FAQ - WIN2000及相关服务常见问题解答集锦
2004-03-25      
打印自: 安恒公司
地址: HTTP://adtech.anheng.com.cn/news/article.php?articleid=162
FAQ - WIN2000及相关服务常见问题解答集锦


WIN2000及相关服务常见问题解答

1. WIN2000及相关服务常见问题解答
2. ISA初始配置
3. HTTP 500错误原因及解决方法
4. 用户无法登陆FTP服务器之总结
5. 如何启用和配置 Windows 2000 Advanced Server网络负载平衡
6. 如何强制删除域信任
7. 如何备份加密文件系统私钥
8. 让isa客户端用mapi 连接公网上的exchange 服务器
9. 如何使vmware 映像文件最小化
10. 有关dns数据的转移

 
如何在Windows 2000中配置NAT服务

- 概要
- 配置Windows 2000 RRAS NAT 服务器
- 配置RRAS NAT服务来分配IP地址和进行代理DNS查询

概要
========================

本文逐步描述了如何配置Windows 2000中的NAT服务。Windows 2000路由和远程访问服务包括网络地址转换(NAT)协议。当NAT协议在RRAS上已经安装并被配置,内部网络上具有私有IP地址的客户机可以通过NAT服务器的外部界面访问Internet。

配置Windows 2000 RRAS NAT 服务器
--------------------------------------

当内部网络客户机发送一个请求到Internet时,NAT协议驱动程序解释这个请求并把请求转发到目标Internet服务器。所有请求看上去都是从NAT服务器的外部IP地址发出的。这有效的隐藏了您的内部IP地址方案。

要配置Windows 2000 RRAS NAT 服务器:

  1. 在管理工具菜单上点击路由和远程访问。
  2. 在路由和远程访问控制台,展开你的服务器名称,然后在控制台左侧面板展开IP路由选择。
  3. 右击常规节点,选择新路由选择协议。
  4. 在新路由选择协议对话框中,点击选中网络地址转换 (NAT) 协议, 然后点击确定。
  5. 在左侧面板中右击网络地址转换 (NAT) 节点,然后选择新接口。
  6. 选择你的内部网络接口,然后点击确定。
  7. 在在网络地址转换属性对话框中,点击专用接口连接到专用网络选项,然后点击确定。
  8. 在左侧面板中右击网络地址转换 (NAT) 节点,然后选择新接口。
  9. 选择你的外部网络接口,然后点击确定。
  10. 在在网络地址转换属性对话框中,点击公用接口连接到Internet选项。选中转换TCP/UDP头(推荐)。如果你的外部界面上仅绑定了一个IP地址,这是是必须选择的。点击确定。

Windows 2000 NAT服务器能自动为内部网络客户机分配IP地址。如果你没有DHCP服务器为内部网络上的客户机分配地址信息,这是一个可行的选项。

配置RRAS NAT服务来分配IP地址和进行代理DNS查询
-------------------------------------------------------------------------------

NAT服务器也能为NAT客户机进行DNS查询。RRAS NAT服务器解析客户机请求中的Internet主机名称然后把IP地址转发给客户机。

要配置RRAS NAT服务来分配IP地址和为内部网络上的客户机进行DNS查询:

  1. 在左侧面板中右击网络地址转换 (NAT) 节点,然后选择属性。
  2. 在网络地址转换(NAT)属性对话框里,点击地址分配选项卡。选中使用DHCP自动分配IP地址。你可以在IP地址和掩码文本框中输入一个网络ID和子网掩码。
  3. 点击名称解析选项卡。选中使用域名系统(DNS)的客户复选框。如果你是用请求拨号接口来连接互联网,选中当名称需要解释时连接到公用网络复选框。在请求拨号接口下拉列表中选择用于拨号的接口。
  4. 点击应用,点击确定。

