学习记录
文章目录
- 学习记录
- 一、AD域创建
- 二、组织单位OU
- 三、用户、用户组
- 四、策略设置
- 三、利用组策略部署软件与限制软件的运行
- 四、管理组策略
- 五、文件权限与共享文件夹
- 五、灾难恢复(操作主机)
- 六、AD DS与防火墙
- 七、磁盘
- 八、DHCP
- DNS
- (一)Windows Server打开相关操作界面的命令总结
- 1、控制面板:(如何打开)
- 2、Windows设置:(如何打开)
- 3、服务:(如何打开)
- 4、证书:(如何打开)
- 5、网络连接:(如何打开)
- 6、任务管理器:(如何打开)
- 7、系统属性→计算机名、硬件、高级-环境变量、远程:(如何打开)
- 8、修改计算机名称:(如何打开)
- 9、开启远程桌面:(如何打开)
- 10、计算机管理:(如何打开)
- 11、磁盘管理:(如何打开)
- 12、事件查看器:(如何打开)
- 13、telnet测试某个端口是否可以访问:
- 14、netstat –ano查看进程和端口:
- 15、查看PID进程号对应的进程名称、查看进程名称对应的PID:
- 17、刷新DNS解析缓存:(如何打开)
- 16、本地组策略(组策略编辑器):(如何打开)
- 17、域组策略:(如何打开)
- 18、强制更新组策略命令:(如何打开)
- 19、查看策略的结果集并导出:(如何打开)
- 19、Active Directory用户和计算机:dsa.msc:(如何打开)
- 20、从源域控制器DC开始对目标域控制器DC进行复制。
- 21、查询域中部署的站点
- 22、查询某个站点内的域控
- 23、Windows Server 列出所有已安装的补丁,包括补丁的 KB 编号、描述和安装日期
- 24、查看AD中某个用户最后一次登录的时间
- 25、AD域中远程重启某台计算机命令
- 26、打开 Active Directory 架构 控制台
- 27、客户端加域的日志(哪台windows客户端用哪台域控服务器加的域)
- 28、Windows Server 补丁更新详细日志
- 29、Windows Server 安全模式
- 30、查看抓包中用户使用NTLMv2协议登录
- 31、CMD重启计算机的命令
- 26、Win10 安装组策略 gpedit.msc
- 26、Win10 系统更新文件位置:C:\Windows\SoftwareDistribution\Download
- 26、删除Windows.old文件夹
- 26、禁用windows更新
- 27、问题:AD多站点,客户端ping 域名不是本地站点域名
- (二)Windows Server 事件 ID
- 什么是 Windows 事件日志
- 位置
- 1、Windows日志-Application应用程序
- 2、Windows日志-Security安全
- (1)事件ID:4769 failure(某个账户登录,已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。)
- (2)事件ID:4624 success(已成功登录帐户。创建登录会话时,将在被访问的计算机上生成此事件)
- (3)事件ID:4634 success(已注销账户。在登录会话被破坏时生成此事件。)
- (4)事件ID:4625 failure(帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。)
- (5)事件ID:4740 success(已锁定用户帐户)
- (6)事件ID:
- (7)事件ID:
- (8)事件ID:
- (9)事件ID:
- 3、Windows日志-Setup
- 4、Windows日志-System系统
- (1)事件ID:12 information(操作系统启动)
- (2)事件ID:13 information(操作系统关闭)
- (3)事件ID:41 information(操作系统已在未先正常关机的情况下重新启动)
- (4)事件ID:6008 error(操作系统意外关闭)
- (5)事件ID:1074 information(哪个用户启动哪台计算机,重启: 其他(计划外)方式是什么,关机类型: 重启)
- (6)事件ID:5807 warning(在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器)
- (7)事件ID:1202 success(开启ADFS登录审计)
- (2)事件ID:
- (3)事件ID:
- (4)事件ID:
- 5、Exchange日志-System系统
- (三)Exchange Server 2019搭建
- 1、Exchange Server 必备组件
- 2、ExchangeServer2019-x64-CU14安装
- 3、Exchange 管理中心(EAC)
- 4、数据库可用性组 Database Availability Group(DAG)
- 5、Exchange 安装后配置任务
- 6、客户端安装 Outlook
- 7、Exchange 相关
- (四)取消普通域用户将计算机加入域的权限
- (五)排除GPO权限
一、AD域创建
1、AD主域控制器的安装
1.1、准备
(1)windows server 2016域控DC01,修改 ip:192.168.10.1、子网掩码、默认网关、DNS:192.168.10.1。
(2)关闭防火墙,关闭IE增强的安全配置,开启远程桌面。
(3)装完系统,首先修改计算机名称,为DC01,重启。
1.2、安装活动目录域服务 Active Directory Domain Services
1.2.1、添加角色和功能
服务器管理器→添加角色和功能→开始之前→下一步
1.2.2、安装类型
安装类型→基于角色或基于功能的安装→下一步
1.2.3、服务器选择
1.2.4、服务器角色
服务器角色→Active Directory域服务
1.2.5、功能
功能→下一步
1.2.6、AD DS
1.2.7、确认
1.2.8、安装
1.3、将此服务器提升为域控制器
将此服务器提升为域控制器→Active Directory域服务配置向导
1.3.1、部署配置
部署配置→因为是第一台主域控服务器→添加新林→(测试环境的)根域名:contoso.com→下一步
1.3.2、域控制器选项
域控制器选项→域名系统DNS服务器→全局编录GC→目录服务还原模式密码→下一步。第一台域控制器不可以是RODC。
1.3.3、DNS选项
1.3.4、其他选项
1.3.5、路径
路径→默认指定AD DS数据库、日志文件和SYSVOL的位置→下一步
1.3.6、查看选项
1.3.7、先决条件检查
所有先决条件检查都成功通过→安装
1.3.8、安装
安装完等待自动重启,成为域控制器。
1.4、验证AD域控是否部署成功
1.4.1、查看新增组件是否存在
- (1)Active Directory 管理中心
- (2)Active Directory 用户和计算机
- (3)Active Directory 域和信任关系
- (4)Active Directory 站点和服务
- (5)DNS
- (6)ADSI 编辑器组策略管理
- (7)用于 Windows PowerShell 的 Active Directory 模块
1.4.2、查看 AD DS 服务
- AD DS 域服务部署完成后,默认部署 2 个和 AD DS 域服务相关的服务:
-
- (1)Active Directory Domain Services(NTDS)服务:AD DS 域控制器服务。如果停止此服务,用户将无法登录到网络。如果禁用此服务,则明确依赖该服务的任何服务都将无法启动。
-
- (2)Active Directory Web Services(ADWS)服务:此服务提供指向此服务器上本地运行的目录服务(AD DS 和 AD LDS)实例的 Web 服务接口。如果停止或禁用此服务,则客户端应用程序(如 ActiveDirectony Powershell)将无法访问或管理此服务器上本地运行的任何目录服务实例。
-
- (3)在服务控制台中查看这两个服务:
- (3)在服务控制台中查看这两个服务:
1.4.3、查看默认容器
AD安装成功后的域控制器将创建默认容器,打开→Active Directory 用户和计算机→上部工具栏中选择 查看→选择 高级功能→可以看到更多的容器→如下图所示:
1.4.4、查看 Domain Controllers
此容器为域的默认容器包含 AD 域服务器→第一台服务器DC001为全局编录服务器(GC)→右击 属性→查看。
1.4.5、查看 Default-First-Site-Name
在将服务器提升为域控制器的过程中,如果服务器为新林中的第一个域控制器,将创建名为 “Default-First-Site-Name” 的默认站点,域控制器为这个站点的第一个成员服务器。
打开→Active Directory 站点和服务→查看→如下图所示:
1.4.6、查看 Active Directory 数据库和日志文件
数据库和日志文件存放于 C:\Windows\NTDS 中,Active Directory 数据库文件为 Ntds.dit,存储域控制器中所有的活动目录对象。
1.4.7、查看 计算机角色
以管理员身份打开cmd→输入"net accounts"→查看域控制器的计算机角色→如果为一台域控制器,角色显示为"PRIMARY"。
1.4.8、查看 系统共享卷 SYSVOL 和 NetLogon 服务
-
(1)打开C:\Windows\SYSVOL→里面创建了domain、staging、staging areas、sysvol 四个文件夹。
-
(2)cmd输入命令:net share ,查看域控制器中发布的共享。
-
(3)打开 C:\Windows\SYSVOL\sysvol\contoso.com\Policies→查看创建的默认域策略和默认域控制器策略→这些策略显示为 GUID(全局唯一标识)
-
(4)cmd输入命令:dcdiag→查看域控制器的状态→如果正常安装域控制器,显示为测试成功信息。
1.4.9、查看 SRV 记录
- 验证DNS中是否存在域控制器的 SRV 资源记录
- 查看域控制器的 FQDN
- 测试 FQDN 名称的网络连通性
1.4.10、查看 FSMO 角色
cmd输入命令:Netdom query fsmo→查看是否创建五种操作主机角色
1.4.11、查看 安装日志
安装日志→位于 C:\Windows\debug 目录内→安装过程日志为 DCPROMO.LOG→查看详细的安装过程。
2、AD辅助域控制器的安装
2.1、准备
(1)windows server 2016域控DC02,修改 ip:192.168.10.2、子网掩码、默认网关、DNS:192.168.10.1。
(2)关闭防火墙,关闭IE增强的安全配置,开启远程桌面。
(3)装完系统,首先修改计算机名称,为DC02,重启。
2.2、加域
服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域:contoso→输入有权限加入该域的账户的名称和密码(administrator账户密码)→重启
2.3、安装活动目录域服务 Active Directory Domain Services
活动目录域服务跟主域控制器安装方式一样。
2.4、将此服务器提升为域控制器
有变化:
部署配置→将域控制器添加到现有域→选择:contoso.com→更改:administrator@contoso.com ******
3、AD只读域控制器RODC的安装
3.1、准备
(1)windows server 2016域控DC02,修改 ip:192.168.10.3、子网掩码、默认网关、DNS:192.168.10.1。
(2)关闭防火墙,关闭IE增强的安全配置,开启远程桌面。
(3)装完系统,首先修改计算机名称,为DC03,重启。
3.2、加域
服务器管理器→本地服务器→sysdm.cpl系统属性→计算机名→更改→隶属于→域:contoso→输入有权限加入该域的账户的名称和密码(administrator账户密码)→重启
3.3、安装活动目录域服务 Active Directory Domain Services
活动目录域服务跟主域控制器安装方式一样。
3.4、将此服务器提升为域控制器
域控制器选项,有变化:勾选只读域控制器RODC。
其他步骤一样。
4、AD子域控制器的安装
待补充
5、重建域控(辅助域控DC002降级退域关机)
在新的虚拟化平台准备服务器虚拟机资源,重新做域控部署:
(1)原来的域控降级:
域控服务器删除时,必须先降级
计算机名为 DC06(IP:192.168.10.6)的域控服务器降级为普通成员服务器。
(2)原来的域控退域:
把普通成员服务器退域变成独立服务器,DC06点击计算机名称,由加入到域:contoso.com改成工作组WORKGROUP(win默认工作组WORKGROUP)
运行cmd:ipconfig /all,ip页面截全图保存。
(3)原来的域控关机:
将计算机名称:DC06 IP:192.168.10.6 关机。
(4)配置新的域控服务器:
新的域控安装操作系统,新给的服务器地址IP:192.168.10.10远程登录上后,
(1)修改计算机名称为DC07(跟原来域控DC06不重名)。
(2)配置原来域控的IP地址:192.168.10.6,更改适配器设置修改IPv4地址为192.168.10.6、子网掩码、网关、DNS:192.168.10.1、192.168.10.2(看截图),不勾选IPv6。
修改后运行cmd:输入ipconfig /all、输入nslookup后输入contoso.com,显示很多一串ip地址说明正常,修改后重新远程登录。
(3)关闭防火墙。(全都关了)
(4)关闭IE增强的安全配置
(4)新的域控服务器加域:
新的计算机名称为DC07 IP:192.168.10.6的服务器加域。
DC07点击计算机名称:由工作组改成加入到域contoso.com。
(5)新的域控服务器部署AD域服务,提升为分部域控服务器:
安装AD活动目录域服务。
提升为域控,同步AD域数据库信息,时间较长等待数据同步成功。
重建域控DC07后,高权限账号远程登录不了这台域控问题:组策略导致
一开始新建的域控DC07加入域时会有一条域策略让DC07进入tempcomputer,tempcomputer会限制高权限用户远程登录访问用户的隐私,如果想用高权限用户远程登录,必须查到DC07后拖入到Domain Controllers的分部机构域目录下,然后DC07执行强制更新组策略命令:gpupdate /force,高权限账号才能远程登录到这台DC07计算机。
(6)配置DHCP:
(可以先配置好,不要先授权)
(1)添加角色和功能向导:添加DHCP服务器
(2)打开DHCO服务器,IPv4右键新建作用域,找管理员要相关配置,完成作用域、地址池配置。
(3)IPv4红色,不要授权。
(4)必须等域控数据同步完成之后,DHCP的IPv4授权绿色。
6、辅助域控DC002宕机无法启动,如何移除无效的域控制器DC002
补充
7、安装 Active Directory 证书服务
8、 证书有效期管理
mmc控制台→打开 "证书颁发机构"→右击 "证书模板"→单击 "管理"→打开 “证书模板控制台”。
→右击 "Web 服务器"→选择 "复制模板"→切换到 “常规” 选项卡→设置名称和有效期→并勾选 “在Active Directory中发布证书”
→切换到 “请求处理” 选项卡→勾选 “允许到处私钥”
→切换到 “使用者名称” 选项卡→选择 “在请求中提供”
→切换到 “安全” 选项卡→选择 "Authenticated Users"→权限选择 "读取、写入、注册、自动注册"→设置完成后→单击确定。
9、 启用新的 “web服务器” 模板
- (1)mmc控制台→打开 "证书颁发机构"→右击 "证书模板"→选择 “新建"→"要颁发的证书模板”。
- (2)选择新建的 “EX2019CA” 证书模板→单击 “确定” →新的模板被添加到控制台中。
- (3)更改注册表值
win+r运行:regedit→打开注册表路径:计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\contoso-DC001-CA
→找到其中的 “ValidityPeriodUnits” 双击打开→基数改为 “十进制"→"数值数据"改为"10”。
- (4)重新启动DC服务器。
二、组织单位OU
1、创建OU
1.1、图形化界面:Active Directory 用户和计算机 中创建OU
(1)创建总的OU:xx集团
打开:Active Directory 用户和计算机
Active Directory 用户和计算机→contoso.com→右键→新建→(创建总的OU)组织单位:IDC龙芯集团股份有限公司
(2)创建基于总OU下的架构OU和各分部门OU
Active Directory 用户和计算机→contoso.com→选择IDC龙芯集团股份有限公司集团→右键→新建→(基于基于总OU下的架构OU和各分部门OU)组织单位:IDC制造中心等等。
创建完OU架构如下:
Active Directory 用户和计算机→contoso.com→选择xx集团→点击新建对象-组织单位→在xx集团下创建组织单位OU为test02。
1.2、命令行中创建OU:
(2)
1、dsadd ou命令创建为test01的组织单位OU:
dsadd ou ou=test01,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com
点击刷新后,已成功创建test01。
2、powershell命令创建为test02的组织单位OU:
new-adorganizationalunit -name test02 -path "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"
点击刷新后,已成功创建test02。
2、查看OU
(1)图形化界面:Active Directory 用户和计算机 中查看OU
(2)命令行查询当前架构下OU信息:
1、dsquery命令查询当前OU信息:
dsquery ou
2、Powershell命令查询当前OU信息:
get-adorganizationalunit -filter * |select distinguishedname
3、模糊查询OU信息:
get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname
4、精确查询OU相关信息:
get-adorganizationalunit -filter 'Name -like "test01"' |fl
3、重命名OU
rename-adobject重命名OU信息:
将龙芯集团股份有限公司/test/test02重命名为test03:
rename-adobject "ou=test02,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -newname test03
点击刷新后,已成功将test02重命名为test03。
4、删除OU
1、remove-adorganizationalunit删除OU:
A、删除test03:
remove-adorganizationalunit -identity "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -recursiv
根据提示回车Y确认删除,报错信息提示:拒绝访问,即使通过强制删除也无法完成删除操作,因为新建OU时勾选了"防止容器被意外删除":
B、选择test组织单位→查看→高级功能
C、此时会看到比之前的结构多一些信息(NTDS Quotas、TPM Devices):
D、选择要删除test03,鼠标右键选择属性→对象→不勾选"防止容器被意外删除"→点击应用→确定。
E、再执行删除命令:
remove-adorganizationalunit -identity "ou=test03,ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -recursiv -confirm:$false
删除成功,再次查看当前OU信息,已无法找到test03相关OU信息。
