blockquote><p>Virtual Disk Manager(虚拟磁盘管理器)</p><p>The RPC server is unavailable</p></blockquote><p>And this is what it looks like:</p><p><img title="The RPC Server is Unavailable Error Message" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/ydtl9a_1.png" /></p><p>Searching Google for an answer brought a few results, but I thought I'd list it here for my other readers, as it seems that the configuration steps that are needed in order to get remote disk management going are a bit vague.</p><p>In order to remotely manage disks on a Windows Server 2008 R2 machine, you need to perform the following tasks:</p><h2>Target Server</h2><p>On the target server (the one you want to connect to) you need to set the Virtual Disk Service (VDS) to Automatic, and start it.</p><p>Open a Command Prompt window and type the following command:</p><blockquote><p>sc config vds start= auto</p></blockquote><p>Next, type:</p><blockquote><p>net start vds</p></blockquote><p>BTW, this can also be done through the Services snap-in if you're more comfortable with it.</p><p><img title="Virtual Desk Properties" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/dkj4c6_2.png" /></p><p>Next, type the following command to enable the remote-volume-management firewall exceptions:</p><blockquote><p>netsh advfirewall firewall set rule group=&quot;Remote Volume Management&quot; new enable=yes</p><p>netsh advfirewall firewall set rule group=&quot;远程卷管理&quot; new enable=yes(中文操作系统)</p></blockquote><p><img title="Remotely Managing Disks on Windows Server 2008 R2" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/85a9i8_3.png" /></p><p>Again, this can also be done through the Windows Firewall with Advance Security snap-in if you're more comfortable with it.</p><p><img title="Remotely Manage Disks on Windows Server 2008 R2" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/ulhe0l_4.png" /></p><p>Now, proceed to the next step.</p><p><b>Client Machine</b></p><p>You need to enable the following Firewall rules on BOTH source and target servers. Most documents and manuals fail to specify that, and unless you enable the rules on both machines, you will not be able to connect.</p><p>So, open a Command Prompt window and type the following command to enable the remote-volume-management firewall exceptions:</p><blockquote><p>netsh advfirewall firewall set rule group=&quot;Remote Volume Management&quot; new enable=yes</p><p>netsh advfirewall firewall set rule group=&quot;远程卷管理&quot; new enable=yes(中文操作系统)</p></blockquote><p>Again, this can also be done through the Windows Firewall with Advance Security snap-in.</p><p><img title="Remote Volume Management" width="536" height="399" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/rnbxl8_5.png" /></p><p>Once you enable these Firewall rules on both the source and target servers, you will be able to connect to the remote server.</p><p>Open Server Manager, right-click Server Manager and select &quot;Connect to Another Computer&quot;.</p><p><img title="Server Manager" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/k2iefl_6.png" /></p><p>Enter the name of the remote (target) server and click &quot;Ok&quot;.</p><p><img title="Remote Disk Management Setup" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/p05i34_7.png" /></p><p>If all is well, you will be able to use Disk Management remotely.</p><p><img title="Setup Remote Disk Management" class="Image" alt="" src="http://www.517sou.net/Attach/month_1106/5huulp_8.png" /></p><p>Lesson learned.</p><p>Source:http://www.petri.co.il/rpc-server-is-unavailable-error.htm</p> http://www.517sou.net/Article/rpc-server-is-unavailable-error.aspx http://www.517sou.net/Article/626/Trackback.ashx http://www.517sou.net/Article/rpc-server-is-unavailable-error.aspx#CommentPostAnchor http://www.517sou.net/Article/626/Feeds.ashx http://www.517sou.net/Article/how-to-reset-windows-server-2008-r2-password.aspx shanyiwan@live.com() Windows Wed, 11 May 2011 01:00:09 GMT <div>在日常的工作中，对于一个网络管理员来讲最悲哀的事情莫过于在没有备用管理员账户和密码恢复盘的情况下遗忘了本地管理员账户密码。</div><div>在早期的系统中，遇到这种事情可以使用目前国内的很多Windows PE光盘来解决。但是，对于Windows Server 2008 R2来讲，只靠简单的这些操作是暂时无法解决密码问题的。</div><div>但是，可以通过替换文件，使用变通的方法，可以在绕过登录的情况下，使用命令提示行方式，添加本地管理员账户或修改管理员账户密码。</div><div>具体操作方法是：</div><div>一、使用Windows Server 2008 R2的安装光盘引导计算机启动。