注意:当你按这些基本配置步骤进行操作后,内部网络上的客户机将能访问Internet上服务器。


ISA初始配置

1. ISA 服务器端的设置您需要注意以下几点:
   打开ISA管理控制台:开始->程序-> Microsoft ISA Server-> ISA Management(ISA 管理)。    
 
   a.展开"Servers and Arrays"->server_name->"Access Policy"->"Protocol Rules",添加一条Allow规则,

      选择相应的协议,比如HTTP.POP3.SMTP,DNS等。

   b.启动IP Routing:

      展开"Servers and Arrays"->server_name->"Access Policy",
      右键点击  "IP Packet Filters" 文件夹属性,选中"Enable IP routing",单击OK.

   c.如果需要让ISA服务器上网,需要作如下配置:
       在"Servers and Arrays"->server_name->"Access Policy"->"IP Packet Filters",添加一条Allow规则,
         Filter Mode: Allow packet transmission
         Filter Type:   Custom
         Filter Settings:TCP, Outbound,  Remote port : 80
         Local Computer: Default
         Remote Computers: All remote computers

   d.清除内网卡的默认网关设定。  

2. ISA客户端设置可以分三种。
    a. Secure NAT 客户端:
         将默认网关指向ISA内部网卡即可。


    b.Firewall Client客户端:
        双击"\\server_name\Mspclnt"目录下的Setup.exe开始安装(server_name为ISA server的机器名)。

    c.Web Proxy客户端:
        在IE浏览器中选择Tools->Internet Options->Connections->LAN Settings:
         选中"Automatically detect settings".
         选中"Use a proxy server",并输入ISA内网卡IP地址,和端口8080


HTTP 500错误原因及解决方法:

1.    Q311766 HOW TO: Troubleshoot "HTTP 500 - Internal Server Error" Message.
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q311766 .


2.    IWAM_computername 帐号密码被修改.
解决方法:PRB: Configured Identity Is Incorrect for IWAM Account 
http://support.microsoft.com/default.aspx?scid=kb;en-us;q297989.


3. Metabase 崩溃
解决方法:Q234429 How to Manually Restore the Metabase When No Backup Exists http://support.microsoft.com/default.aspx?scid=kb;en-us;q234429 .


4. 请检查组建服务是否有问题
单击开始,单击程序,单击管理工具,单击组件服务。
单击展开组件服务,展开计算机,展开我的电脑,展开COM+应用程序。
COM+应用程序下包含三项: IIS In-Process Applications,IIS Out-Of-Process Pooled Applications and IIS Utilities。
如果您只能找到其中一项或两项,或在展开的过程中出现错误,请参照下文。若该方法无法解决您的问题,请从一个有效备份中恢复IIS,或者修复、重装IIS。
Q246309 How to Replace a Missing IIS In-Process Application in MTS
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q246309
http://support.microsoft.com/?scid=kb;en-us;Q301919
Cannot Expand "My Computer" in Component Services MMC Snap-In

5. 重装IIS
?  使用添加/删除程序卸载IIS。
?  重起计算机
?  使用添加/删除程序重装IIS。


用户无法登陆FTP服务器之总结

1.首先检查该用户在ftp服务器上的登录权限。
     如果ftp服务器安装在域控制器(DC)上,您需要打开:
     开始->程序->管理工具->域控制器安全策略.
     如果您的ftp服务器不是域控制器(DC),则打开:
     开始->程序->管理工具->本地安全策略
     在安全策略->本地策略->用户权利指派,给该ftp用户赋于'从网络访问此计算机'和 '在本地登录'两种权限,并确认该策略设置是有效的。
    在完成安全策略设置后,建议用以下命令手动刷新域安全策略或本地安全策略:
            secedit /refreshpolicy machine_policy /enforce

2.检查文件夹NTFS权限。
     打开资源管理器,找到ftp服务器对应的主目录,右键点击属性,选择安全性,赋给该ftp用户相应的NTFS权限(读取,写入)。
     如果您希望限制某些用户对ftp服务器上的目录的访问权限,也可以在这里设置。您可以参考windows NT/2000 帮助中的NTFS权限设置方法。