get-adorganizationalunit -filter 'Name -like "test*"' |ft distinguishedname
F、通过命令行取消勾选"防止容器被意外删除",命令如下:
命令行取消勾选:“防止容器被意外删除”(将龙芯集团股份有限公司/test组织单位目录,取消防止容器被意外删除)
Set-adobject -identity "ou=test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -ProtectedFromAccidentalDeletion:$false
该目录及该目录下的都已取消勾选。
你没有足够的权限删除 xxOU,或者该对象受保护,以防止意外删除。
解决:
(1)
5、移动OU
(1)图形化移动OU:
右键要移动的OU信息,选择"移动"。
Windows无法移动对象test,因为:拒绝访问。
因为OU对象test属性中勾选"防止对象被意外删除"选项,取消勾选并确定。
成功移动OU组织单位:
(2)命令行移动OU:
1、Powershell命令行移动OU:(Desk test/test/test01移动到Desk test目录下)
move-adobject -identity "ou=test01,ou=test,ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com" -targetpath "ou=Desk test,ou=龙芯集团股份有限公司,dc=contoso,dc=com"
2、dsmove命令移动OU:
dsmove ou=xxx,ou=Syncall,dc=azureyun,dc=local –newparent ou=HelpDesk,dc=azureyun,dc=local
三、用户、用户组
1、创建用户
2、创建用户组
3、用户添加进用户组
四、策略设置
- windows修改配置
-
- 修改windows底层代码 ×
-
- 修改windows注册表regedit √
-
- 修改windows组策略 √
-
- 修改windows设置 win+i 图形界面 √
场景:某公司用组策略管理用户桌面、计算机安全性,已经实施了一种OU设置,顶级OU代表不同的地点,每个地点ou的子ou代表不同的部门,用户账户与其工作站计算机账户在同一个容器中。服务器计算机账户在各个ou中。
1、管理 “计算机配置的管理模板策略”
1)策略:关闭事件跟踪程序(用户在关机时不会再要求用户提供关机的理由)
(1)gpmc.msc 命令 打开域组策略管理
检查域的结构:AD用户和计算机
win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso.com→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器
在 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 系统→右侧:显示“关闭事件跟踪器”→双击打开→选择 已禁用→应用→确定
(2)gpupdate /force 命令:让配置的组策略强制生效
关闭事件跟踪程序,执行此条策略之后,所有的域控制器上,用户在关机的时候系统不会再提醒提供关机的理由。
2)策略:显示用户以前交互登录的信息
(1)gpmc.msc 打开域组策略管理
win+r运行输入 gpmc.msc 域组策略管理→林→域→contoso.com→Domain Controllers→Default Domain Controllers Policy→在DC01上对域控制器的组策略进行编辑→打开 组策略管理管理编辑器→计算机配置→策略→管理模板→点击 Windows组件→右侧:Windows登录选项→双击打开→选择 在用户登录期间显示有关以前登录的信息→选择 已启用→应用→确定
(2)gpupdate /force 命令:让配置的组策略强制生效
显示用户以前交互登录的信息,执行此条策略之后,所有的域控制器上,重启域控之后显示以前登录的信息。
2、管理 “用户配置的管理模板策略”
1)策略:阻止更改代理设置
(1)
2)策略:管理模板的其他设置
(1)
3、配置 “账户策略”
4、配置 “用户权限分配策略”
5、配置 “安全选项策略”
6、登录注销、启动关机脚本
7、文件重定向
8、使用组策略限制访问可移动存储设备
9、使用组策略的首选项管理用户环境
三、利用组策略部署软件与限制软件的运行
1、计算机分配软件部署
2、用户分配软件部署
3、用户发布软件部署
4、对软件进行升级和重定向
5、对特定软件启动软件限制策略
四、管理组策略
1、组策略的备份、还原、查看组策略
1.1、备份
(1)创建组策略备份文件夹
DC001上创建组策略备份文件夹,名为:GPO backup
(2)新建策略
创建一条策略→DC上打开域组策略:win+r运行gpmc.msc→组策略管理→林→域→组策略对象→新建策略:WSUS
(3)备份策略
备份策略:组策略对象→右键:WSUS策略→备份→备份组策略对象→浏览:选择创建的GPO backup文件夹→确定→备份→备份进度:完成
(4)删除策略
删除 WSUS 策略→组策略对象→右键:WSUS策略→删除→是
把WSUS 策略误删没有了,下一步:还原。
1.2、还原
(1)管理备份 中 还原 WSUS策略
在管理备份中还原WSUS策略→组策略对象→右键:管理备份→备份位置:浏览(选择刚才的备份文件夹GPO backup)→还原→确定
(2)将编辑后的WSUS策略 还原 为WSUS策略
对WSUS策略进行了编辑,发现编辑的策略设置不对,还原为原来备份的WSUS策略。
右键:WSUS→选择:从备份还原
还原组策略对象向导→下一步
备份位置:浏览选择备份文件夹:GPO backup→下一步
源 GPO:选择要还原的 GPO→WSUS
完成
1.3、查看组策略
(1)作用域
(2)详细信息
(3)设置
(4)委派
(5)状态
2、使用WMI筛选器
3、管理组策略的委派
4、设置和使用 Starter GPO
补充WSUS策略
五、文件权限与共享文件夹
网络中最重要的是安全,安全中最重要的是权限,在网络中,网络管理员首先面对的是权限,日常解决的问题也是权限问题,最终出现漏洞还是由于权限设置出了问题。
公用文件夹:磁盘内的文件经过适当权限设置后,每位用户都只能访问自己有权限的文件。
共享文件夹:共享文件夹可以将文件共享给网络上的其他用户。
共享权限:网络中的用户须拥有适当的共享权限才可以访问共享文件夹。读取、更改、完全控制同时需要注意与NTFS权限结合。
1、设置资源共享(创建共享)
1.1、普通共享
- (1)DC1域控上创建用户:kuaiji
在DC1域控上组织单位:财务部下创建会计,创建会计用户:kuaiji,用会计用户来测试共享。
- (2)在【计算机管理】中设置共享资源
1、准备文件夹:创建文件服务器FileServer01并加入域contoso.com,文件服务器FileServer的C盘下创建share文件夹,C:\share。
2、设置共享文件夹:win+r运行输入compmgmt.msc打开计算机管理,计算机管理(本地)→系统工具→共享文件夹→共享→右键→新建共享→创建共享文件夹向导→下一步→文件夹路径:C:\share→下一步→名称描述默认→共享文件夹的权限:选择管理员有完全访问权限,其他用户有只读权限R→完成→完成。
这样就创建了一个共享。
1.2、特殊共享
C$、IPC$,这些系统自动创建的共享资源就是 “特殊共享”。(不要修改特殊共享)
2、访问网络共享资源
2.1、利用网络发现,访问网络共享资源
文件服务器FileServer上创建了一个共享文件夹C:\share,如何去访问???
(1)administrator@contoso.com管理员账户登录到win11加域的成员服务器客户端计算机。
(2)网络发现和文件共享已关闭。看不到网络计算机和设备。启用网络发现和文件共享。
资源管理器→网络→网络发现和文件共享已关闭。看不到网络计算机和设备→右键→启用网络发现和文件共享。
(3)启用网络发现和文件共享后,必须开启三个服务
- 1、管理员账户登录:文件服务器FileServer01,启用网络发现和文件共享后,运行services.msc,开启三个服务。
-
- 1.1、找到Function Discovery Resource Publication服务,启动类型:自动,然后启动。
- 1.1、找到Function Discovery Resource Publication服务,启动类型:自动,然后启动。
-
- 1.2、找到SSDP Discovery服务,启动类型:自动,然后启动。
- 1.2、找到SSDP Discovery服务,启动类型:自动,然后启动。
-
- 1.3、找到UPnP Device Host服务,启动类型:自动,然后启动。
- 1.3、找到UPnP Device Host服务,启动类型:自动,然后启动。
(4)三个服务启动后,在文件服务器FileServer01上网络可以看到自己本身的共享服务器名称及文件。
(5)在win11客户端上文件资源管理器网络就可以访问到FileServer01共享服务器名称及共享文件:Share。
2.2、使用UNC路径,访问网络共享资源
(1)UNC路径
- 通用命名标准:Universal Naming Conversion UNC是用于命名文件和其他资源的一种约定,以两个反斜杠"\\"开头,指明该资源位于网络计算机上。
- UNC路径格式:\\Servername \sharename
- UNC路径格式:\\ServerIP \sharename
- 其中Servername是服务器名称,也可以用IP地址代替,而sharename是共享资源的名称。目录或文件的UNC名称也可以把目录路径包括在共享名称之后。
(2)在文件服务器FileServer上,services.msc服务中关闭三个服务:Function Discovery Resource Publication服务、SSDP Discovery服务、UPnP Device Host服务。
(3)用kuaiji账户登录win11客户端计算机,UNC路径:\\FILESERVER01\Share,访问网络共享资源,可以访问到文件服务器FileServer01上的共享Share目录。
3、卷影副本
3.1、卷影副本功能
用户可以通过 “共享文件夹的卷影副本” 功能,让系统自动在指定的时间将所有共享文件内的文件复制到另外一个存储区内备用,当用户通过网络访问共享文件夹内的文件,将文件删除或者修改文件的内容后,却反悔想要救回该文件或者想要还原文件的原来内容时,可以通过"卷影副本"存储区内的旧文件来达到恢复旧文件的目的,因为系统之前已经将共享文件夹内的所有文件都复制到"卷影副本"存储区内了。
3.2、开启卷影副本测试
(1)启用"共享文件夹的卷影副本"功能
- 1)确认share是共享文件夹:在文件服务器fileserver01上,win+r运行输入compmgmt.msc打开计算机管理,计算机管理(本地)→系统工具→找到share共享文件夹。
- 2)在文件服务器fileserver01上,win+r运行输入compmgmt.msc打开计算机管理,计算机管理(本地)→系统工具→共享文件夹→右键→所有任务→配置卷影副本。
(2)配置卷影副本
卷影副本对话框中,C:\默认是已禁用。选中,点击启用。
启用卷影复制→是。
当出现:所选卷的卷影副本(日期时间2024/12/21 16:19)时,那么此时就为现在C盘下的共享创建了卷影副本,点击确定。
此时已经启用了C盘下C:\share文件夹上文件夹的卷影副本的功能。
(3)客户端访问"卷影副本" 测试
- 1)在域控DC01上,UNC路径访问共享资源文件夹:\fileserver01\share。
- 2)在域控DC01上,永久性的删除\fileserver01\share\test01文件夹,发现此时的删除是误删除,想要恢复test01文件夹。
- 3)在域控DC01上,恢复test01文件夹。
向上回退到UNC路径的fileserver01根目录下→右键单击"share"文件夹→属性→share(\fileserver01)属性→"以前的版本"选项卡→选择"share 2024/12/21 16:19"版本→还原(还原误删除的test01文件)→确定。
单击"打开"按钮可查看该时间点内的文件夹内容。
单击"还原"按钮可以将文件夹还原到该时间点的状态。 - 4)打开"share"文件夹,检查"test01"是否被恢复。
3.3、关闭禁用卷影副本
计算机管理→共享文件夹→所有任务→配置卷影副本
卷影副本→选择一个卷:C:\→禁用
禁用卷影复制→是
4、NTFS权限和共享权限
4.1、NTFS权限
- NTFS(New Technology File System)新技术文件系统(高性能文件系统)。
- 功能:利用NTFS权限,可以控制用户账户和组对文件夹及个别文件的访问。
- NTFS权限只适用于NTFS磁盘分区。
- NTFS权限不能用于由FAT16或者FAT32文件系统格式化的磁盘分区。
- Windows Server 2016 只为用NTFS进行格式化的磁盘分区提供NTFS权限。
4.2、NTFS权限类型
可以利用NTFS权限指定哪些用户、哪些组、哪些计算机能够访问、能够操作文件或文件夹中的内容。
- NTFS权限类型分为两种:
-
- NTFS文件夹权限
-
- NTFS文件权限
(1)NTFS文件夹权限
可以通过授予文件夹权限、控制对文件夹和包含在这些文件夹中的文件和子文件夹的访问。
下表列出了可以授权的标准NTFS文件夹权限和各个权限提供的访问类型。
标准NTFS文件夹权限列表
| NTFS文件夹权限 | 允许访问类型 |
|---|---|
| 读取 read | 查看文件夹中的文件和子文件夹,查看文件夹属性、用有人和权限 |
| 写入 write | 在文件夹内创建新的文件和子文件,修改文件夹属性,查看文件夹的拥有人和权限 |
| 列出文件夹内容 list folder contents | 查看文件夹中的文件和子文件夹的名称 |
| 读取和运行 read&execute | 遍历文件夹,执行由"读取"权限和"列出文件夹内容"权限进行的动作 |
| 修改 modify | 删除文件夹,执行由"读取"权限和"读取和运行"权限进行的动作 |
| 完全控制 full control | 改变权限,成为拥有人,删除子文件夹和文件,以及执行允许所有其他NTFS文件夹权限进行的动作 |
(2)NTFS文件权限
4.3、NTFS权限和共享权限 测试
(1)准备:NTFS文件及共享
- (1)在域控DC001上→创建:肥城财务部用户:fccwb→属于:财务部组。
- (2)在文件服务器FileServer01上→用AD管理员账户→创建两个测试文件夹:测试1、测试2→测试1和测试2下有bmp、txt文件内都有内容。
- (3)在文件服务器FileServer01上→用AD管理员账户→分别将两个测试文件夹:测试1、测试2都共享→并且客户端计算机ClientWin11使用UNC路径可以访问共享。
(2)测试1文件夹:共享权限窄,NTFS权限宽,最终的权限结果取交集
- (1)设置用户的NTFS权限(用户完全控制)
“财务部用户文件夹权限测试1” 测试1文件夹→属性→安全(NTFS权限)→添加 “肥城财务部用户fccwb” →授予勾选:完全控制的权限。
- (2)设置用户的共享权限(用户读取)
“财务部用户文件夹权限测试1” 测试1文件夹→属性→共享(共享权限)→将 “肥城财务部用户fccwb” →权限级别→授予勾选:读取的权限。
- (3)用域肥城财务部用户fccwb登录加域的客户端计算机ClientWin11,UNC路径访问FileServer01:\\192.168.10.15
- (4)肥城财务部用户fccwb测试读取,能打开txt看到内容,有权限读取
- (5)肥城财务部用户fccwb测试编辑txt添加内容3333,无权限编辑该财务部测试1.txt文件,无权保存该文件
保存报错
只能另存为
- (6)用户NTFS权限(用户完全控制)和共享权限(用户读取)同时存在,最终的权限结果取交集(只有用户读取的权限)
当再次查看,用户安全NTFS权限为读取
当再次查看,用户共享权限也是读取
也就是说,当用户共享权限和NTFS权限有冲突,会重新定义用户的权限。
(3)测试2文件夹:共享权限宽,NTFS权限窄,最终的权限结果取交集
-
(1)设置用户的NTFS权限(用户读取)
“财务部用户文件夹权限测试2” 测试2文件夹→属性→安全(NTFS权限)→编辑→"财务部用户文件夹权限测试2" 的权限→只授予勾选:读取的权限。
-
(2)设置用户的共享权限(用户完全控制)
“财务部用户文件夹权限测试2” 测试2文件夹→属性→共享(共享权限)→共享→网络访问→下三角→查找个人→输入对象名称:fccwb→给"肥城财务部用户fccwb"→读取/写入的权限
-
(3)用域肥城财务部用户fccwb登录加域的客户端计算机ClientWin11,UNC路径访问FileServer01:\192.168.10.15
-
(4)肥城财务部用户fccwb测试读取,能打开txt看到内容,有权限读取
- (5)肥城财务部用户fccwb测试编辑txt添加内容4444,保存,无权限编辑该财务部测试2.txt文件,无权保存该文件
保存
只能另存为同上。 -
(6)用户NTFS权限(用户读取)和共享权限(用户完全控制)同时存在,最终的权限结果取交集(只有用户读取的权限)
当再次查看,用户安全NTFS权限为读取
当再次查看,用户共享权限变成了自定义
也就是说,当用户共享权限和NTFS权限有冲突,会重新定义用户的权限。
4.4、NTFS文件权限优于文件夹权限
(1)准备
- 在域控DC001上→新建用户及组
新建用户:IDC肥城财务部
新建组:IDC龙芯集团(肥城)财务部组、IDC龙芯集团(肥城)会计组
该用户属于这两个组
在文件服务器FileServer01上→用AD管理员账户→新建:文件夹、文件
1、新建文件夹名称:test用户文件文件夹权限测试
2、文件夹内→新建文件名称:财务部文件权限.bmp、财务部文件权限.txt
(2)配置用户对文件夹的权限:只有→读取
编辑文件夹权限:test用户文件文件夹权限测试→属性→安全→编辑→给文件夹添加用户:IDC肥城财务部→确定→赋予该用户只有读取权限→应用→确定→确定
(3)配置用户对文件夹内部的文件权限:添加→写入
- 1、编辑.txt文件权限
编辑.txt文件权限:财务部文件权限.txt→属性→安全→编辑→选择用户:IDC肥城财务部→权限:写入→应用→确定→确定
无法编辑读取权限,读取权限是继承的父文件夹。 - 2、.bmp文件不设置用户的权限(不做改动)
(4)测试文件、文件夹权限
- (1)在文件服务器FileServer01上→注销:AD管理员账户→用户:IDC肥城财务部→重新登录文件服务器FileServer01。
- (2)编辑.txt文本文件→写入新内容→保存→重新打开.txt文本文件→看到新内容→可以保存成功
- (3)编辑.bmp文件→写入新内容→保存→报错:对 C:test用户文件文件夹权限测试财务部文件权限.bmp 的访问被拒绝→无法保存
结论: 文件夹权限:读取。bmp文件权限:读取。txt文件权限:读取+写入。例如:某个用户对某个文件有 “修改” 权限,那么即使他对包含该文件的文件夹只有 “读取” 权限,他仍然能够修改该文件。NTFS的文件权限超越NTFS的文件夹权限。
4.5、NTFS权限继承
(1)创建用户
在域控DC001上→新建用户及组,新建用户:IDC肥城财务部
(2)查看磁盘C系统默认的NTFS权限
在文件服务器FileServer01上→用AD域administrator管理员账户登录→打开 资源管理器→查看磁盘C系统默认的NTFS权限都有哪些组→属性→安全:CREATOR OWNER、SYSTEM、Administrators、Users组。
-
(3)查看继承
进入C盘→新建文件夹:test→属性→安全→查看权限:CREATOR OWNER、SYSTEM、Administrators、Users组→跟C盘权限一样,这个就叫继承。
(4)因为 从其父系继承权限,你无法删除此对象。
test→属性→安全→更改权限→编辑→选中:Users 组→删除权限→Windows安全
因为 Users (FILESERVERO1\Users)从其父系继承权限,你无法删除此对象要删除 Users(FILESERVERO1\Users),你必须阻止对象继承权限。关闭继承权限的选项,然后重试删除 Users(FILESERVERO1\Users).