完成安装映像加载后，进入语言选择界面，此时，按下“Shift+F10”，打开命令提示符界面，进入Windows目录所在分区（若是默认安装Windows，并使用的“系统保留”分区，则为D盘），并定为到“Windows\System32”目录下（如图1）。</div><div><a href="http://www.517sou.net/Attach/month_1105/l1ewzy_091407_1.jpg" target="_blank"><img title="clip_image002" border="0" alt="clip_image002" src="http://www.517sou.net/Attach/month_1105/cbc2r8_091407_2.jpg" height="419" /></a></div><div>图1</div><div>二、找到该目录下的“osk.exe”文件，并将其删除（如图2）。</div><div><a href="http://www.517sou.net/Attach/month_1105/fzl5g6_091407_3.jpg" target="_blank"><img title="clip_image004" border="0" alt="clip_image004" src="http://www.517sou.net/Attach/month_1105/iou873_091407_4.jpg" height="419" /></a></div><div>图2</div><div>三、将当前目录下的“cmd.exe”重命名复制为“osk.exe”（如图3）。</div><div><a href="http://www.517sou.net/Attach/month_1105/k1zrij_091407_5.jpg" target="_blank"><img title="clip_image006" border="0" alt="clip_image006" src="http://www.517sou.net/Attach/month_1105/np9u9h_091407_6.jpg" height="419" /></a></div><div>图3</div><div>四、重启计算机，等待开机启动完毕，点击左下角的“轻松访问”按钮，在弹出对话框中勾选“不使用键盘键入（屏幕键盘）”，并点击“确定”（如图4）。</div><div><a href="http://www.517sou.net/Attach/month_1105/qdhxxe_091407_7.jpg" target="_blank"><img title="clip_image008" border="0" alt="clip_image008" src="http://www.517sou.net/Attach/month_1105/splgav_091407_8.jpg" height="419" /></a></div><div>图4</div><div>五、由于在此前做了文件的替换，所以现在将打开的不是屏幕键盘，而是CMD命令提示符界面（如图5）。</div><div><a href="http://www.517sou.net/Attach/month_1105/veukzt_091407_9.jpg" target="_blank"><img title="clip_image010" border="0" alt="clip_image010" src="http://www.517sou.net/Attach/month_1105/xqz4ca_091407_10.jpg" height="419" /></a></div><div>图5</div><div>六、利用net user命令修改本地管理员账户的密码（如图6）。</div><div><a href="http://www.517sou.net/Attach/month_1105/1f9728_091407_11.jpg" target="_blank"><img title="clip_image012" border="0" alt="clip_image012" src="http://www.517sou.net/Attach/month_1105/44h0r6_091407_12.jpg" height="419" /></a></div><div>图6</div><div><b><i>注：如果，不确定管理员账户名，可以在此新建一个用户，并将其加入到本地管理员组中，具体命令如下：</i></b></div><div><b><i>net users adminuser P@ssw0rd /add</i></b></div><div><b><i>net localgroup administrators adminuser /add</i></b></div><div>七、利用本地管理账户和修改后的密码进行正常登录（如图7）。</div><div><a href="http://www.517sou.net/Attach/month_1105/6gmt5m_091407_13.jpg" target="_blank"><img title="clip_image014" border="0" alt="clip_image014" src="http://www.517sou.net/Attach/month_1105/95vwtk_091407_14.jpg" height="419" /></a></div><div>图7</div><div>八、能够正常登录成功，证明密码修改生效（如图8）。</div><div><a href="http://www.517sou.net/Attach/month_1105/bt5zih_091407_15.jpg" target="_blank"><img title="clip_image016" border="0" alt="clip_image016" src="http://www.517sou.net/Attach/month_1105/d69ivy_091407_16.jpg" height="419" /></a></div><div>图8</div><div>完成后，在从其它Windows Server 2008 R2的计算机上，找到osk.exe，将其复制到当前计算机，替换有cmd.exe修改而来的文件，即可将其复原。</div><div><b><i>注：默认情况下正常的</i></b><b><i>osk.exe</i></b><b><i>只能删除而不能被复制，所以要复制</i></b><b><i>osk.exe</i></b><b><i>必须先对其</i></b><b><i>NTFS</i></b><b><i>权限进行修改才行。</i></b></div><div>最后，可能随着时间的推移，微软会将此种修改本地管理密码的操作利用升级补丁的形式进行修补，故仍然是建议建立备用管理员账户或者使用密码恢复盘来进行操作。</div><p>本文出自 “<a href="http://liulike.blog.51cto.com/" target="_blank"><font color="#2c628d">胖哥技术堂</font></a>” 博客，请务必保留此出处<a href="http://liulike.blog.51cto.com/1355103/295340" target="_blank"><font color="#2c628d">http://liulike.blog.51cto.com/1355103/295340</font></a></p> http://www.517sou.net/Article/how-to-reset-windows-server-2008-r2-password.aspx http://www.517sou.net/Article/605/Trackback.ashx http://www.517sou.net/Article/how-to-reset-windows-server-2008-r2-password.aspx#CommentPostAnchor http://www.517sou.net/Article/605/Feeds.ashx http://www.517sou.net/Article/change-your-mtu-under-vista-or-windows-7.aspx shanyiwan@live.com() Windows Tue, 10 May 2011 09:47:22 GMT <h2><em>This information is available in many many other places, however I am putting it on here because I know it will be here for me to refer to. Also it is handy, as I know I can access my web-site even if the <a class="wikipedia" title="Wikipedia article on Maximum_transmission_unit" href="http://en.wikipedia.org/wiki/Maximum_transmission_unit" target="_blank"><font color="#006699">MTU</font></a> is misconfigured.