3.检查IIS设置。
    a.打开IIS管理控制台:开始->程序->管理工具->internet服务管理
    b.右键选择ftp站点属性,在'主目录'页,选择'读取'及‘写入’等属性。
    c.在'目录安全性'页,选择'授权访问',并确认客户端的ip地址不在拒绝之列。

4.用户登录。
     在IE里浏览该ftp站点,在弹出的验证窗口里,输入user_name (本地用户), password或者      domain_name\user_name (域用户), password.

 

如何启用和配置 Windows 2000 Advanced Server网络负载平衡

如何安装  Windows 2000 的 NLB
1.    单击开始,指向设置,单击控制面板,然后双击网络和拨号连接。
2.    右键单击希望安装 NLB 的接口,然后单击属性。
3.    单击安装,单击服务,然后单击添加。
4.    单击网络负载平衡,然后单击确定。
如果从 Microsoft Windows NT 4.0 Windows 负载平衡服务 (WLBS) 升级为 Windows 2000 Advanced Server 或 Windows 2000 Datacenter Server,则会自动安装 NLB,且 WLBS 配置设置转换为 NLB 设置。 可以在某一时间升级 WLBS 群集主机,因为 Windows 2000 NLB 与 Windows NT 4.0 WLBS 交互操作。
如何配置 Windows 2000 的 NLB
1.    如果启用了网络负载平衡,请跳到步骤 2。如果没有:
a.    单击开始,指向设置,然后单击网络和拨号连接。
b.    右击应当充当虚拟适配器的接口,然后单击属性。
c.    单击选择网络负载平衡复选框。
2.    单击网络负载平衡组件,然后单击属性。
3.    在集群参数、主机参数和端口规则选项卡上,键入群集特有的数据。 例如,在主 IP 地址框,键入希望要平衡其负载的群集的 IP 地址(也称为虚拟 IP 地址或 VIP)。 (要了解有关在任何框中输入的数据的信息,请单击窗口右上角的问号按钮,然后单击适当的字段。 结束时,请单击确定。)
4.    单击 Internet Protocol (TCP/IP),然后单击属性。 通过先单击使用下面的 IP 地址,在IP 地址框中框键入虚拟 IP 地址。 如果接口已经有的 IP 地址与虚拟 IP 地址不同,请单击高级,然后在 IP 设置选项卡的 IP 地址框中添加虚拟 IP 地址。

配置主机参数
1.    启动"网络和拨号连接"工具。
2.    右键单击本地连接,然后单击属性。
3.    在本地连接属性对话框中,单击网络负载平衡,然后单击属性。网络负载平衡属性对话框出现。
4.    单击主机参数选项卡。
5.    指定"优先级(唯一的主机 ID)"、"群集初始状态"、"专用 IP 地址"和"子网掩码"框中的值。

配置端口规则

若要创建端口规则,请执行下列操作步骤:
1.    启动"网络和拨号连接"工具。
2.    右键单击本地连接,然后单击属性。
3.    在本地连接属性对话框中,单击网络负载平衡,然后单击属性。网络负载平衡属性对话框出现。
4.    单击端口规则选项卡。
5.    用安装清单中的信息指定"端口范围"、协议、"筛选模式"、相似性、"负荷量"和"处理优先级"框中的值。
6.    单击添加。
若要编辑端口规则,请执行下列操作步骤:
1.    启动"网络和拨号连接"工具。
2.    右键单击本地连接,然后单击属性。
3.    在本地连接属性对话框中,单击网络负载平衡,然后单击属性。网络负载平衡属性对话框出现。
4.    单击端口规则选项卡。
5.    在规则列表中,单击规则,则此规则的参数会显示在规则列表上方的配置区域中。
6.    根据需要修改"端口范围"、协议和"筛选模式"参数。
7.    单击修改。
若要删除端口规则,请执行下列操作步骤:
1.    启动"网络和拨号连接"工具。
2.    右键单击本地连接,然后单击属性。
3.    在本地连接属性对话框中,单击网络负载平衡,然后单击属性。
4.    在端口规则选项卡上,单击要删除的规则,然后单击删除。

