Windows NT企业版.docx
- 文档编号:8509838
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:20
- 大小:70.53KB
Windows NT企业版.docx
《Windows NT企业版.docx》由会员分享,可在线阅读,更多相关《Windows NT企业版.docx(20页珍藏版)》请在冰豆网上搜索。
WindowsNT企业版
WindowsNT企业版
--作者:
李珂
第一单元 NT4.0目录服务
目录(Directory)的概念:
指帐户数据库(SAM数据库)
相对于Netware2.X/3.X其优势是:
1.对管理员来说:
集中管理
2.对用户来说:
单一帐户
一.域、信任关系
域(Domain):
从管理的角度对计算机及用户的划分。
它是逻辑的,不是物理地域的。
作用:
封闭性-->安全性
信任关系:
域间的安全通道。
只提供访问的可能性,最后取决于最终资源的拥有者给不给访问许可权。
对于用户X的意义:
实现在B上访问A;在A上登录访问A
注意:
1.能用和能见是两个概念;共享即能见,要用则还须赋权!
2.Everyonehasfullcontrol意味着不需信任关系就可使用(非常危险!
)
二.域中的计算机
∙DC--NTSERVER:
存放域的SAM
∙成员SERVER:
不存放域的SAM
∙WORKSTATION
∙WIN95,98
例:
一个PC安装时找不到域的PDC,怎么办?
答:
可先安装成workgroup,再加入到域中。
注意:
1.要安装BDC时必须保证能找到PDC,否则不能安装
2.关于迁移:
PDC和BDC不能迁移,要迁移则须重新安装;BDC和PDC拥有通用标识SID
三.NT4.0目录服务优点:
1.帐户集中
2.单一帐户:
网络中只需有一个帐户即可访问所有的资源
3.普遍资源存取
4.与Netware的集成
5.目录划分与同步:
NT4.0做PDC,建议其SAM<=40M。
算法:
一个用户1K即4万用户以下
6.与BackOffice集成:
SQL与ExchangeServer
第二章 建立信任关系
一.前提条件
1.只有管理员有权建立
2.2个PDC之间存在一个共同的协议
3.2个PDC之间无其他会话(包括后台运行的程序)
注意:
信任关系越少越好
二.组与组策略
帐户:
全局帐户(缺省)
缺口帐户(本地):
1.不允许本地登录
2.让非域用户访问域资源
3.让未建信任关系的域用户访问域资源
请看下图:
组:
本地组
1.只存在于本机
2.不包含本地组,可包含全局组,本机用户和域用户
3.面向具体的资源
全局组
1.只存在于DC上
2.不包含组,只包含域用户,在本域和信任域上有效
3.是组织用户用的
组策略:
请看下面两副图:
请注意NT的内置组:
内置全局组(无权)和内置本地组(有权)在单域组策略的管理中所起的作用!
例如:
B信任A,A域中的一个用户通过B域中一台工作站登录到A。
B域的PDC并没有给这个用户赋权,那么A域的这个用户在所登录的这台工作站上只有Guest权限!
(祥见上方右图)
设置信任域的方法:
例如:
A信任B:
服务器管理器中先在域B的PDC上把A加入到TrustingDomain,再在域A的PDC上把B加入到TrustedDomain
注意:
服务器上一般用户不能登录!
登录用户必须有logonlocally权限
第三章 目录服务结构(域模型)
四种域模型:
说明:
1.单域--特点:
帐户集中,资源集中;适用范围:
小企业(<=20人)
2.单主域--特点:
帐户集中,资源分散;适用范围:
一般企业
3.多主域--特点:
帐户分散,资源分散(相对);适用范围:
大于四万人的企业,即超大企业
4.完全信任--完全错误的域模型;无安全性;实际应用中绝不采用!
注意:
1.关于双向信任--A信任B,B信任A 双向信任越少越好!
2.信任关系不可传递--A信任B,B信任C,A并不自动信任C!
3.选域模型只可选前三种!