</em></h2><p>For some reason that has escaped me <a class="wikipedia" title="Wikipedia article on Path_MTU_discovery" href="http://en.wikipedia.org/wiki/Path_MTU_discovery" target="_blank"><font color="#006699">Path MTU Discovery</font></a> in Windows just doesn’t seem to figure out the MTU for a given path (something to do with routers being poorly configured to not respond to <a class="wikipedia" title="Wikipedia article on Internet_Control_Message_Protocol" href="http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol" target="_blank"><font color="#006699">ICMP</font></a> requests). So Windows uses the default. For the most part this doesn’t affect anyone, however if it dos affect you, it really annoys you. Failure of PMTUD will result in some websites not loading correctly, having trouble connecting to normally reliable online services and general Internet weirdness.</p><p>The resolution is to set your default MTU to one lower than the <a class="wikipedia" title="Wikipedia article on Ethernet" href="http://en.wikipedia.org/wiki/Ethernet" target="_blank"><font color="#006699">Ethernet</font></a> default of 1500. Here is how:</p><p><strong>Step 1: Find your MTU</strong><br />From an <a href="http://www.richard-slater.co.uk/archives/2010/10/07/elevated-command-prompt/" target="_blank"><font color="#006699">elevated CMD Shell</font></a> enter the following command:</p><div class="wp_syntax"><div class="code"><pre style="font-family: monospace" class="dos"> netsh interface ipv4 show subinterfaces</pre></div></div><p>You should get something like this</p><pre> MTU MediaSenseState Bytes In Bytes Out Interface ---------- --------------- --------- --------- ------------- 4294967295 1 0 13487914 Loopback Pseudo-Interface 1 1500 1 3734493902 282497358 Local Area Connection</pre><p>If you are using Ethernet cable you will be looking for “Local Area Connection” or “Local Area Connection 2″ (if you happened to plug into the second network port). If you are using Wireless you will be looking for “Wireless Network Connection”. The MTU is in the first column.</p><p><strong>Step 2: Find out what it should be</strong></p><p>In the CMD shell type:</p><div class="wp_syntax"><div class="code"><pre style="font-family: monospace" class="dos"> ping www.cantreachthissite.com -f -l 1472</pre></div></div><p>The host name should be a site you <span style="text-decoration: underline"><strong>can not</strong></span> reach, -f marks the packet as one that should not be fragmented the -l 1472 sets the size of the packet (1472 = Ethernet Default MTU – Packet Header, where the Ethernet Default MTU is 1500 and the Packet Header is 28 bytes)</p><p>If the packet can’t be sent because it would need to be fragmented you will get something similar to this:</p><pre> Packet needs to be fragmented but DF set.</pre><p>Keep trying lower packet sizes by 10 (i.e. -l 1460, 1450, 1440, etc.) until you get a successful ping request. Raise your packet sizes by one until you get a “Packet needs to be fragmented but DF set.”. The last successful value plus 28 will be your MTU value.</p><p>In my case a packet size of 1430 succeeds but 1431 fails, so 1430 + 28 = 1458.</p><p><strong>Step 3: Set your MTU</strong></p><p>Now you have identified the interface you need to change and the ideal MTU for you, now it is time to make the change. Again from an elevated CMD Shell type the following replacing my MTU of 1458 with your own value:</p><div class="wp_syntax"><div class="code"><pre style="font-family: monospace" class="dos"> netsh interface ipv4 <span style="color: rgb(177,177,0); font-weight: bold">set</span> subinterface &quot;Local Area Connection&quot; mtu=1458 store=persistent</pre></div></div><p>Or if you are using a Wireless connection:</p><div class="wp_syntax"><div class="code"><pre style="font-family: monospace" class="dos"> netsh interface ipv4 <span style="color: rgb(177,177,0); font-weight: bold">set</span> subinterface &quot;Wireless Network Connection&quot; mtu=1458 store=persistent</pre></div></div><p>If all has gone well you should have a perfectly working internet connection.</p> http://www.517sou.net/Article/change-your-mtu-under-vista-or-windows-7.aspx http://www.517sou.net/Article/604/Trackback.ashx http://www.517sou.net/Article/change-your-mtu-under-vista-or-windows-7.aspx#CommentPostAnchor http://www.517sou.net/Article/604/Feeds.ashx