(5)禁用继承
test→属性→安全→高级→test的高级安全设置→选中:Users 组读取和执行→禁用继承→阻止继承→此时出现两种阻止继承方式
- (1)将已继承的权限转换为此对象的显示权限
- (2)从此对象中删除所有已继承的权限
(6)test文件夹 添加 某个用户权限
test→属性→安全→编辑→test的权限→添加→选择用户:IDC肥城财务部→确定→选中:IDC肥城财务部→赋予完全控制的权限→允许:完全控制(勾选)→应用→确定→确定→此时IDC肥城财务部用户就对test文件夹有了完全控制的权限。
(7)子文件夹或子文件夹当中的文件会继承它所在的父文件夹权限。
1、查看 txt文件权限(继承)
AD域管理员账户对test文件夹下→新建文本文档→属性→安全→发现有:IDC肥城财务部 用户、SYSTEM、Administrators、Users→权限为完全控制→也就是IDC肥城财务部 用户 对这个 新建文本文档 的权限继承于 test文件夹
2、查看 文件夹权限(继承)
AD域管理员账户对test文件夹下→新建文件夹→属性→安全→编辑→新建文件夹的权限→安全→发现有:CREATOR OWNER、IDC肥城财务部 用户、SYSTEM、Administrators、Users→权限为完全控制→也就是IDC肥城财务部 用户 对这个 新建文件夹 的权限继承于 test文件夹
文件和文件夹权限有些许差别
4.6、NTFS权限累加
(1)创建用户、组、文件夹、文件
- 1、在域控DC001上→新建用户及组,新建用户:IDC肥城财务部
- 2、新建组:IDC龙芯集团(肥城)财务部组、IDC龙芯集团(肥城)会计组
该用户属于这两个组,并将财务部组设置为主要组,删除Domain Users组。
- 3、根C盘下创建文件夹→进入C盘→新建文件夹:test1→test1文件夹 内创建txt、bmp文件
(2)test1文件夹 对用户组赋予不同的权限
- 1、test1文件夹→属性→安全→编辑→test1的权限→添加:IDC龙芯集团(肥城)会计组→给 会计组 只赋予读取的权限→允许:读取(勾选)→应用→确定→确定→此时 会计组 就对test1文件夹有了读取的权限。
- 2、test1文件夹→属性→安全→编辑→test1的权限→添加:IDC龙芯集团(肥城)财务部组
→给 财务部组 只赋予读取的权限→允许:写入(勾选)→应用→确定→确定→此时 财务部组 就对test1文件夹有了写入的权限。
(3)测试累加权限
- (1)在文件服务器FileServer01上→将AD管理员账户注销→使用用户:IDC肥城财务部→重新登录文件服务器FileServer01→检查IDC肥城财务部这个用户对test1拥有什么权限。
- (2)打开test1文件夹→编辑.txt文本文件→写入新内容→保存→重新打开.txt文本文件→看到新内容→可以保存成功
- (3)打开test1文件夹→编辑.bmp文件→写入新内容→保存→重新打开.txt文本文件→看到新内容→可以保存成功
结论: 会计组 对test1文件夹只赋予读取的权限,财务部组 对test1文件夹只赋予读取的权限,属于这两个组的 IDC肥城财务部 这个用户 对test1文件夹拥有读取和写入的权限。
(4)查看用户的累加权限(有效访问)
test1文件夹→txt→txt 属性→安全→高级→txt的高级安全设置→有效访问→选择用户:IDC肥城财务部→查看有效访问:列出的权限
4.7、NTFS权限拒绝优先
(1)会计组 赋予 完全控制的权限
test1文件夹→属性→安全→编辑→test1的权限→添加:IDC龙芯集团(肥城)会计组→给 会计组 只赋予完全控制的权限→允许:完全控制(勾选)→应用→确定→确定→此时 会计组 就对test1文件夹有了完全控制的权限。
(2)财务部组 赋予 拒绝读取、写入的权限
test1文件夹→属性→安全→编辑→test1的权限→添加:IDC龙芯集团(肥城)财务部组
→给 财务部组 赋予拒绝读取、写入的权限→拒绝:读取、写入(勾选)→应用→确定→是→确定→此时 财务部组 就对test1文件夹有了拒绝读取、写入的权限。
(3)测试 拒绝 优先
- (1)在文件服务器FileServer01上→将AD管理员账户注销→使用用户:IDC肥城财务部→重新登录文件服务器FileServer01→检查IDC肥城财务部这个用户对test1拥有什么权限。
- (2)打开test1文件夹→你当前无权访问该文件夹
结论: 会计组 对test1文件夹有完全控制的权限,财务部组 对test1文件夹有拒绝读取、写入的权限,属于这两个组的 IDC肥城财务部 这个用户 对test1文件夹拒绝访问 也就是NTFS权限拒绝优先。
5、复制和移动文件及文件夹
图片
(1)准备磁盘分区
- 1、在虚拟机→文件服务器FileServer01→关机→新增 1块1G硬盘
- 2、在文件服务器FileServer01→运行:diskmgmt.msc→打开 磁盘管理→选择:磁盘1(1G未分配)→右键:联机
→右键:初始化磁盘→确定
→选中:未分配→右键:新建简单卷→一路默认下一步→驱动号:E→完成→打开:资源管理器→多了一块 E盘
(2)准备文件夹
同一个磁盘分区复制和剪切,不同的磁盘分区复制和剪切。
- 1、C盘根下创建文件夹:data、tools
- 2、E盘根下创建文件夹:common
- 3、C盘→data文件夹下→新建123.txt文件并赋予用户:IDC肥城财务部 完全控制的权限→123.txt文件→属性→安全→编辑→123的权限→添加:IDC肥城财务部 用户→赋予完全控制的权限→允许:完全控制(勾选)→应用→确定→确定
(观察用户在文件复制和剪切移动时的变化)
(3)同一个磁盘分区下复制
复制:将C盘data文件夹下的123.txt文件→复制到→C盘tools文件夹→查看123.txt文件权限→IDC肥城财务部 用户权限已经没了→之后删除123.txt文件。同一个磁盘分区下复制的时候是要继承新的文件夹tools的权限,原来的文件权限会丢失
(4)同一个磁盘分区下剪切
剪切:将C盘data文件夹下的123.txt文件→剪切到→C盘tools文件夹→查看123.txt文件权限→IDC肥城财务部 用户权限已经没了。同一个磁盘分区下剪切的时候是要保留原来文件夹data的权限
(5)不同磁盘分区下复制
复制:将C盘tools文件夹下的123.txt文件→复制到E盘common文件夹→查看123.txt文件权限→IDC肥城财务部 用户权限已经没了→之后删除123.txt文件。不同磁盘磁盘分区下复制的时候是要继承新的文件夹common的权限,原来的文件权限会丢失
(6)不同磁盘分区下剪切
剪切:将C盘tools文件夹下的123.txt文件→剪切到→E盘common文件夹→查看123.txt文件权限→IDC肥城财务部 用户权限已经没了。不同磁盘分区下剪切的时候是要继承新的文件夹common的权限,原来的文件权限会丢失
6、利用NTFS权限管理数据
7、压缩文件
8、加密文件系统
9、创建文件服务器
五、灾难恢复(操作主机)
1、操作主机
操作主机角色(operations master roles)也被称为灵活单主机操作(flexible single master operations,FSMO)roles。只读域控制器无法扮演操作主机角色。
Active Directory域服务(AD DS)5个操作主机角色:
(1)架构操作主机(schema operations master)
(2)域命名操作主机(domain naming ioperations master)
(3)RID操作主机(relative identifier operations master)
(4)PDC模拟器操作主机(PDC emulator operations master)
(5)基础结构操作主机(infrastructure operations master)
一个林中只有一台架构操作主机与一台域命名操作主机,这两个林级别的角色默认都是由林根域内的第一台域控制器扮演。而每一个域拥有自己的RID操作主机、PDC模拟器操作主机、基础结构操作主机,这3个域级别的角色默认都是由该域内的第一台域控制器扮演。
2、操作主机介绍
2.1、架构操作主机(schema operations master)
(1)
(1)
(1)
(1)
(1)
(1)
2.2、域命名操作主机(domain naming ioperations master)
(1)
(1)
(1)
(1)
(1)
(1)
2.3、RID操作主机(relative identifier operations master)
(1)
(1)
(1)
(1)
(1)
(1)
2.4、PDC模拟器操作主机(PDC emulator operations master)
(1)
(1)
(1)
(1)
(1)
(1)
2.5、基础结构操作主机(infrastructure operations master)
(1)
(1)
(1)
(1)
(1)
(1)
3、如何找出扮演操作主机角色的域控制器
3.1、利用管理控制台找出扮演操作主机的域控制器
在建立AD DS域时,系统会自动选择域控制器来扮演操作主机。
| 角色 | 管理控制台 |
|---|---|
| 架构操作主机 | Active Directory架构 |
| 域命名操作主机 | Active Directory域和信任关系 |
| RID操作主机 | Active Directory用户和计算机 |
| PDC模拟器操作主机 | Active Directory用户和计算机 |
| 基础结构操作主机 | Active Directory用户和计算机 |
(1)找出架构操作主机
(2)找出域命名操作主机
(3)找出RID、PDC模拟器操作主机、基础结构操作主机
3.2、利用命令找出扮演操作主机的域控制器
(1)查看扮演操作主机角色的域控制器命令
打开Windows Powershell窗口,执行查看扮演操作主机角色的域控制器命令:netdom query fsmo
(2)查看扮演域级别操作主机角色的域控制器命令
(3)查看扮演林级别操作主机角色的域控制器命令
3.3、
3.4、
灾难恢复(两种方式)
方式1、AD域控角色转移(适合在AD主域控制器DC001还能够使用时,需要升级AD控制器,升级系统时的操作),Transfer传送
1.1、查看控制器和FSMO角色(DC001)
在第一台域控制器DC001上,看到域控制器只有2台:DC001、DC002。
查看扮演操作主机FSMO角色的域控制器命令:netdom query fsmo,可以看到5大角色均位于DC001域控制器上。
1.2、RID 操作主机角色更改传送
(1)传送前必须先与其连接
打开→服务器管理器→工具→AD用户和计算机→右击contoso.com域→选择 操作主机→RID→更改→当前域控制器是操作主机,要将操作主机角色传送到其他计算机上,你必须先与其连接。
(2)更改域控制器(DC001改为DC002)
AD用户和计算机→右击contoso.com域→选择 更改域控制器→更改目录服务器→由当前目录服务器DC001.contoso.com更改为→此域控制器或AD LDS实例→选择:DC002.contoso.com 类型为GC→确定
确定之后,用户计算机处会改为DC002→右击contoso.com域→选择 操作主机→RID→更改→你确定要传送操作主机?→是→成功传送了操作主机角色。
1.3、PDC 操作主机角色更改传送
AD用户和计算机DC002→右击contoso.com域→选择 操作主机→PDC→更改→你确定要传送操作主机?→是→成功传送了操作主机角色。
1.4、基础结构 操作主机角色更改传送
AD用户和计算机DC002→右击contoso.com域→选择 操作主机→基础结构→更改→你确定要传送操作主机?→是→成功传送了操作主机角色。
1.5、域命名 操作主机角色更改传送
打开→AD域和信任关系→右击 AD域和信任关系→选择 操作主机→更改→确实要将操作主机角色转移到不同的计算机吗?→已成功转移操作主机。
报错解决:无法转移操作主机角色,因为:请求的 FSMO 操作失败。不能连接当前的 FSMO 盒。https://blog.youkuaiyun.com/zyqml/article/details/4233152。修改网络连接高级属性参数→电脑开始 菜单→右键→设备管理器→网络适配器→Intel®82574L Gigabit Network Connection 属性→高级→将流量控制Flow Control参数值:Disabled→将 (数据)校验IPv4 Checksum Offload参数值:Disabled→将 (IP)分段segmentation Offload参数值:Disabled
以管理员身份→打开cmd命令提示符窗口→查询FSMO 5大角色迁移状况→可以看到只剩下架构主机角色未迁移。
1.6、架构 操作主机角色更改传送
(1)需要首先注册schmmgmt.dll→管理员身份运行cmd输入命令:regsvr32 schmmgmt.dll→回车后提示注册成功
(2)运行窗口中输入mmc并回车→打开控制台1→选择 文件 →添加或删除管理单元→Active Directory架构→添加→确定
(3)更改Active Directory域控制器(DC001改为DC002)
选中刚添加的AD架构→并右击→更改Active Directory域控制器→更改目录服务器→由当前目录服务器DC001.contoso.com更改为→此域控制器或AD LDS实例→选择:DC002.contoso.com 类型为GC→确定
确定之后,AD架构DC002→右击→选择 操作主机→更改架构主机→更改→你确定要更改操作主机?→是→成功传送了操作主机。
Active Directory 架构管理单元未连接的解决方法:
(1)打开Windows PowerShell (管理员)
(2)连接到 Domain Controller命令:
$credential = Get-Credential
Connect-ADServiceAccount -Credential $credential
(3)重启 Active Directory 服务命令:
Restart-Service NTDS -Force
(4)确认连接是否成功命令:
Get-ADDomainController -Filter * | Select-Object -Property Name, IPv4Address, Connected
1.7、确认 扮演操作主机FSMO的5大角色(DC002)
命令:netdom query fsmo
查看扮演操作主机FSMO角色的域控制器命令:netdom query fsmo,可以看到5大角色均位于DC002域控制器上。(已经在DC002上了,说明角色都更改传送成功)
1.8、使用命令转移操作主机FSMO的5大角色
以管理员身份打开powershell→将DC001转移FSMO5大角色到DC002→执行命令:
Move-ADDirectoryServerOperationMasterRole -Identity "DC002" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,DomainNamingMaster,SchemaMaster
方式2、AD辅助域控强制升级为主域控制器(Seize夺取)(Seize夺取适合在主AD域控DC001已经挂了情况下,辅助AD域控DC002强制夺取5大角色)
1.1、查看控制器和FSMO角色
此时FSMO的5大角色全部在DC002上,操作为DC001 Seize夺取DC002,DC001强制升级为FSMO。
1.2、利用命令再夺回FSMO 5大角色
模拟环境:有FSMO的5大角色的DC002域控宕机无法开机。此时就必须登录到DC001辅助域控制器上进行夺取操作,以便让域能够继续正常工作。
登录DC001→以管理员身份打开powershell→DC001强制夺取FSMO5大角色→执行命令:
Move-ADDirectoryServerOperationMasterRole -Identity “DC001” -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,DomainNamingMaster,SchemaMaster -Force
1.3、确认 DC001上强制夺取FSMO5大角色成功
主域控宕机无法恢复后,如何配置辅助域控继续工作?