对群集中的所有主机,规则的编号和类型必须完全相同。如果试图接入群集的主机使用的规则编号不同于群集中的其他主机,它将不被群集接受,群集的剩余部分继续像以前那样处理通信。同时,Windows "事件"日志中会记录一条消息。如果发生这种情况,请查阅"事件"日志以确定哪个主机与群集中的其他主机相冲突,解决冲突后重启该主机上的 NLB


如何强制删除域信任

问题:重新安装了域控制器后,无法再建立域信任关系。对方域中原先的信任关系成为灰色不可选状态,无法删除。

解决方法
用Support Tools中的NETDOM工具来强制删除域信任。具体方法如下:

1.以域管理员登录无法删除信任关系的域的域控制器。
2.把Windows 2000 Server光盘放入光盘驱动器。
3.运行<CD-ROM DRIVE>:\Support\Tools\Setup.exe安装Support Tools
4.点“开始”-〉“运行”,输入cmd并按“确定”。
5.在命令行窗口中输入如下命令:

netdom trust /domain:new.com this.com /remove /twoway /force

其中new.com为新建的域,this.com为现在登陆的域。

 

如何备份加密文件系统私钥?

在使用 EFS 加密计算机上的文件时,EFS 公钥用来加密文件,而 EFS 私钥用来解密这些文件。 如果在一个文件加密后您丢失了私钥,则将无法恢复此文件。

警告: 在将私钥导出到磁盘后,须将该磁盘保存在一个安全地方。 如果有人能获取您的 EFS 私钥,则他或她就能够访问到您的加密数据。

从故障恢复代理导出私钥

    1. 使用本地管理员帐户登录到计算机。备注: 必须使用内置的管理员帐户,而不只是使用一个普通的具有管理员权限的帐户。
    2. 单击开始,单击运行,键入 secpol.msc,然后单击确定。
    3. 单击公钥策略旁边的加号 (+) 以展开此项。
    4. 单击经过加密的数据恢复代理类别。
    5. 在右边的窗格中将显示一个颁发给“管理员”的证书,并说明它是用来进行“文件恢复”的。 右键单击此项,然后单击“所有任务”>“导出”。
    6. 单击下一步。
    7. 确保选择了“是,导出私钥”选项,然后单击下一步。
    8. 在导出文件格式对话框中,如果想删除与“管理员”帐户关联的私钥,则请单击选中“如果导出成功,删除密钥”复选框。
    9. 单击下一步。
    10. 键入并确认一个密码以加强导出密钥的安全,然后单击下一步。
    11. 系统会提示您将证书和私钥保存到一个文件中。 应将此文件备份到一个磁盘或可移动媒体设备中,然后将此备份存放在一个可在物理上确保备份安全的地方。 键入适当的文件名,然后单击下一步。
    12. 当正在完成证书导出向导对话框出现时,请确认您选择的选项,然后单击完成。
    13. 当“导出成功”对话框出现时,单击确定。
    14. 必须重新启动计算机以完成私钥的删除过程。

 

疑难解答
如果您的计算机是 Windows 域的一个成员,则域管理员可能会将某些用户指定为 EFS 恢复代理,他们即使在某一特定用户的私钥丢失时也可以恢复数据。
如果您的计算机未加入 Windows 域(例如,是一台独立的计算机,或者是基于 Microsoft Windows NT 4.0 的域结构中的一台计算机),那么本地管理员帐户就是您的指定 EFS 恢复代理。 由于这一点,只有在您以前备份了本地管理员私钥的情况下,才可以恢复经过加密的数据。