技巧:
在考题中看到“资源集中”就选单域;人数过4万选多主域少于4万选单主域。
帐户类型总结:
第四章 合理规划目录服务
一.NetLogon服务
1.登陆验证
2.传递验证:
在资源存取时发生
3.目录同步
同步
验证
pulse周期不能太短,在一个平稳的网络时间要24小时左右
验证时广播出去,谁先接到谁验证。
这样会带来广播风暴,如果有WINS就可以减少广播
二.DC配置的优化
DC的数目:
在本地网中达到用户满意的数目是2000用户/DC,但在实际中还要考虑WAN、相对地理位置、安全性等诸多因素。
DC的位置:
BDC放在用户相对集中的位置;PDC放在SystemAdmin身边。
同
步
完全同步
(避免)
1.新安装的BDC
2.ServerManager中的同步命令
3.在BDC上执行netaccount/sync
4.部分同步失败
部分同步
把被改部分拷过来
DC的配置:
如果帐户相对平稳,变化很少,则PDC的配置低些即可。
关于pulse的调整:
pulse周期放在PDC的SAM里,并且它周期性的把PDC上作出的改变保存在一个名叫changelog的文件里。
changelog文件控制着选择发生完全同步还是部分同步。
在changelog文件被写满之后,它又将从头开始让新的改变覆盖掉早期的改变。
如果这时还没有发生同步的话,则到同步时间时只能进行完全同步。
因此我们要修改changelog文件大小使其足够大(缺省大小64K)以避免DC之间的完全同步。
方法是用regedt32在注册表中加入关键数值:
HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\ChangeLogSize,数据类型为REG_DWORD。
注意:
changelog文件最大为4MB
注:
为方便书写以后用“...\”代替“HKEY-LOCAL-MACHINE\SYSTEM\CurrentControlSet”目录
PDC与BDC在广域网WAN中的同步
由于在广域网中带宽本身就很紧张,如果在缺省配置的情况下发生DC之间的同步,整个网络带宽将全部被占用!
这显然是不行的,因此一定要想办法加以优化...
第一步:
关键数值ReplicationGovernor定义了两个参数:
带宽占用率和callbuffer(一次发出数据包的大小)。
它们的缺省值是100%和128KB,这里要把它定义成50,也就是带宽占用率为50%,callbuffer为64KB。
方法是在ChangeLogSize同位置用regedt32在PDC和BDC的注册表中加入关键数值ReplicationGovernor,定义其等于50,数据类型为REG_DWORD。
此时数值ChangeLogSize也一定要相应调大,否则容易发生完全同步!
第二步:
加入关键数值Pulse;PulseMaximum;PulseConcurrency。
它们分别代表的意义是:
Pulse
控制PDC检查SAM更新并发出pulse的时间;缺省值5分钟;最大值48小时
PulseMaximum
控制PDC发出pulse的时间,它不管SAM是否更新;缺省值2小时;应设成48小时
PulseConcurrency
控制PDC同时向多少个BDC发pulse;缺省值10个
第三步:
如果网络非常繁忙,则可暂停PDC上的Netlogon服务,减轻PDC的负担,使PDC专职同步。
第二单元 服务器分析优化
找瓶颈,使正常工作流受阻的资源:
processor
RAM
Disk
Network
Processor:
SMP对称多处理--无规定,处理器一空闲就运行
非对称--事先规定好由谁处理
进程:
多个线程,受时序制约
n个处理器的性能 RAM: Pagefile.sys文件的存放位置(见NT核心) 内存与硬盘的性能紧密联系 Disk: 性能: EIDE Network: 协议、服务 找瓶颈的工具: servermanager: 看有多少人访问 NTDiagnostic NetworkMonitor: 对网络的分析 PerformanceMonitor: 对单个处理器 TaskManager ProbeResponse: 当系统硬件发生变化时,可用它对具体环境进行模拟,测试最大的承载能力。 答案中若有,一定不要选! PerformanceMonitor: : 对象 1.核心对象 2.应用/服务自带对象 属性 行为 计数器 对外界 外界对其自身 实例(instance): 整个硬盘为一对象,其中某一硬盘或分区为一实例 监视对象: 4类资源+应用/服务自带对象 监视硬盘前后的步骤 监视前的准备工作 1.启动DiskPerf DiskPerf-y DiskPerf-ye(如果是带校验的带驱集) 2.重启动 监视后的恢复工作 关闭DiskPerf DiskPerf-n 最好的分析工具: MicrosoftExcel 若干性能指标: Processor 对 象 processor 对映指标为%processortime=%usertime+%privilegetime(内核时间) 判断瓶颈条件是%processortime≥75%? process thread system 对映指标为ProcessorQueueLength--处理器等待队列长度 判断瓶颈条件是ProcessorQueueLength≥2? 