-
情况如下:
系统基础结构如下:一个主域控,一个辅助域控且都安装AD与DNS集成区。 -
如果:主域控宕机且无法恢复,请问辅助域应做些什么才能替代主域控继续工作?
-
- 第一步:在辅助域控上清除主域控AD数据,再在DNS中清除主域控DNS数据的相关数据(A记录,Cname记录,SRV记录)。
-
- 第二步:在辅助域控上把五个操作主机角色转移到本机。
-
- 第三步:在辅助域控上把GC设置为本机。
-
- 第四步:在辅助域控上,更改本机IP地址为主域控IP地址。因为客户端的DNS是指向主域控的IP地址。
六、AD DS与防火墙
1、AD DS相关端口
1.1、将客户端计算机加入域、用户登录时会用到的端口
2.1、计算机登录时会用到的端口
3.1、验证域信任时会用到的端口
4.1、访问文件资源时会用到的端口
5.1、执行DNS查找时会用到的端口
6.1、执行AD DS数据库复制时会用到的端口
7.1、文件复制服务(FRS)会用到的端口
- 全局编录服务器和普通的DC之间存储的数据库不完全相同,全局编录服务器上信息更多,这些多出来的信息主要用于跨多个域访问信息。
- 全局服务编录器默认使用3268和3269端口,就是让客户端或者成员服务器上的服务应用访问全局编录服务器的。
目前环境是单林单域,没有跨域访问的需要,可以不用开这两个端口,客户端可以通过其它端口就能解决数据访问。 - 环境中每一台DC都是安装了全局编录服务,也就都是全局编录服务器,所有服务器上的数据都是一样的,用户端访问本地DC也就相当于访问了全局编录服务器。
- 像exchange服务器或者其他需要在多个域这种环境中使用的应用服务器到DC之间需要开3268和3269。
2、
3、
七、磁盘
1、磁盘介绍
基本知识:
在数据被存储到磁盘之前,该磁盘必须被划分成一个或数个磁盘分区。
在磁盘内有一个被称为磁盘分区表的区域,用来存储磁盘分区的相关数据,如每一个磁盘分区的起始地址、结束地址、是否为活动(active)的磁盘分区等信息。
- 磁盘按分区表的格式分为两种磁盘格式:
-
- 主引导记录 Master Boot Record,MBR 磁盘
-
- 全局唯一标识分区表 GUID Partition Table,GPT 磁盘
1.1、MBR 磁盘
- MBR 磁盘使用的是旧的传统磁盘分区表格式,其磁盘分区表存储在MBR内。(如图)
- MBR位于磁盘最前端,使用传统BIOS(基本输入输出系统,是固化在计算机主板上一个 ROM 芯片上的程序)的计算机,其启动时 BIOS会先读取 MBR,并将控制权交给 MBR 内的程序代码,然后由此程序代码来继续后续的启动工作。
- MBR磁盘所支持的硬盘最大容量为2.2TB(1TB=1024GB)。
1.2、GPT 磁盘
- GPT 磁盘是一种新的磁盘分区表格式,其磁盘分区表存储在GPT内。(如图)
- GPT 磁盘位于磁盘的前端,而且它有主分区表与备份分区表,可提供容错功能。使用新式 UEFI BIOS 的计算机,其BIOS会先读取GPT,并将控制权交给GPT内的程序代码,然后由此程序代码来继续后续的启动工作。
- GPT磁盘所支持的硬盘最大容量超过2.2TB。
可以利用图形接口的磁盘管理工具或Diskpart命令将空的 MBR磁盘转换成 GPT磁盘,或将空的GPT磁盘转换成MBR磁盘。
1.3、基本磁盘
1.4、动态磁盘
2、管理磁盘
2.1、
3、
3.1、
八、DHCP
DHCP动态主机配置协议(Dynamic Host Configuration Protocol)
1、Windows Server 2019 安装 DHCP 服务
(1)准备(网络及AD环境)
1、首先选择虚拟网络编辑器,取消使用本地DHCP服务。
2、DHCP服务器先设置静态地址,计算机改名为:DHCP。
3、加域,然后重启计算机。(在AD域环境中安装DHCP)
(2)服务器管理器
管理→添加角色和功能
(3)开始之前
下一步
(4)安装类型(默认)
基于角色或基于功能的安装→下一步
(5)服务器选择(默认)
从服务器池中选择服务器
(6)选择服务器角色:DHCP
服务器角色→勾选DHCP→添加功能→下一步
(7)选择功能
默认→下一步
(8)DHCP 服务器
下一步
(9)确认
安装
(10)结果
关闭
这样就结束了,先不要点完成DHCP配置。可以先不要授权。配置完再授权也不迟。
2、Windows Server 2019 配置 DHCP 服务
(1)打开 DHCP
服务器管理器→工具→DHCP
(2)DHCP服务器 和 Win已加域的客户端 上 安装wireshare抓包工具
(3)IPv4 新建作用域
DHCP服务→dhcp.contoso.com→IPv4→右键→新建作用域 (可以根据实际子网创建多个作用域)
1、新建作用域向导
下一步
2、作用域名称
输入作用域的名称→下一步
3、IP 地址范围
设置 此作用域分配的IP地址范围
起始IP地址:192.168.10.1
结束IP地址:192.168.10.150
4、添加 排除和延迟
添加排除的IP地址范围,须在上一步设置的IP地址范围内的IP地址进行排除。
排除指服务器不分配的地址范围为:192.168.10.1-192.168.10.44和192.168.10.111-192.168.10.112
5、租用期限
设置DHCP租用天数,一个客户端从此作用域使用IP地址的时间长短,默认为 “8” 天。可自定义设置。
6、配置 DHCP 选项(设置 网关、DNS、WINS)
7、路由器(默认网关)
8、域名称和 DNS 服务器
9、WINS 服务器
10、激活作用域
作用域激活后客户端才可获得地址租用。激活。
11、完成
(4)未授权
查看 作用域地址池。IPv4有红色下标表示还未授权。
(5)授权
DHCP服务→dhcp.contoso.com→右键→授权
刷新→变绿→授权成功
为什么DHCP要授权?
通过DHCP授权机制,DHCP服务器在服务于客户端之前,需要验证是否已在AD中被授权。如果未经授权,将不能为客户端分配IP地址。这样就避免了由于网络中出现错误配置的DHCP服务器而导致的大多数意外网络故障。
(6)DHCP服务器和客户端抓包测试
1、客户端 手动配置的静态IP
客户端固定静态ip:192.168.10.88(手动给网络中的主机配置的静态IP地址)
2、执行ipconfig /release命令,清空原有的IP地址
操作失败,因为是静态固定ip,修改,改为自动获取ip。
3、客户端 自动获得动态IP地址
因为要DHCP给客户端自动分配IP:IPv4属性→常规→修改为:自动获得IP地址→确定
4、DHCP服务器和客户端同时打开Wireshark抓包测试
5、执行ipconfig /release命令,释放清空原有的IP地址
释放清空当前的IP地址命令:ipconfig /release
6、再执行ipconfig /renew命令,重新获取IP地址
重新获取IP地址命令:ipconfig /renew
7、在DHCP服务器中,查看是否已租用
DHCP→IPv4→地址租用→客户端IP地址:192.168.10.45→该IP地址不在不分配的地址范围内→已分配成功。
服务器不分配的地址范围为:192.168.10.1-192.168.10.44和192.168.10.111-192.168.10.112
8、查看 win客户端、DHCP服务器抓包
9、查看 DHCP客户端抓包分析(DHCP原理)
- 1、客户端发送
客户端发送→DHCP Discover(广播):用于发现当前网络中的DHCP服务器端
源ip:0.0.0.0 UDP报文封装 源端口:68
目的ip:255.255.255.255 UDP报文封装 目的端口:67
- 2、服务器端发送
服务器端发送→DHCP Offer(单播):携带分配给客户端的ip地址
源ip:192.168.10.6 UDP报文封装 源端口:67
目的ip:255.255.255.255 UDP报文封装 目的端口:68
UDP报文封装携带给客户端的ip地址:192.168.10.45
- 3、客户端发送
客户端发送→DHCP Request(广播):告知服务器端自己将使用该ip地址
源ip:0.0.0.0 UDP报文封装 源端口:68
目的ip:255.255.255.255 UDP报文封装 目的端口:67
UDP报文封装携带告知服务器端自己将使用的ip地址:192.168.10.45
- 4、服务器端发送
服务器端发送→DHCP Ack(单播):最终确认,告知客户端可以使用该ip地址
源ip:192.168.10.6 UDP报文封装 源端口:67
目的ip:255.255.255.255 UDP报文封装 目的端口:68
UDP报文封装携带最终确认给客户端的ip地址:192.168.10.45
3、配置 DHCP 保留
(1)保留特定的 IP 地址
如果用户想保留特定的IP地址给指定的客户机,以便DHCP客户机在每次启动时都获得相同的IP地址,就需要将该IP地址与客户机的MAC地址绑定。(保留可以确保 DHCP 客户端永远可以得到同一 IP 地址)
(2)创建地址保留
- (1)DHCP服务→dhcp.contoso.com→IPv4→作用域→保留→右键→新建保留
- (2)新建保留→保留名称→ip地址(192.168.10.77分配给经理办公室的电脑)→mac地址(客户端上ipconfig /all查找物理MAC地址)→描述→类型(默认)→添加
- (3)→添加保留成功
(3)验证地址保留
- (1)检查客户端上→IPv4协议版本 属性→为自动获取
- (2)客户端上CMD管理员身份运行
→先执行→释放清空当前的IP地址命令:ipconfig /release
→再执行→重新获取IP地址命令:ipconfig /renew
此时经理办公室IP已经保留绑定成功为192.168.10.77 - (3)验证:检查 DHCP作用域→地址租用→刷新→客户端ip地址:192.168.10.77、租用截至日期:保留(活动的)客户端正在使用的地址。
4、配置 DHCP选项
(1)配置 DHCP 选项
1、选项类型:
服务器选项是针对这台DHCP服务器生效的相关参数。
作用域选项是针对作用域生效的相关参数。
如果同时配置了服务器选项和作用域选项,生效优先级:作用域选项>服务器选项。
2、配置 作用域选项
作用域选项→右键→配置选项→作用域选项对话框配置相关参数。
3、配置 服务器选项
服务器选项→右键→配置选项→服务器选项对话框配置相关参数。
(2)配置 DHCP 类别选项:定义用户类
1、定义用户类
DHCP服务→dhcp.contoso.com→IPv4→定义用户类
→DHCP用户类→添加→新建类→显示名称、描述、二进制:IT→确定
→DHCP用户类→已添加:技术部→关闭
2、新建策略
DHCP服务→dhcp.contoso.com→IPv4→作用域→策略→右键→新建策略→
→DHCP策略配置向导→基于策略的IP地址和选项分配→策略名称:testIT→下一步
→为策略配置条件→添加→
→添加/编辑条件→条件:用户类→值:技术部→添加→确定
→下一步→
→为策略配置设置→为策略配置IP地址范围:是→起始ip地址、结束ip地址→下一步→
→可选择一个可用选项:名称服务器→ip地址→添加→下一步
→完成
3、定义用户类策略配置完成
(3)客户端测试
1、DHCP用户类策略命令
客户端管理员身份运行cmd输入→配置DHCP用户类策略命令:ipconfig /setclassid “Ethernet” IT
2、释放、重新获取IP地址
释放清空当前的IP地址命令:ipconfig /release
重新获取IP地址命令:ipconfig /renew
发现ip地址192.168.10.77已经在配置的策略ip范围内。
3、查看 DHCPv4类 ID
ipconfig /all命令→查看 DHCPv4类 ID:IT 用户类
删除用户类命令:ipconfig /setclassid “Ethernet0”
4、DHCP中继代理
如果DHCP服务器与客户端分别位于不同的网络,由于DHCP消息以广播为主,而连接这两个网络的路由器不会将此广播消息转发到另外一个网络,因此限制了DHCP的有效使用范围。
(1)跨网络的DHCP服务器
(2)配置DHCP中继代理
1、准备:
- (1)DHCP服务器:DHCP 网卡1:VMnet1,IP:192.168.10.6
- (2)GW服务器:网关GW 两张网卡。网卡1:VMnet1,子网地址192.168.10.0;网卡2:VMnet3,子网地址192.168.20.0
- (3)client1客户端1:client1 网卡1:VMnet1,子网地址192.168.10.0,DHCP自动获取
- (4)client2客户端2:client2 网卡2:VMnet3,子网地址192.168.20.0,DHCP自动获取
2、DHCP创建作用域
3、GW服务器 安装路由和远程访问
4、client1客户端1
5、client2客户端2
(3)验证与测试
5、DHCP 数据库
(1)
C:\Windows\System32\dhcp
DNS
查询dns信息
dnscmd /Info /LocalNetPriorityNetMask
Dnscmd /Config /LocalNetPriorityNetMask 0x000001FF
(一)Windows Server打开相关操作界面的命令总结
Windows Server 打开相应的程序、服务、文件夹、文档或Internet资源的相关命令。
- Windows Server 版本的比较,微软官方链接:https://learn.microsoft.com/zh-cn/windows-server/get-started/editions-comparison?pivots=windows-server-2025
1、控制面板:(如何打开)
(1)win+r运行输入control panel、control
(2)开始-右键-控制面板
2、Windows设置:(如何打开)
(1)win+i
(2)开始-设置
3、服务:(如何打开)
(1)win+r运行输入services.msc
(2)右键-任务管理器-服务
(3)开始-windows管理工具-服务
4、证书:(如何打开)
(1)当前用户证书,win+r运行输入certmgr.msc
(2)本地计算机证书,win+r运行输入certlm.msc
5、网络连接:(如何打开)
win+r运行输入ncpa.cpl
6、任务管理器:(如何打开)
(1)win+r运行输入taskmgr
(2)ctrl+alt+delete
(3)Win+X
7、系统属性→计算机名、硬件、高级-环境变量、远程:(如何打开)
运行 输入sysdm.cpl,此命令打开系统属性的4个相关管理界面:
(1)计算机名称
(2)硬件
(3)高级-环境变量
(4)远程
8、修改计算机名称:(如何打开)
(1)运行 输入sysdm.cpl,更改,计算机名称,重启之后生效。
(2)以管理员运行powershell,执行hostname查看一下当前的计算机名称,执行Rename-Computer -NewName DC001,重启,重启之后计算机名称修改为DC001。
9、开启远程桌面:(如何打开)
(1)Windows server、windows11安装后开启远程桌面,选择一个文件夹打开-此电脑-右键-属性-高级系统设置-系统属性-远程-允许远程连接到此计算机
(2)win+r运行 输入sysdm.cpl→系统属性→远程→允许远程连接到此计算机
10、计算机管理:(如何打开)
win+r运行输入compmgmt.msc
计算机管理(本地)
- +系统工具
-
- 任务计划程序
-
- 事件查看器
-
- 共享文件夹
-
- 性能
-
- 设备管理器
- 存储
-
- Windows Server 备份
-
- 磁盘管理
- 服务和应用程序
-
- Internet Information Services (llS)管理器
-
- 路由和远程访问
-
- 服务
-
- WMI 控件
- WMI 控件
11、磁盘管理:(如何打开)
win+r行 输入diskmgmt.msc
12、事件查看器:(如何打开)
(1) win+r运行输入eventvwr.msc
(2)开始-右键-控制面板-系统和安全-查看事件日志
13、telnet测试某个端口是否可以访问:
telnet测试某个端口是否可以访问:win+r运行输入cmd以管理员身份运行。
telnet语法格式:
(1)telnet IP 端口号 :telnet 192.168.10.1 53
(2)telnet 域名 端口号 :telnet contoso.com.cn 53
进入后退出telnet:按CTRL+]键,输入quit
Microsoft Telnet> quit
14、netstat –ano查看进程和端口:
(1)查看进程和端口:netstat –ano 列出系统中所有网络连接和进程信息
(2)查看系统中占用80端口的PID进程信息(该端口被哪个pid进程所占用)
netstat –ano |findstr 端口号
netstat –ano |findstr 80
格式:
| 协议 | 本地地址 | 外部地址 | 状态 | PID |
| TCP | 0.0.0.0:80 | 0.0.0.0:0 | Listening | 4 |
15、查看PID进程号对应的进程名称、查看进程名称对应的PID:
(1)查看PID对应的进程名称:
tasklist | findstr PID进程号
tasklist | findstr 3364
(2)查看进程名称对应的PID:
tasklist | findstr name进程名称
tasklist | findstr MicrosoftEdgeUpdate.exe
17、刷新DNS解析缓存:(如何打开)
ipconfig /flushdns
16、本地组策略(组策略编辑器):(如何打开)
本地组策略(组策略编辑器):win+r运行输入 gpedit.msc
17、域组策略:(如何打开)
域组策略:win+r运行输入 gpmc.msc
18、强制更新组策略命令:(如何打开)
强制更新组策略命令(刷新本地和基于Active Directory的组策略设置):以管理员身份运行Powershell输入 gpupdate /force
19、查看策略的结果集并导出:(如何打开)
(1)win+r运行输入rsop.msc(查看本机所加载的GPO组策略对象)
(2)导出用户或计算机的组策略设置和策略的结果集:
导出用户或计算机的组策略设置和策略的结果集命令:
gpresult /H C:\Users\tempadmin\Desktop\1\1.html
19、Active Directory用户和计算机:dsa.msc:(如何打开)
20、从源域控制器DC开始对目标域控制器DC进行复制。
(1)使用 AD 站点和服务进行复制:
从 <源 DC01> 复制到 <目标 DC02>
(2)运行使用Repadmin命令:
从 <源 DC01> 复制到 <目标 DC02>命令:
Repadmin /replicate DC02.contoso.com DC01.contoso.com “DC=contoso,DC=com”
21、查询域中部署的站点
查询域中部署的站点:
Dsquery site
查询域中部署的站点导出到1.txt文件:
Dsquery site >C:\Users\tempadmin\Desktop\1\1.txt
22、查询某个站点内的域控
查询QQJN站点内的域控:Dsquery server -site QQJN
23、Windows Server 列出所有已安装的补丁,包括补丁的 KB 编号、描述和安装日期
在Powershell中运行命令:Get-HotFix,此命令会列出所有已安装的补丁,包括补丁的 KB 编号、描述和安装日期。
24、查看AD中某个用户最后一次登录的时间
(1)AD用户和计算机中可以右键打开用户属性,切换到属性编辑器页,下的LastLogon属性中看到用户最后一次登录的时间。
(2)用命令查看AD中某个用户最后一次登录的时间
Get-ADUser -Identity “用户名” -Properties LastLogonDate | Select-Object Name, LastLogonDate
示例:
Get-ADUser -Identity “kuaiji” -Properties LastLogonDate | Select-Object Name, LastLogonDate
25、AD域中远程重启某台计算机命令
contoso.com域中在DC01远程重启计算机名DC02 ip为192.168.10.2命令:
Restart-Computer -ComputerName DC02.contoso.com -Force
Restart-Computer -ComputerName 192.168.10.2 -Force
26、打开 Active Directory 架构 控制台
Active Directory 架构,默认是没有的。
-
(1)先Win+R运行:regsvr32 schmmgmt.dll
-
(2)然后再Win+R运行:MMC→文件→添加删除管理单元→Active Directory 架构→添加
27、客户端加域的日志(哪台windows客户端用哪台域控服务器加的域)
客户端上的C:\Windows\debug\netsetup.log日志
-
1、win客户端C:\Windows\debug\netsetup.log删除