HOW TO:还原用于加密数据恢复的加密文件系统私钥

如果您丢失了加密文件系统 (EFS) 私钥(例如,计算机安装被破坏了),则必须由指定的 EFS 故障恢复代理还原这些文件。 指定的故障恢复代理使用他或她的 EFS 故障恢复代理私钥来解密这些文件以将其恢复。

在另一个 Windows 2000 安装上还原指定故障恢复代理的 EFS 私钥

  1. 使用本地管理员帐户或指定 EFS 故障恢复代理的帐户登录到您的计算机上。
  2. 浏览到要将 EFS 故障恢复代理私钥导出到其中的 .pfx 文件的路径和文件名,然后右键单击该文件。
  3. 单击安装 PFX 以启动证书导入向导。
  4. 单击下一步并确认文件位置和名称。
  5. 单击下一步。 键入私钥的密码,然后单击下一步。
  6. 单击“将所有的证书放入下列存储区”,然后单击浏览。
  7. 单击个人,然后单击确定。
  8. 单击完成,单击是以添加该证书,然后单击确定。

 

疑难解答
成功导入证书后,您就可以使用本地管理员帐户或故障恢复代理帐户来解密出故障计算机上的这些文件了。 为了证明这一点,您可以打开一个加密文件(应该可以访问该文件)。 如果您希望新用户或原始用户能够访问该文件,则必须通过删除高级属性加密属性来解密该文件。 然后,新用户就可以使用新的私钥重新加密这些文件了。

 

让isa客户端用mapi 连接公网上的exchange 服务器

需要在ISA 上做以下操作:

1.policy elements--protocol definition—new---tcp/135/outbound,secondary connections:tcp/1025-65534/outbound 和 tcp/1025-65534/inbound
2.access policy—protocol rule---new---调用以上这条协议定义
policy elements--protocol definition—new---tcp/389/outbound
3.policy elements--protocol definition—new---tcp/389/inbound
4.access policy—protocol rule---new---调用以上两条协议定义
policy elements--protocol definition—new---tcp/636/outbound
5.policy elements--protocol definition—new---tcp/636/inbound
access policy—protocol rule---new---调用以上两条协议定义

 

另外,

1.需要在客户机的hosts 文件中手工加一条记录指向exchange 服务器的域名。

2.change outlook--account properties---more setting---advanced---change "logon network security" to "none"

 

如何使vmware 映像文件最小化

FYI: How to reduce size of vm disk image.
Guest OS
Windows 2000 Server with service packs and hotfixes
Virtual Disk Size Before
1342 MB
Steps to Reduce Virtual Disk Size (Performed in the Guest OS)

1.      Set minimum page file size to 15 MB.
2.      Empty dllcache folder
a.      run sfc.exe /cachesize=1
b.      restart guest OS
c.      run sfc.exe /purgecache
3.      Empty %windir%\servicepack folder.
4.      Empty %windir%\Driver Cache\i386 folder.
5.      ClearPageFileAtShutdown(314834.KB.EN-US, 182086.KB.EN-US), restart.
6.      If your guest OS is XP, turn off System Restore.
7.      Defragment the disk, even if the Analysis says you don’t need to.
8.      Shrink the disk using Control Panel -> VMWare Tools -> Shrink.
9.      Shutdown guest.

Virtual Disk Size After
473 MB
Additional Steps (Performed in the Host OS)

10.  Using NTFS compression, compress the .vmdk files.

Virtual Disk Size After
296 MB

 

有关dns数据的转移

前几天看到有人问如何把一台dns上的数据装移到另外一台机器,微软有一kb说到的
,可参照http://support.microsoft.com/default.aspx?scid=kb;en-us;280061 ,但在实际操作时,找不到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Zones ,
最后发现原来这个key被移到了HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\DNS Server\Zones

 
 

责任编辑: admin