原因 1.应用是计算密集性的 2.硬盘/网络I/O太多 解决方法 1.升级CPU 2.应用采用SMP方式 Memory 对 象 memory 对映指标 判断瓶颈条件 pages/sec 短时间内≥20? 长时间≥5? pagefaults/sec AvailableBytes 可用空间≤4M? CommittedBytes >现有的RAM? cache pagingfile %usage页面文件使用率 %usagepeak使用峰值 原因 1.找“恶意”进程 2.内存本身 解决方法 1.加内存 2.改变pagefile文件大小 Disk 对 象 PhysicalDisk 对映指标 判断瓶颈条件 解决方法 %DiskTime ≥50%? 1.IDE SCSI SCSIII 2.做RAID %DiskQueueLength磁盘等待队列长度 ≥2? LogicalDisk %DiskTime ≥50%? 将应用服务从繁忙的硬盘迁移到空闲的硬盘上 %DiskQueueLength磁盘等待队列长度 ≥2? 服务器类型: 文件打印服务器 应用服务器 特点 大数据量,低频请求 小数据量高频请求 主要影响对象 内存是第一位的,因为是带缓存的文件系统 CPU RAM DISK Network 计数器 serversessions Server %processortime Processor filesopen Server pages/sec Memory %Disktime PhysicalDisk serversessions Server %NetworkUtilization NetworkSegment (必须安装NetworkMonitortoolsandAgent) 特别的计数器 应用自带对象 %Disktime PhysicalDisk 注意 由于cachemanager会临时“借”内存当cache,所以计数器的瞬时值短时间超过正常值并不代表内存问题。 优化 1.针对不同指标优化不同对象 2.利用网络分段迁移用户或应用服务 域服务器 类型 PDC/BDC;WINS;DNS;目录复制服务器 特点 自发 计数器 CommittedBytes Memory %NetworkUtilization NetworkSegment logon/sec Server Queries/sec WINSServer DC内存配置大小 RAM大小=2.5倍的SAM大小 ServerService的配置(Cache的调整) 配置选项 选择条件 MinimizeMemoryUsed 10个人以下的连接 BalanceMemoryUsed 60个人以下10个以上 MaximizethroughputforFileSharing 60个人以上,且是文件打印服务器 MaximizethroughputforNetworkApplication 60个人以上,其它类型服务器 性能基线 定义 在系统正常时收集的数据作为基准 要求 1.网络服务器正常 2.在有代表性的生产时间 3.在有代表性的非生产时间--观察PDC与BDC同步、目录复制、主WINS与辅助WINS同步 4.数据采集时间大于1~2周 技巧 用at命令来配置何时启动、停止数据的采集 第三单元 网络分析、优化 流量起因: 协议、服务 如何裁减网络流量? ∙协议越少越好,一旦选定不可优化 ∙服务越少越好,或在网络中增加WINS服务 总体流量=时间*单次流量*频率 不可优化 不可优化 优化对象 服务: NT的服务种类: DHCP、WINS、DNS、Netlogo、WorkstationService、ServerService DHCP服务: 一个子网如果有多个DHCP服务器,每个DHCP服务器以广播形式向client端发送信息 租借期TTL(TimetoLive): 服务器在到TTL/2时间时广播出去续租IP,控制TTL长度可控制网络流量。 (IP资源紧张时可把TTL设小一点;而在平稳网络中可加长TTL) WINS(NetBIOS的一种版本)服务: 1.服务越少越好 2.有效期TTL: WINS在到TTL/2时刷新服务器列表,确省值是6天,此参数可不改。 3.NT本地机有一个参数WINSNameCache,变大这个Cache参数。 其位置在注册表中的...\Services\NetBT\Parameters\Cachetimeout 4.修改HOSTS(DNS)与LMHOSTS(WINS)文件 NetBIOS名字长度为16字节=15字节名+1个字节类型 DNS服务-- 把机器名解析成IP地址 --WINS 多级;静态 单级;动态 解析域名的顺序: 从右至左 Browser服务: 资源列表--浏览清单(例如网上邻居) ∙Browser服务器是动态选定的 ∙每32台PC中至少有一台Browser服务器 ∙客户端发出广播,Browser服务器作出回应 Browser服务器类型 域主Browser服务器: 一个域必须有一个域主Browser服务器,任务是协调子网间主Browser服务器的列表 主Browser服务器: 每个子网必有一个主Browser服务器。 