-
2、win客户端加域:contoso.com
-
3、打开客户端上的C:\Windows\debug\netsetup.log日志
04/16/2025 15:55:52:461 -----------------------------------------------------------------
04/16/2025 15:55:52:461 NetpValidateName: checking to see if 'DCCLIENT' is valid as type 1 name
04/16/2025 15:55:52:461 NetpCheckNetBiosNameNotInUse for 'DCCLIENT' [MACHINE] returned 0x0
04/16/2025 15:55:52:461 NetpValidateName: name 'DCCLIENT' is valid for type 1
04/16/2025 15:55:52:539 -----------------------------------------------------------------
04/16/2025 15:55:52:539 NetpValidateName: checking to see if 'DCClient' is valid as type 5 name
04/16/2025 15:55:52:539 NetpValidateName: name 'DCClient' is valid for type 5
04/16/2025 15:55:52:571 -----------------------------------------------------------------
04/16/2025 15:55:52:571 NetpValidateName: checking to see if 'contoso.com' is valid as type 3 name
04/16/2025 15:55:52:649 NetpCheckDomainNameIsValid [ Exists ] for 'contoso.com' returned 0x0
04/16/2025 15:55:52:649 NetpValidateName: name 'contoso.com' is valid for type 3
04/16/2025 15:57:56:337 -----------------------------------------------------------------
04/16/2025 15:57:56:337 NetpDoDomainJoin ####开始加域程序
04/16/2025 15:57:56:337 NetpDoDomainJoin: using current computer names
04/16/2025 15:57:56:337 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0
04/16/2025 15:57:56:337 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0
04/16/2025 15:57:56:368 NetpMachineValidToJoin: 'DCCLIENT' ####获取机器名'DCCLIENT'
04/16/2025 15:57:56:383 NetpMachineValidToJoin: status: 0x0 ####状态 0x0 OK
04/16/2025 15:57:56:383 NetpJoinDomain
04/16/2025 15:57:56:383 HostName: DCClient
04/16/2025 15:57:56:383 NetbiosName: DCCLIENT
04/16/2025 15:57:56:383 Domain: contoso.com
04/16/2025 15:57:56:383 MachineAccountOU: (NULL)
04/16/2025 15:57:56:383 Account: administrator@contoso.com ####加域使用的账号
04/16/2025 15:57:56:383 Options: 0x25
04/16/2025 15:57:56:524 NetpValidateName: checking to see if 'contoso.com' is valid as type 3 name ####使用DNS查询填入的域名是否存在
04/16/2025 15:57:56:680 NetpCheckDomainNameIsValid [ Exists ] for 'contoso.com' returned 0x0 ####检查 'contoso.com' 域名返回 是否有效 [存在]
04/16/2025 15:57:56:680 NetpValidateName: name 'contoso.com' is valid for type 3
04/16/2025 15:57:56:680 NetpDsGetDcName: trying to find DC in domain 'contoso.com', flags: 0x40001010 ####试图在域名“contoso.com”中找到DC
04/16/2025 15:58:11:680 NetpDsGetDcName: failed to find a DC having account 'DCCLIENT$': 0x525, last error is 0x0 ####未能找到具有帐户‘ dclient $’的DC
04/16/2025 15:58:13:884 NetpDsGetDcName: status of verifying DNS A record name resolution for 'DC001.contoso.com': 0x0 ####验证DNS的状态:DC001.contoso.com的记录名称解析
04/16/2025 15:58:13:884 NetpDsGetDcName: found DC '\\DC001.contoso.com' in the specified domain ####在指定的域中找到DC ‘\\DC001.contoso.com’
04/16/2025 15:58:13:884 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
04/16/2025 15:58:13:884 NetpDisableIDNEncoding: using FQDN contoso.com from dcinfo ####使用FQDN contoso.com从dc信息
04/16/2025 15:58:13:884 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'contoso.com' succeeded ####在“contoso.com”上的DnsDisableIdnEncoding(UNTILREBOOT)成功
04/16/2025 15:58:13:884 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0 ####状态 0x0 成功
04/16/2025 15:58:14:102 NetpJoinDomainOnDs: status of connecting to dc '\\DC001.contoso.com': 0x0 ####连接到dc'\\DC001.contoso.com'的状态 0x0 成功
04/16/2025 15:58:14:102 NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: contoso.com ####首选Dns“后缀”默认为Dns域名“contoso.com”
04/16/2025 15:58:14:118 NetpProvisionComputerAccount: ####Netp预置计算机帐户
04/16/2025 15:58:14:118 lpDomain: contoso.com ####lp域名:contoso.com
04/16/2025 15:58:14:118 lpHostName: DCClient ####lp主机名:dclient
04/16/2025 15:58:14:118 lpMachineAccountOU: (NULL)
04/16/2025 15:58:14:118 lpDcName: DC001.contoso.com ####lp域控名称:DC001.contoso.com
04/16/2025 15:58:14:118 lpMachinePassword: (null)
04/16/2025 15:58:14:118 lpAccount: administrator@contoso.com ####有权限加域的管理员账户
04/16/2025 15:58:14:118 lpPassword: (non-null)
04/16/2025 15:58:14:118 dwJoinOptions: 0x25
04/16/2025 15:58:14:118 dwOptions: 0x40000003
04/16/2025 15:58:14:352 NetpLdapBind: Verified minimum encryption strength on DC001.contoso.com: 0x0 ####在DC001.contoso.com上验证了最小加密强度
04/16/2025 15:58:14:352 NetpLdapGetLsaPrimaryDomain: reading domain data ####读取域数据
04/16/2025 15:58:14:352 NetpGetNCData: Reading NC data ####读取NC数据
04/16/2025 15:58:14:430 NetpGetDomainData: Lookup domain data for: DC=contoso,DC=com ####查找域数据:DC=contoso,DC=com
04/16/2025 15:58:14:430 NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=contoso,DC=com ####查找交叉引用数据:CN=Partitions,CN=Configuration,DC=contoso,DC=com
04/16/2025 15:58:14:430 NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0 ####检索域数据的结果 0x0 成功
04/16/2025 15:58:14:446 NetpCheckForDomainSIDCollision: returning 0x0(0).
04/16/2025 15:58:14:446 NetpGetComputerObjectDn: Cracking DNS domain name contoso.com/ into Netbios on \\DC001.contoso.com ####破解DNS域名contoso.com/进入Netbios在\\DC001.contoso.com
04/16/2025 15:58:14:446 NetpGetComputerObjectDn: Crack results: name = CONTOSO\ ####破解结果:name = CONTOSO\
04/16/2025 15:58:14:446 NetpGetComputerObjectDn: Cracking account name CONTOSO\DCCLIENT$ on \\DC001.contoso.com ####在\\DC001.contoso.com上破解帐户名称CONTOSO\DCCLIENT$
04/16/2025 15:58:14:462 NetpGetComputerObjectDn: Crack results: Account does not exist ####破解结果:账号不存在
04/16/2025 15:58:14:462 NetpCreateComputerObjectInDs: NetpGetComputerObjectDn failed: 0x534 ####Netp获取计算机对象Dn失败
04/16/2025 15:58:14:462 NetpProvisionComputerAccount: LDAP creation failed: 0x534
04/16/2025 15:58:14:462 ldap_unbind status: 0x0
04/16/2025 15:58:14:462 NetpJoinCreatePackagePart: status:0x534.
04/16/2025 15:58:14:462 NetpJoinDomainOnDs: Function exits with status of: 0x534
04/16/2025 15:58:14:462 NetpJoinDomainOnDs: status of disconnecting from '\\DC001.contoso.com': 0x0
04/16/2025 15:58:14:462 NetpResetIDNEncoding: DnsDisableIdnEncoding(RESETALL) on 'contoso.com' returned 0x0
04/16/2025 15:58:14:462 NetpJoinDomainOnDs: NetpResetIDNEncoding on 'contoso.com': 0x0
04/16/2025 15:58:14:462 NetpDoDomainJoin: status: 0x534
04/16/2025 15:58:14:555 -----------------------------------------------------------------
04/16/2025 15:58:14:555 NetpDoDomainJoin
04/16/2025 15:58:14:555 NetpDoDomainJoin: using current computer names
04/16/2025 15:58:14:555 NetpDoDomainJoin: NetpGetComputerNameEx(NetBios) returned 0x0
04/16/2025 15:58:14:555 NetpDoDomainJoin: NetpGetComputerNameEx(DnsHostName) returned 0x0
04/16/2025 15:58:14:555 NetpMachineValidToJoin: 'DCCLIENT'
04/16/2025 15:58:14:555 NetpMachineValidToJoin: status: 0x0
04/16/2025 15:58:14:555 NetpJoinDomain
04/16/2025 15:58:14:555 HostName: DCClient
04/16/2025 15:58:14:555 NetbiosName: DCCLIENT
04/16/2025 15:58:14:555 Domain: contoso.com
04/16/2025 15:58:14:555 MachineAccountOU: (NULL)
04/16/2025 15:58:14:555 Account: administrator@contoso.com
04/16/2025 15:58:14:555 Options: 0x27
04/16/2025 15:58:14:602 NetpValidateName: checking to see if 'contoso.com' is valid as type 3 name
04/16/2025 15:58:14:680 NetpCheckDomainNameIsValid [ Exists ] for 'contoso.com' returned 0x0
04/16/2025 15:58:14:680 NetpValidateName: name 'contoso.com' is valid for type 3
04/16/2025 15:58:14:680 NetpDsGetDcName: trying to find DC in domain 'contoso.com', flags: 0x40001010
04/16/2025 15:58:29:680 NetpDsGetDcName: failed to find a DC having account 'DCCLIENT$': 0x525, last error is 0x0
04/16/2025 15:58:29:837 NetpDsGetDcName: status of verifying DNS A record name resolution for 'DC001.contoso.com': 0x0
04/16/2025 15:58:29:837 NetpDsGetDcName: found DC '\\DC001.contoso.com' in the specified domain
04/16/2025 15:58:29:837 NetpJoinDomainOnDs: NetpDsGetDcName returned: 0x0
04/16/2025 15:58:29:837 NetpDisableIDNEncoding: using FQDN contoso.com from dcinfo
04/16/2025 15:58:29:837 NetpDisableIDNEncoding: DnsDisableIdnEncoding(UNTILREBOOT) on 'contoso.com' succeeded
04/16/2025 15:58:29:837 NetpJoinDomainOnDs: NetpDisableIDNEncoding returned: 0x0
04/16/2025 15:58:29:915 NetpJoinDomainOnDs: status of connecting to dc '\\DC001.contoso.com': 0x0
04/16/2025 15:58:29:915 NetpGetDnsHostName: PrimaryDnsSuffix defaulted to DNS domain name: contoso.com
04/16/2025 15:58:29:915 NetpProvisionComputerAccount:
04/16/2025 15:58:29:915 lpDomain: contoso.com
04/16/2025 15:58:29:915 lpHostName: DCClient
04/16/2025 15:58:29:915 lpMachineAccountOU: (NULL)
04/16/2025 15:58:29:915 lpDcName: DC001.contoso.com
04/16/2025 15:58:29:915 lpMachinePassword: (null)
04/16/2025 15:58:29:915 lpAccount: administrator@contoso.com
04/16/2025 15:58:29:915 lpPassword: (non-null)
04/16/2025 15:58:29:915 dwJoinOptions: 0x27
04/16/2025 15:58:29:915 dwOptions: 0x40000003
04/16/2025 15:58:29:915 NetpLdapBind: Verified minimum encryption strength on DC001.contoso.com: 0x0
04/16/2025 15:58:29:915 NetpLdapGetLsaPrimaryDomain: reading domain data
04/16/2025 15:58:29:915 NetpGetNCData: Reading NC data
04/16/2025 15:58:29:915 NetpGetDomainData: Lookup domain data for: DC=contoso,DC=com
04/16/2025 15:58:29:915 NetpGetDomainData: Lookup crossref data for: CN=Partitions,CN=Configuration,DC=contoso,DC=com
04/16/2025 15:58:29:930 NetpLdapGetLsaPrimaryDomain: result of retrieving domain data: 0x0
04/16/2025 15:58:29:930 NetpCheckForDomainSIDCollision: returning 0x0(0).
04/16/2025 15:58:29:930 NetpGetComputerObjectDn: Cracking DNS domain name contoso.com/ into Netbios on \\DC001.contoso.com
04/16/2025 15:58:29:930 NetpGetComputerObjectDn: Crack results: name = CONTOSO\
04/16/2025 15:58:29:930 NetpGetComputerObjectDn: Cracking account name CONTOSO\DCCLIENT$ on \\DC001.contoso.com
04/16/2025 15:58:29:930 NetpGetComputerObjectDn: Crack results: Account does not exist
04/16/2025 15:58:29:930 NetpGetComputerObjectDn: Cracking Netbios domain name CONTOSO\ into root DN on \\DC001.contoso.com
04/16/2025 15:58:29:930 NetpGetComputerObjectDn: Crack results: name = DC=contoso,DC=com
04/16/2025 15:58:29:930 NetpGetComputerObjectDn: Got DN CN=DCCLIENT,CN=Computers,DC=contoso,DC=com from the default computer container
04/16/2025 15:58:29:930 NetpModifyComputerObjectInDs: Initial attribute values:
04/16/2025 15:58:29:930 objectClass = Computer
04/16/2025 15:58:29:930 SamAccountName = DCCLIENT$
04/16/2025 15:58:29:930 userAccountControl = 0x1000
04/16/2025 15:58:29:930 DnsHostName = DCClient.contoso.com
04/16/2025 15:58:29:930 ServicePrincipalName = HOST/DCClient.contoso.com RestrictedKrbHost/DCClient.contoso.com HOST/DCCLIENT RestrictedKrbHost/DCCLIENT
04/16/2025 15:58:29:930 unicodePwd = <SomePassword>
04/16/2025 15:58:29:930 NetpModifyComputerObjectInDs: Computer Object does not exist in OU
04/16/2025 15:58:29:930 NetpModifyComputerObjectInDs: Attribute values to set:
04/16/2025 15:58:29:930 objectClass = Computer
04/16/2025 15:58:29:930 SamAccountName = DCCLIENT$
04/16/2025 15:58:29:930 userAccountControl = 0x1000
04/16/2025 15:58:29:930 DnsHostName = DCClient.contoso.com
04/16/2025 15:58:29:930 ServicePrincipalName = HOST/DCClient.contoso.com RestrictedKrbHost/DCClient.contoso.com HOST/DCCLIENT RestrictedKrbHost/DCCLIENT
04/16/2025 15:58:29:930 unicodePwd = <SomePassword>
04/16/2025 15:58:30:462 NetpDeleteMachineAccountKey: called for computer 'DCCLIENT'
04/16/2025 15:58:30:462 NetpDeleteTPMKey: Error opening crypto provider 'Microsoft Platform Crypto Provider': 2148073520
04/16/2025 15:58:30:462 NetpDeleteMachineLocalKey: NetpDeleteTPMKey failed with 0x80090030
.NetpGetComputerObjectDn: Cracking DNS domain name contoso.com/ into Netbios on \\DC001.contoso.com
04/16/2025 15:58:30:462 NetpGetComputerObjectDn: Crack results: name = CONTOSO\
04/16/2025 15:58:30:462 NetpGetComputerObjectDn: Cracking account name CONTOSO\DCCLIENT$ on \\DC001.contoso.com
04/16/2025 15:58:30:462 NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=DCCLIENT,CN=Computers,DC=contoso,DC=com
04/16/2025 15:58:30:477 NetpDeleteMachineAccountKey: msDS-KeyCredentialLink attr was not found on computer 'DCCLIENT' - no action required.
04/16/2025 15:58:30:477 NetpDeleteMachineAccountKey: returning Status: 0
04/16/2025 15:58:30:477 ldap_unbind status: 0x0
04/16/2025 15:58:30:477 NetpJoinCreatePackagePart: status:0x0.
04/16/2025 15:58:30:618 NetpJoinDomainOnDs: Setting netlogon cache.
04/16/2025 15:58:30:665 NetpJoinDomainOnDs: status of setting netlogon cache: 0x0
04/16/2025 15:58:30:665 NetpJoinDomainOnDs: Function exits with status of: 0x0
04/16/2025 15:58:30:665 NetpJoinDomainOnDs: status of disconnecting from '\\DC001.contoso.com': 0x0
04/16/2025 15:58:31:493 NetpJoinDomain: NetpCompleteOfflineDomainJoin SUCCESS: Requested a reboot :0x0
04/16/2025 15:58:31:493 NetpDoDomainJoin: status: 0x0
PackageInstall: Found ODJ blob format: 2.
04/16/2025 15:58:30:477 NetpSetPrivileges: Setting backup/restore privileges.
04/16/2025 15:58:30:477 NetpAddPartCollectionToRegistry.
04/16/2025 15:58:30:477 NetpProvGetTargetProductVersion: Target product version: 10.0.10240.16384
04/16/2025 15:58:30:509 NetpAddPartCollectionToRegistry: delete OP state key status: 0x2.
04/16/2025 15:58:30:509 NetpConvertBlobToJoinState: Translating provisioning data to internal format
04/16/2025 15:58:30:509 NetpConvertBlobToJoinState: Selecting version 1
04/16/2025 15:58:30:509 NetpConvertBlobToJoinState: exiting: 0x0
04/16/2025 15:58:30:524 NetpJoin2RequestPackagePartInstall: Successfully persisted all fields
04/16/2025 15:58:30:524 NetpAddPartCollectionToRegistry: Successfully initiated provisioning package installation: 2/2 part(s) installed.
04/16/2025 15:58:30:524 NetpAddPartCollectionToRegistry: status: 0x0.
04/16/2025 15:58:30:524 NetpOpenRegistry: status: 0x0.
04/16/2025 15:58:30:524 NetpSetPrivileges: status: 0x0.
04/16/2025 15:58:30:524 NetpRequestProvisioningPackageInstall: status: 0x0.
04/16/2025 15:58:30:665 -----------------------------------------------------------------
04/16/2025 15:58:30:665 NetpProvContinueProvisioningPackageInstall:
04/16/2025 15:58:30:665 Context: 0
04/16/2025 15:58:30:665 NetpProvGetWindowsImageState: IMAGE_STATE_COMPLETE.
04/16/2025 15:58:30:665 NetpCreatePartListFromRegistry: status: 0x0.
04/16/2025 15:58:30:665 NetpCompleteOfflineDomainJoin
04/16/2025 15:58:30:665 fBootTimeCaller: FALSE
04/16/2025 15:58:30:665 fSetLocalGroups: TRUE
04/16/2025 15:58:30:680 NetpJoinDomainLocal: NetpHandleJoinedStateInfo returned: 0x0
04/16/2025 15:58:31:024 NetpJoinDomainLocal: NetpManageMachineSecret returned: 0x0.
04/16/2025 15:58:31:024 Calling NetpQueryService to get Netlogon service state.
04/16/2025 15:58:31:040 NetpJoinDomainLocal: NetpQueryService returned: 0x0.
04/16/2025 15:58:31:087 NetpJoinDomainLocal: status of setting LSA pri. domain: 0x0
04/16/2025 15:58:31:087 NetpManageLocalGroupsForJoin: Adding groups for new domain, removing groups from old domain, if any.
04/16/2025 15:58:31:399 NetpManageLocalGroupsForJoin: status of modifying groups related to domain 'CONTOSO' to local groups: 0x0
04/16/2025 15:58:31:399 NetpManageLocalGroupsForJoin: INFO: No old domain groups to process.
04/16/2025 15:58:31:399 NetpJoinDomainLocal: Status of managing local groups: 0x0
04/16/2025 15:58:31:446 NetpJoinDomainLocal: status of setting ComputerNamePhysicalDnsDomain to 'contoso.com': 0x0
04/16/2025 15:58:31:446 NetpJoinDomainLocal: Controlling services and setting service start type.
04/16/2025 15:58:31:446 NetpJoinDomainLocal: Updating W32TimeConfig
04/16/2025 15:58:31:446 NetpCompleteOfflineDomainJoin: status: 0x0
04/16/2025 15:58:31:446 NetpJoinProvider2OLContinuePackagePartInstall: ignoring Context=0 (work finished already).
04/16/2025 15:58:31:446 NetpProvContinueProvisioningPackageInstall: Provisioning package installation completed successfully.
04/16/2025 15:58:31:446 NetpProvContinueProvisioningPackageInstall: delete OP state key status: 0x0.
04/16/2025 15:58:31:446 NetpProvContinueProvisioningPackageInstall: status: 0xa99.
04/16/2025 15:58:54:540 -----------------------------------------------------------------
04/16/2025 15:58:54:555 NetpChangeMachineName: from 'DCCLIENT' to 'DCClient' using 'administrator@contoso.com' [0x1000]
04/16/2025 15:58:54:555 NetpChangeMachineName: using DnsHostnameToComputerNameEx
04/16/2025 15:58:54:555 NetpChangeMachineName: generated netbios name: 'DCCLIENT'
04/16/2025 15:58:54:555 NetpDsGetDcName: trying to find DC in domain 'contoso.com', flags: 0x1010
04/16/2025 15:58:54:555 NetpDsGetDcName: found DC '\\DC001.contoso.com' in the specified domain
04/16/2025 15:58:54:555 NetpGetDnsHostName: Read NV Domain: contoso.com
04/16/2025 15:58:54:572 NetpGetComputerObjectDn: Cracking DNS domain name contoso.com/ into Netbios on \\DC001.contoso.com
04/16/2025 15:58:54:572 NetpGetComputerObjectDn: Crack results: name = CONTOSO\
04/16/2025 15:58:54:572 NetpGetComputerObjectDn: Cracking account name CONTOSO\DCCLIENT$ on \\DC001.contoso.com
04/16/2025 15:58:54:572 NetpGetComputerObjectDn: Crack results: (Account already exists) DN = CN=DCCLIENT,CN=Computers,DC=contoso,DC=com
04/16/2025 15:58:54:572 NetpModifyComputerObjectInDs: Initial attribute values:
04/16/2025 15:58:54:572 DnsHostName = DCClient.contoso.com
04/16/2025 15:58:54:572 ServicePrincipalName = HOST/DCClient.contoso.com RestrictedKrbHost/DCClient.contoso.com HOST/DCCLIENT RestrictedKrbHost/DCCLIENT
04/16/2025 15:58:54:572 NetpModifyComputerObjectInDs: Computer Object already exists in OU:
04/16/2025 15:58:54:572 DnsHostName = DCClient.contoso.com
04/16/2025 15:58:54:572 ServicePrincipalName = RestrictedKrbHost/DCCLIENT HOST/DCCLIENT RestrictedKrbHost/DCClient.contoso.com HOST/DCClient.contoso.com
04/16/2025 15:58:54:572 NetpModifyComputerObjectInDs: There are _NO_ modifications to do
04/16/2025 15:58:54:572 ldap_unbind status: 0x0
04/16/2025 15:58:54:572 NetpChangeMachineName: status of setting DnsHostName and SPN: 0x0
04/16/2025 15:58:54:759 NetpChangeMachineName: SetComputerNameEx() returned 0x1
28、Windows Server 补丁更新详细日志
- (1)对于补丁更新成功的事件ID包括:
事件ID 19:表示 Windows 更新成功安装。
事件ID 21:表示 Windows 更新需要重新启动才能完成安装。
这些事件ID可以帮助你确认补丁是否成功安装。 - (2)补丁更新更详细的日志信息,可以查看 C:\Windows\Logs\CBS\CBS.log 文件
- (3)微软安全更新https://aka.ms/PRCLiveEvent
29、Windows Server 安全模式
- (1)进入安全模式运行:msconfig→系统配置→引导→安全引导→应用→重启→无网卡(只能虚拟化控制台登录)
- (2)使用这个选项的唯一警告是,在恢复更改之前,Windows将继续引导进入安全模式。
- (3)退出安全模式运行:msconfig→系统配置→引导→取消勾选:安全引导→应用→重启(远程登录)
- (4)安全模式功能:
安全模式是Windows用于修复操作系统错误的专用模式,是一种不加载任何驱动的最小系统环境(无网卡,排除组策略、第三方程序影响),用安全模式启动电脑,可以方便用户排除问题,修复错误。
30、查看抓包中用户使用NTLMv2协议登录
31、CMD重启计算机的命令
- 命令格式:shutdown -r -t 秒数
-
- -r 参数表示重启计算机。
-
- -t 参数后面跟的是计算机在执行重启前的倒计时时间,单位是秒。
-
- 例如,如果想要计算机在60秒后重启:shutdown -r -t 60。
- 计算机立即重启命令(将倒计时时间设置为0):shutdown -r -t 0
26、Win10 安装组策略 gpedit.msc
Windows 10 家庭版安装组策略 gpedit.msc 及修复“无法为文件 *.admx 找到适当的资源文件”报错的问题。
https://www.pizyds.com/windows-10-gpedit-msc-admx-adml/
- 1、安装组策略 gpedit.msc命令:
Get-ChildItem -Path "C:\Windows\servicing\Packages\*" |
Where-Object{($_.Name -like "Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum")`
-or ($_.Name -like "Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum")} |
foreach {dism.exe /online /norestart /add-package:$_}
- 2、卸载(操作可逆,以下是卸载组策略的脚本:)
Get-ChildItem -Path "C:\Windows\servicing\Packages\*" |
Where-Object{($_.Name -like "Microsoft-Windows-GroupPolicy-ClientExtensions-Package~3*.mum")`
-or ($_.Name -like "Microsoft-Windows-GroupPolicy-ClientTools-Package~3*.mum")} |
foreach {dism.exe /online /norestart /remove-package:$_}
26、Win10 系统更新文件位置:C:\Windows\SoftwareDistribution\Download
win10系统更新文件的具体位置是C盘下的Windows文件夹中的SoftwareDistribution文件夹,然后在SoftwareDistribution文件夹中找到download文件夹。 这个download文件夹里就是win10系统更新文件存放的地方。 需要注意的是,虽然这些更新文件可以被删除,但它们会重新下载并安装,因此在删除之前请确保已经完成所有当前的更新。
26、删除Windows.old文件夹
Windows系统从旧版本升级到新版本时,电脑中会多了一个Windows.old文件夹。 该文件夹包含旧版本Windows系统中的系统文件、安装程序和数据文件。 Windows.old文件夹主要是为了保留旧系统的文件,方便用户退回旧系统。 当你不喜欢新版本系统或者想用回旧系统的时候,可使用Windows.old文件夹返回到以前的版本。
1、
2、命令删除:
“以管理员身份运行"cmd"命令提示符”,输入命令:RD /S /Q %SystemDrive%\windows.old
删除不了,拒绝访问
3、
26、禁用windows更新
- 1、使用 服务
按下 Win + R 打开“运行”→输入:services.msc→找到"Windows Update"服务→"停止"服务→并双击在属性→在"启动类型"下拉菜单中选择"禁用"。
- 2、使用本地组策略编辑器(仅限专业版和企业版)
Win + R 键运行→输入:gpedit.msc→转到"计算机配置">“管理模板”>“Windows 组件”>“Windows 更新"→双击"配置自动更新"设置→将其设置为"已禁用”
27、问题:AD多站点,客户端ping 域名不是本地站点域名
来自51CTO博客作者gs_h的原创,[case分享]在多AD站点环境,为什么客户端ping 域名获取的IP是飘动的:https://blog.51cto.com/gshao/1903646
故障问题解释:
- 1、跟DNS有关系,DNS服务器默认会启动两个功能:循环、网络掩码排序
循环复用功能使用随机的查询,以提供负载平衡的基本功能类型相似的结果。
网络掩码排序功能用于返回地址类型的 DNS 查询,以确定向客户端的本地资源的优先级。
在许多当前的网络环境中,很少见有本身的实际地址的子网掩码。 因此,网络掩码排序基于 IP 地址的本机类是不可靠的预测是否本地网络中。Windows Server 2003 将接近基于 C 类访问本机地址类。 - 2、站点子网划分问题。
解决方法:
#在各个站点的DNS服务器命令提示符输入:
Dnscmd /Config /LocalNetPriorityNetMask 0x0000FFFF
(二)Windows Server 事件 ID
什么是 Windows 事件日志
Windows 事件日志是记录系统事件的文件,涵盖了应用程序错误、系统错误和安全事件等。通过这些日志,我们可以追溯问题发生的原因,了解计算机的健康状况,以及排除故障。
事件日志通常包括以下这些信息:
日志名称:事件所属的类型。
来源:产生事件的应用或组件。
事件 ID:用于识别具体事件的编号。
级别:事件的严重程度,比如【信息】、【警告】和【错误】等。
用户:事件发生时的用户账户。
操作代码:也叫 OpCode,记录触发事件时所执行的操作。
记录时间:事件发生的具体时间。
任务类别:提供事件更多细节的分类。
关键字:用于分类事件的关键词,常见的有「经典」。
计算机:记录事件的计算机名称。
位置
日志文件位于C:\windows\system32\config\路径下,但不支持使用文本编辑器打开。
1、Windows日志-Application应用程序
(1)事件ID:11707 information(软件安装成功)
在 Windows Server 上安装软件应用程序时,相关的事件记录通常会在事件查看器中找到。
安装软件时,通常会记录在事件 ID 11707(表示安装成功)和事件 ID 11724(表示安装失败)中。这些事件通常出现在应用程序日志中。
Product: Microsoft Edge – Installation completed successfully.