它每12分钟广播一次,任务是收集本地子网Browser服务器的名字 备份Browser服务器: 与主Browser服务器同步,向用户请求发布列表,它对用户负责 潜在Browser服务器: 当主Browser服务器未响应时,会触发一个竞选,它是最有可能成为主Browser服务器的PC 发生竞选后有可能会在网上产生竞选风暴,防止竞选风暴的方法 修改注册表中...\Services\Browser\Parameters\MaintainSeverList Yes 最有可能做主Browser的服务器 No 不会做主Browser服务器 Auto 自动判断,优先顺序: NTServer-NTWorkstation-Win98-Win95-Win31 Replication服务: 目录复制(NT只能对目录复制) 1.浅化结构 2.把大文件分别实现目录复制 3.internal时间应较长;在internal(缺省5分钟)*pulse(缺省2分钟)时间内未收到消息则主动要求同步复制 4.Waituntilstabilized选项: 等待2分钟直到文件不被读写 5.时间锁定(不同指定时间的复制) 总结: 一.客户端初始化 ∙DHCP服务 加长TTL ∙Netlogon 摆放DC的数量和位置 二.客户端登录后浏览 Browser服务 1.减少不必要的ServerService 2.MaintainServerList=No(防止某些客户端成为Browser服务器) 三.服务器间的流量 1.Browser服务: ∙运行ServerService的PC每12分钟广播自己 ∙每12分钟主Browser服务器向本地子网上其它域的主Browser服务器通报自己 ∙每15分钟域主Browser服务器查询WINS取得其他域的信息 ∙每12分钟主Browser服务器与域主Browser服务器同步 ∙每12分钟备份Browser服务器与主Browser服务器同步 参数: ∙masterperiodicity: 调整主Browser服务器与域主Browser服务器同步的时间间隔 ∙backupperiodicity: 调整备份Browser服务器与主Browser服务器同步的时间间隔 2.WINS服务 WINSPartner间的同步 pull按时间触发同步--用于WAN、低速网在网络带宽较闲时同步 push按记录数触发同步--应用于高速网络中的同步 3.Netlogon服务 见DC配置优化 第四单元 故障诊断与排除 一.体系结构 ∙设备的IRQ冲突 ∙I/O地址冲突 二.注册表 Hive: 把Key或Subkey存成一个文件 注册表的备份 Backup ResourceKit Regedt32 Rdisk 前提条件 NT能正常启动 NT能正常启动 NT能正常启动 不需启动NT 设备 磁带机 紧急修复盘 工具或命令参数 NTBackup regrest;regback savekey与restorekey 参数: /s拷贝系统安全和帐户信息 注: 3张安装盘+1张紧急修复盘+1个CD-ROM=万能 无紧急修复盘的修复措施: FAT分区--启动DOS或WIN95,拷贝所需文件到旧NT NTFS分区--在别的目录下新装一份NT,拷贝所需文件到旧NT UpgradeNT 三.启动问题(见NTCore) 四.蓝屏-StopScreen: 停止屏。 某个程序产生一个对硬件直接读写的中断请求,使NT出现停止屏。 蓝屏的检测方法: 在Boot.ini文件中带参数“/crushdebug”或使用systemproperty中的选项“writedebugginginformation”。 当系统的启动过程出现蓝屏时系统会把错误信息记入pagefile.sys文件,这样就可以通过debug此文件来找错误。 注意: 此时的pagefile.sys文件必须放在%systemroot%分区下! 但为了优化NT的性能,可在%systemroot%分区下建一个1M、2M的pagefile,这样就没问题了: ) 裁减错误记录信息的工具: ∙Dumpchk: 合法性检查 ∙DumpExam: 合法性检查并且把信息转换成文本文件,其大小远远小于memory.dmp 这两个工具位于NT光盘下的\Support\Debug\i386\Dumpchk或DumpExam目录下。 ∙Dr.Watson: 只把应用程序占用的内存空间转输出去 技巧: 题目中只要出现对应用程序的错误检测就选Dr.Watson ∙其他工具: WinDGB;KD(一般不选) 远程管理注册表: 看注册表里有没有项(KEY)“winreg” 有: 有权限限制 无: 所有人都可访问 注: 本篇文章的所有权利属于作者本人,未经许可他人不得复制、转载以及进行各种商业活动。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows NT企业版 NT 企业版