严重性 : information类型 : Application源 : MsiInstaller
(2)事件ID:11724 information(软件安装失败、删除、卸载)
产品: Java SE Development Kit 8 Update 131 (64-bit)-- 成功地完成了删除。
严重性 : information类型 : Application源 : MsiInstaller
(4)事件ID:2142 error(拓扑发现失败)
Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7224) Forest contoso.com. Topology discovery failed, error details TimedOut.
严重性 : error类型 : Application源 : MSExchangeADTopology
Process Microsoft.Exchange.Directory.TopologyService.exe (PID=7200) Forest contoso.com. Topology discovery failed, error details DsGetSiteName 失败,出现错误 0x51F。.
严重性 : error类型 : Application源 : MSExchangeADTopology
DsGetSiteName失败,一旦获取站点名称失败,AD域中这台mail01服务器中的exchange相关服务启动失败导服务器宕机。
2、Windows日志-Security安全
(1)事件ID:4769 failure(某个账户登录,已请求 Kerberos 服务票证。每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。)
已请求 Kerberos 服务票证。
帐户信息:
帐户名: kuaii@CONTOSO.COM
帐户域: CONTOSO.COM
登录 GUID: {17c59c38b-44b6-4b3a-6102-681434d72cdd}
服务信息:
服务名称: DC01$
服务 ID: CONTOSO\DC01$
网络信息:
客户端地址: ::ffff:192.168.10.100
客户端端口: 63687
附加信息:
票证选项: 0x40810000
票证加密类型: 0x12
故障代码: 0x0
传递服务: -
每次请求访问资源(例如计算机或 Windows 服务)时生成此事件。服务名称表示请求访问的资源。
可以通过比较每个事件中的“登录 GUID”字段将此事件与 Windows 登录事件相关联。登录事件发生在被访问的计算机上,通常情况下,该计算机不是颁发服务票证的域控制器计算机。
票证选项、加密类型和故障代码是在 RFC 4120 中定义的。
严重性 : failure类型 : Security源 : Microsoft-Windows-Security-Auditing
(2)事件ID:4624 success(已成功登录帐户。创建登录会话时,将在被访问的计算机上生成此事件)
已成功登录帐户。
“使用者”字段指示本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
使用者:
安全 ID: NULL-SID
帐户名称: -
帐户域: -
登录 ID: 0x0
“登录类型”字段指示发生的登录类型。最常见的类型是 2 (交互式)和 3 (网络)。
登录信息:
登录类型: 3
受限制的管理员模式: -
虚拟帐户: 否
提升的令牌: 是
“模拟级别”字段指示登录会话中的进程可以模拟到的程度。
模拟级别: 委派
“新登录”字段指示新登录是为哪个帐户创建的,即已登录的帐户。
新登录:
安全 ID: CONTOSO\kuaiji
帐户名称: kuaiji
帐户域: CONTOSO.COM
登录 ID: 0x557137
链接的登录 ID: 0x0
网络帐户名称: -
网络帐户域: -
登录 GUID: {175bb990a-1254-1677-ab38-10d36657a109}
进程信息:
进程 ID: 0x0
进程名称: -
“网络”字段指示远程登录请求源自哪里。
网络信息:
工作站名称: -
“工作站名称”并非始终可用,并且在某些情况下可能会留空。
源网络地址: 192.168.10.100
源端口: 63686
详细的身份验证信息:
登录进程: Kerberos
身份验证数据包: Kerberos
传递的服务: -
数据包名(仅限 NTLM): -
密钥长度: 0
“身份验证信息”字段提供有关此特定登录请求的详细信息。
- “登录 GUID”是可用于将此事件与 KDC 事件关联起来的唯一标识符。
-“传递的服务”指示哪些中间服务参与了此登录请求。
-“数据包名”指示在 NTLM 协议中使用了哪些子协议。
-“密钥长度”指示生成的会话密钥的长度。如果没有请求会话密钥,则此字段将为 0。
严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji
(3)事件ID:4634 success(已注销账户。在登录会话被破坏时生成此事件。)
已注销帐户。
使用者:
安全 ID: CONTOSO\kuaiji
帐户名: kuaiji
帐户域: CONTOSO
登录 ID: 0x557137
登录类型: 3
在登录会话被破坏时生成此事件。可以使用登录 ID 值将它和一个登录事件准确关联起来。在同一台计算机上重新启动的区间中,登录 ID 是唯一的。
严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing用户名 : kuaiji
(4)事件ID:4625 failure(帐户登录失败。登录请求失败时在尝试访问的计算机上生成此事件。)
补充
(5)事件ID:4740 success(已锁定用户帐户)
已锁定用户帐户。
使用者:
安全 ID: S-1-5-18 帐户名: DC01$ 帐户域: CONTOSO 登录 ID: 0x3E7
已锁定的帐户:
安全 ID: S-1-5-12-2000478354-1455571177-839992115-45662 帐户名: kuaiji
附加信息:
调用方计算机名: FileServer01
事件ID : 4740严重性 : success类型 : Security源 : Microsoft-Windows-Security-Auditing
(6)事件ID:
(7)事件ID:
(8)事件ID:
(9)事件ID:
3、Windows日志-Setup
(1)事件ID:
(2)事件ID:
(3)事件ID:
(4)事件ID:
4、Windows日志-System系统
(1)事件ID:12 information(操作系统启动)
操作系统已在系统时间2024 - 1108T03:10:37.500000000Z启动。
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General
(2)事件ID:13 information(操作系统关闭)
操作系统将在系统时间2024 -11 -05T09:10:38.466731300Z关闭
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-General
(3)事件ID:41 information(操作系统已在未先正常关机的情况下重新启动)
系统已在未先正常关机的情况下重新启动。如果系统停止响应、发生崩或意外断电,则可能会导致此错误。
严重性 : information类型 : System源 : Microsoft-Windows-Kernel-Power
(4)事件ID:6008 error(操作系统意外关闭)
上一次系统的 14:56:04在2024/ 11/ 7 上的关闭是意外的。
严重性 : error类型 : System源 : EventLog
(5)事件ID:1074 information(哪个用户启动哪台计算机,重启: 其他(计划外)方式是什么,关机类型: 重启)
进程 C:\Windows\system32\SystemSettingsAdminFlows,exe (DC01) 由于以下原因已代表用户 CONTOSO\temp 启动计算机 DC01 的 重启: 其他(计划外)原因代码: 0x5000000
关机类型: 重启
类型 : System源 : User32用户名 : NT AUTHORITY\SYSTEM
(6)事件ID:5807 warning(在过去的 4.23 小时中有 37 连接从 IP 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器)
在过去的 12.90 小时中有 27 连接从P 地址 没有映射到企业中任何站点的客户端计算机,到这个域控制器。。。。。。
严重性 : warning类型 : System源 : NETLOGON
原因:子网里面没配置。把划分的子网归到辅助域控下面这个事件id就不会报错。
(7)事件ID:1202 success(开启ADFS登录审计)
各个event id的作用看微软官方链接:
https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/troubleshooting/ad-fs-tshoot-logging
使用事件和日志记录对 Active Directory 联合身份验证服务(ADFS)进行故障排除
命令:auditpol.exe /set /subcategory:“Application Generated” /failure:enable /success:enable
The Federation Service validated a new credential. See XML for details. Activity ID: 64y8b896-9q3e-423b-112w-0080000000d7 Additional Data XML: <?xml version="1.0" encoding="utf-16"?> <AuditBase xmlns:xsd="http://www.p6.org/2012/XMLSchema" xmlns:xsi="http://www.p7.org/2019/XMLSchema-instance" xsi:type="FreshCredentialAudit"> <AuditType>FreshCredentials</AuditType> <AuditResult>Success</AuditResult> <FailureType>None</FailureType> <ErrorCode>N/A</ErrorCode> <ContextComponents> <Component xsi:type="ResourceAuditComponent"> <RelyingParty>https://mail001.contoso.com/owa/</RelyingParty> <ClaimsProvider>AD AUTHORITY</ClaimsProvider> <UserId>kuaiji@mail001.contoso.com</UserId> </Component> <Component xsi:type="AuthNAuditComponent"> <PrimaryAuth>N/A</PrimaryAuth> <DeviceAuth>false</DeviceAuth> <DeviceId>N/A</DeviceId> <MfaPerformed>false</MfaPerformed> <MfaMethod>N/A</MfaMethod> <TokenBindingProvidedId>false</TokenBindingProvidedId> <TokenBindingReferredId>false</TokenBindingReferredId> <SsoBindingValidationLevel>NotSet</SsoBindingValidationLevel> </Component> <Component xsi:type="ProtocolAuditComponent"> <OAuthClientId>N/A</OAuthClientId> <OAuthGrant>N/A</OAuthGrant> </Component> <Component xsi:type="RequestAuditComponent"> <Server>http://loginsrv11.contoso.com/adfs/services/trust</Server> <AuthProtocol>WSFederation</AuthProtocol> <NetworkLocation>Intranet</NetworkLocation> <IpAddress>192.168.111.111</IpAddress> <ForwardedIpAddress /> <ProxyIpAddress>N/A</ProxyIpAddress> <NetworkIpAddress>N/A</NetworkIpAddress> <ProxyServer>N/A</ProxyServer> <UserAgentString>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.69 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36 Edg/133.0.0.0</UserAgentString> <Endpoint>/adfs/ls/</Endpoint> </Component> </ContextComponents> </AuditBase>
事件ID : 1202严重性 : success类型 : Security源 : AD FS Auditing
(2)事件ID:
(3)事件ID:
(4)事件ID:
5、Exchange日志-System系统
(1)事件ID:4266 warning
消息 : 有关从全局 UDP 端口空间分配一个短端口号的请求失败,因为所有此类端口都在使用中。
时间 : 2023-12-26 05:53:20
显示名称 : mail009
设备 : mail009
事件ID : 4266
严重性 : warning
类型 : System
源 : Tcpip
(2)事件ID:10028 error
消息 : DCOM 无法使用任何配置的协议与计算机 ca001.contoso.com 进行通信;请求人 PID fc (C:\Windows\system32\taskhostw.exe)。
时间 : 2023-12-26 04:47:50
设备 : DC02(先在域控DC02上与ca001无法通信,每天都有报错)
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM
(3)事件ID:10028 error
消息 : DCOM 无法使用任何配置的协议与计算机 mail004.contoso.com 进行通信;请求者 PID 2220 (C:\Program Files\Microsoft\Exchange Server\V15\Bin\msexchangerepl.exe),同时激活 CLSID {8BC7F77E-D77B-11D0-A777-00C07FB88690}。
时间 : 2023-12-26 06:03:35
设备 : mail009(服务器mail009上与mail004无法通信,报错,然后mail009的POP3服务宕机)
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM
消息 : DCOM 无法使用任何配置的协议与计算机 mailvv1.contoso.com 进行通信;请求者 PID 2220 (C:\Program Files\Microsoft\Exchange Server\V15\Bin\msexchangerepl.exe),同时激活 CLSID {8BC7F77E-D77B-11D0-A777-00C07FB88690}。
时间 : 2023-12-26 06:14:22
设备 : mail009(服务器mail009上与mailvv1无法通信,报错,然后mail009的POP3服务宕机)
事件ID : 10028
严重性 : error
类型 : System
源 : Microsoft-Windows-DistributedCOM
(4)事件ID:1135 error
消息 : 已从活动故障转移群集成员身份中删除群集节点“mail001”。可能已在该节点上停止群集服务。这可能还由于该节点已与故障转移群集中的其他活动节点失去通信所致。请运行“验证配置”向导检查网络配置。如果此情况持续出现,请检查此节点上与网络适配器相关的硬件或软件错误。同时还要检查节点连接到的任何其他网络组件(如集线器、交换机或网桥)中的故障。
时间 : 2023-12-27 02:43:25
设备 : mail003(服务器mail003上先报错,服务器mail003上删除群集节点“mail002、004、。。。010”的报错)
事件ID : 1135
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering
(5)事件ID:1177 error
消息 : 群集服务正在关闭,原因是仲裁已丢失。这可能是由于丢失了群集中某些节点或所有节点之间的网络连接,或故障转移见证磁盘。 请运行“验证配置”向导以检查网络配置。如果此情况持续出现,请检查与网络适配器相关的硬件或软件错误。同时还要检查节点连接到的任何其他网络组件(如集线器、交换机或网桥)中的故障。
时间 : 2023-12-27 02:43:26
设备 : mail003(服务器mail003上的报错)
事件ID : 1177
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering
(6)事件ID:1146 error
消息 : 群集资源宿主子系统(RHS)进程已终止并将重新启动。这通常与群集运行状况检测以及恢复资源关联。若要确定导致此问题的资源和资源 DLL,请参阅系统事件日志。
时间 : 2023-12-27 02:43:26
设备 : mail003
事件ID : 1146
严重性 : error
类型 : System
源 : Microsoft-Windows-FailoverClustering
事件ID:1135、1177、1146出现可能的原因:
尽管提到网络和虚拟机没有做过调整,但仍建议检查网络配置,确保所有节点之间的通信正常。
检查节点“mail003”上的硬件和软件状态,确保没有故障。
确保防火墙和防病毒软件没有阻止群集通信。
如果群集节点已经自动重启并重新连接,通常不需要手动干预。群集服务会尝试自动恢复连接并重新加入群集。不过,建议您监控一段时间,确保问题不再复发。
如果问题持续出现,建议运行群集验证配置向导(Validate a Configuration Wizard)来检查网络配置和群集设置,确保没有潜在的配置问题。
(4)事件ID:
(5)事件ID:
(三)Exchange Server 2019搭建
Exchange Server 2019架构体系:
192.168.10.1(DC001 域控服务器)
192.168.10.1(DC001 见证服务器)
192.168.10.5(DCmail001 邮件服务器)
192.168.10.6(DCmail002 邮件服务器)
192.168.10.90(DAG 虚拟计算机账户)
Exchange Server 微软官方文档:https://learn.microsoft.com/zh-cn/exchange/exchange-server?view=exchserver-2019
1、Exchange Server 必备组件
微软官方链接:https://learn.microsoft.com/zh-cn/exchange/plan-and-deploy/prerequisites?view=exchserver-2019
也就是说安装Exchange Server 2019之前,必须先提前安装这些软件才行。
前提条件:
-
域控服务器DC001、DC002中需要安装以下软件:
-
- (1)NET Framework 4.8
-
- (2)适用于 Visual Studio 2012 的 Visual C++ 可再发行组件包
-
邮件服务器DCmail001、DCmail002中需要安装以下软件:
-
- (1)NET Framework 4.8
下载链接地址:https://download.visualstudio.microsoft.com/download/pr/014120d7-d689-4305-befd-3cb711108212/0fd66638cde16859462a6243a4629a50/ndp48-x86-x64-allos-enu.exe
- (1)NET Framework 4.8
-
- (2)适用于 Visual Studio 2012 的 Visual C++ 可再发行组件包
下载链接地址:https://www.microsoft.com/zh-cn/download/details.aspx?id=30679
- (2)适用于 Visual Studio 2012 的 Visual C++ 可再发行组件包
-
- (3)Visual Studio 2013 的 Visual C++ 可再发行程序包
下载链接地址:https://support.microsoft.com/zh-cn/topic/update-for-visual-c-2013-redistributable-package-d8ccd6a5-4e26-c290-517b-8da6cfdf4f10
- (3)Visual Studio 2013 的 Visual C++ 可再发行程序包
-
- (4)Microsoft Unified Communications Managed API 4.0 Core Runtime(64 位)统一通信托管 API (UCMA) 4.0 是一个托管代码平台
下载链接地址:https://www.microsoft.com/en-us/download/details.aspx?id=34992
- (4)Microsoft Unified Communications Managed API 4.0 Core Runtime(64 位)统一通信托管 API (UCMA) 4.0 是一个托管代码平台
-
如果架构中有边缘传输服务器中需要安装以下软件:
-
- (1)NET Framework 4.8
-
- (2)适用于 Visual Studio 2012 的 Visual C++ 可再发行组件包
-
- (3)命令安装:Install-WindowsFeature ADLDS
(1)安装.NET Framework 4.8
(2)Visual Studio 2012 的 Visual C++
(3)Visual Studio 2013 的 Visual C++
(4)Microsoft Unified Communications Managed API 4.0 Core Runtime(64 位)
必备组件安装,这一步是安装系统补丁及依赖包。
如果是在自己测试环境,安装完必备组件后拍摄快照,方便安装中出错还原。
(5)安装:IIS URL 重写模块
解决报错:
(1)先安装:Web服务器(IIS)
(2)在安装:IIS URL 重写模块
2、ExchangeServer2019-x64-CU14安装
(1)G3FMN
(2)-FGW6B
(3)-MQ9VW
(4)-YVFV8
(5)-292KP
(1)Powershell安装相关服务器角色和功能
(1)上一步中,Visual Studio 2012 的 Visual C++安装完后,继续管理员身份运行Powershell安装远程工具管理包命令:
Install-WindowsFeature RSAT-ADDS
为什么:如果使用 Exchange 安装向导来准备 Active Directory,则需要 Visual C++ 可再发行程序包。
(2)添加所需的 Lync Server 或 Skype for Business Server 组件,
通过在 Windows PowerShell 中执行以下命令来安装 Server Media Foundation Windows 媒体基础框架服务 功能:
Install-WindowsFeature Server-Media-Foundation
(3)exchange 2019 IIS安装命令:
Install-WindowsFeature Web-WebServer,Web-Common-Http,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Static-Content,Web-Http-Redirect,Web-Health,Web-Http-Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Http-Tracing,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Security,Web-Filtering,Web-Basic-Auth,Web-Client-Auth,Web-Digest-Auth,Web-Windows-Auth,Web-App-Dev,Web-Net-Ext45,Web-Asp-Net45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Mgmt-Tools,Web-Mgmt-Compat,Web-Metabase,Web-WMI,Web-Mgmt-Service,NET-Framework-45-ASPNET,NET-WCF-HTTP-Activation45,NET-WCF-MSMQ-Activation45,NET-WCF-Pipe-Activation45,NET-WCF-TCP-Activation45,Server-Media-Foundation,MSMQ-Services,MSMQ-Server,RSAT-Feature-Tools,RSAT-Clustering,RSAT-Clustering-PowerShell,RSAT-Clustering-CmdInterface,RPC-over-HTTP-Proxy,WAS-Process-Model,WAS-Config-APIs
(2)重启电脑
(3)扩展AD架构
将Exchange Server 2019 安装介质解压或挂载到Exchange服务器上,并使用管理员身份打开CMD,并切换到Exchange安装目录下。
使用命令进行扩展AD架构(cmd命令进入exchange安装目录) 执行命令:
cd E:
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareSchema
(4)扩展林
挂载Exchange 安装介质,管理员身份打开CMD,切换到安装路径。
用驱动器 E: 上的 Exchange 安装文件,并将 Exchange 组织命名默认为“Contoso Corporation”,重命名为“ContosoMail”,运行命令:
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /OrganizationName:“ContosoMail”
(5)扩展域
在 Active Directory 林中为 Exchange 准备所有域时,帐户需成为“企业管理员”安全组的成员。
用驱动器 E: 上的 Exchange 安装文件,运行以下命令:
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains
补充命令:
.\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /Mode:Upgrade /DomainController:dc008.contoso.com
(6)安装 Exchange 邮箱服务器角色:安装 ExchangeServer2019-x64-CU14
先删除注册表计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager的PendingFileRenameOperations数值数据清空掉,再安装exchange
- 1)图形化界面部署,打开Exchange Server 2019安装介质,并双击“Setup.exe”文件
- 2)是否检查更新:现在不检查更新
- 3)简介:下一步
- 4)许可协议:接受,但不愿与 Microsoft 共享诊断数据
- 5)推荐设置:不使用推荐设置,完成安装后手动配置这些设置
- 6)服务器角色选择:邮箱角色、自动安装角色和功能
- 7)安装空间和位置
(可以指定安装到D盘某个不带中文的路径,不建议将Exchange Server 安装到系统盘,建议安装到非系统盘以外的盘符)
- 8)恶意软件防护设置:否
- 9)准备情况检查
- 10)准备情况检查
- 11)安装进度
- 12)安装完成
- 13)安装完成安装完成,重启这台服务器。
(7)查看相关服务是否启动:Microsoft Exchange 相关服务
- Microsoft Exchange Active Directory 拓扑
- Microsoft Exchange DAG 管理
- Microsoft Exchange EdgeSync
- Microsoft Exchange Information Store
- Microsoft Exchange POP3
- Microsoft Exchange POP3 后端
- Microsoft Exchange RPC 客户端访问
- Microsoft Exchange Search Host Controller
- Microsoft Exchange Service 主机
- Microsoft Exchange 传输
- Microsoft Exchange 传输日志搜索
- Microsoft Exchange 反垃圾邮件更新
- Microsoft Exchange 复制
- Microsoft Exchange 合规性服务
- Microsoft Exchange 合规性审核
- Microsoft Exchange 紧急缓解服务
- Microsoft Exchange 前端传输
- Microsoft Exchange 搜索
- Microsoft Exchange 限制
- Microsoft Exchange 邮箱传输传递
- Microsoft Exchange 邮箱传输提交
- Microsoft Exchange 邮箱复制
- Microsoft Exchange 邮箱助理
- Microsoft Exchange 运行状况管理器
- Microsoft Exchange 运行状况管理器恢复
- Microsoft Exchange 诊断
- Cluster Service
(服务启动类型:有些手动改成自动)
(8)创建邮箱用户
待补充
http://<ip address>/owa 用户登录即可发送邮件 用户登录入口
待补充
(9) 激活服务器
- 1、未激活:让输入产品密钥
- 2、打开→Exchange Management Shell激活:输入产品密钥激活命令
Set-ExchangeServer –ProductKey 密钥 -Identity 邮件服务器名称
示例:Set-ExchangeServer -ProductKey ----**** -Identity MAIL****
- 3、重启→信息存储服务:Microsoft Exchange Information Store
- 4、已激活:已许可(刷新)
- 5、附→神秘代码:
Exchange Server 2019 Enterprise
----*****
Exchange Server 2019 Standard
----*****
3、Exchange 管理中心(EAC)
微软官方链接:https://learn.microsoft.com/zh-cn/exchange/architecture/client-access/exchange-admin-center?view=exchserver-2019
(1)如何访问:Exchange 服务器中的 Exchange 管理中心
在 Exchange 服务器本身的 Web 浏览器中访问 EAC访问:Exchange 管理中心,必须以服务器的完全限定域名 (FQDN) 格式:
- (1)https://dcmail001.contoso.com/ecp
- (2)https://localhost/ecp
(2)登录Exchange 服务器中的 Exchange 管理中心
在 Exchange 服务器本身的 Web 浏览器中访问 EAC访问:Exchange 管理中心
地址:https://localhost/ecp
域用户名:admin@contoso.com(AD中的管理员账号,contoso为自己的域名)
密码:*********
(3)访问https://localhost/ecp报错:拓扑提供程序在端点“TopologyClientTcpEndpoint (localhost)”上找不到 Microsoft Exchange Active Directory 拓扑服务。
解决方法:查看这台服务器上的Exchange相关服务是否启动,需要启动 Exchange Server相关服务后再次访问,就不再报这个错误,登录成功。
4、数据库可用性组 Database Availability Group(DAG)
192.168.10.1(DC001 域控服务器)
192.168.10.1(DC001 见证服务器)见证目录:C:\DagFileSareWitnesses
192.168.10.90(DAG 虚拟计算机账户)名称:EX2019DAG
192.168.10.5(DCmail001 邮件服务器)
192.168.10.6(DCmail002 邮件服务器)
接下来,是创建 数据库可用性组 Database Availability Group(DAG)的步骤
4.1、见证服务器授权
注:见证服务器不能部署在参与 DAG 的邮箱服务器中。可以部署在其他的服务器如:域控制器、加入域的其他服务器。
在本案例中,将见证服务器部署在域控制器中。并且将 “Exchange Trusted Subsystem” 安全组,添加到DC001域控的本地管理员组中。保证在部署 DAG 的过程中能够自动创建见证目录。
(1)将 “Exchange Trusted Subsystem” 安全组,添加到DC001域控的本地Administrators管理员组中
4.2、创建目标计算机账户DAG,加入本地管理员组,加入Exchange Trusted Subsystem组,DAG成员添加安全列表赋予完全控制权限,并禁用
再DC001域控上创建计算机DAG账户名称为:EX2019DAG,就是个虚拟账户,后面禁用该账户。
(1)创建目标DAG计算机账户名称为:EX2019DAG
登录DC01域控制器,打开 “Active Directory用户和计算机”,创建DAG计算机账户名称为:EX2019DAG。
(2)将目标计算机账户EX2019DAG添加到 “Exchange Trusted SubSystem” 组中。
(3)DAG成员添加安全列表赋予完全控制权限
启用→"Active Directory用户和计算机" 的高级功能选项→打开:EX2019DAG计算机账户属性对话框→切换到”安全“选项卡→将Exchange Trusted Subsystem组中的所有DAG成员服务器添加到安全列表→并将计算机mail001、mail002、EX2019DAG都赋予完全控制权限。
(5)将目标DAG计算机账户:EX2019DAG 禁用
(6)为复制网络(心跳网络)添加第二张网卡(提前配置)
这一步可放在装exchange server服务器,提前配置好网卡
设置心跳网络注意事项:
网卡属性窗口中,只选择“Internet协议版本(TCP/IPV4)”,其他的选项全部取消。IP 地址只设置IP地址和子网掩码。
DC001域控:10.0.10.1
复制网络(心跳网络):mail001邮件服务器 10.0.10.111
复制网络(心跳网络):mail002邮件服务器 10.0.10.112
- (1)DC001域控:10.0.10.1。网卡属性窗口中,只选择“Internet协议版本(TCP/IPV4)”,其他的选项全部取消。IP 地址只设置IP地址和子网掩码。
- (2)在高级选项中,DNS选项卡中,取消“在DNS中注册此链接的地址”。
- (3)在 WINS 选项卡中,取消 “启用 LMHOSTS 查找” 以及 “禁用TCP/IP 上的NetBIOS” 选项
- (2)复制网络(心跳网络):mail001邮件服务器 10.0.10.111 255.0.0.0
网卡配置同上 - (3)复制网络(心跳网络):mail002邮件服务器 10.0.10.112 255.0.0.0
网卡配置同上
4.3、DNS创建A记录
DC001→打开DNS控制台→创建于DAG同名的 “A” 记录→创建完成A记录如下。
名称:EX2019DAG
完全限定的域名:EX2019DAG.contoso.com
IP地址:192.168.10.90
4.4、配置部署DAG
(1)见证服务器,创建见证目录并且共享
创建见证服务器(本次测试此处使用DC001域控作为见证服务器)
- (1)在域控DC001上自定义创建见证目录:C:\DAGFileSareWitnesses,并对文件夹做共享。(此处采用手动创建见证目录)
- (2)并对自定义见证目录DAGFileSareWitnesses文件夹做共享:Exchange Trusted Subsystem。
注意:如果这一步保持空白,DAG创建过程中会自动创建见证目录。
见证目录默认位置“%systemdrive%\DAGFileSareWitnesses<DAG FQDN>”.
此处是手动去指定创建见证目录。
(2)创建 DAG→打开 “数据库可用性组”
打开mail001服务器的浏览器→登录Exchange管理中心→在左侧列表选择 “服务器” 选项→选择 “数据库可用性组” →默认没有创建任何DAG组,如图。
(3)新建 “数据库可用性组”
单击“+”按钮
→打开 “新建数据库可用性组” 对话框
→输入"数据库可用性组名" DAG 名称:EX2019DAG(这个名称和 Active Directory 中计算机账户必须一致)
→见证服务器完整FQDN:DC001.contoso.com
→见证目录:C:\DAGFileSareWitnesses
→数据库可用性组IP地址:192.168.10.90(数据库可用性组的 IP 地址为设置 DAG 时使用的 IP 地址。并单击“+”。)
如下图,DAG创建成功。
如下图,虽然DAG创建成功,但是并未添加任何节点服务器。
(4)mail服务器上安装 Windows故障转移群集,安装完重启
- (1)报错
- (2)mail001上安装:故障转移群集,重启服务器
- (3)同理,mail002上安装,重启服务器
(5)添加节点服务器
DAG创建成功后,不会自动添加邮箱服务器,需要Exchange管理员手动添加完成该任务。
- (1)在"数据库可用性组"窗口中→点击 “管理DAG成员资格” 图标→打开 “管理数据库可用性组成员资格” 对话框→默认没有添加任何节点服务器。
- (2)选择要添加的邮箱成员服务器,保存。
- (3)添加成功后,“数据库可用性组” 窗口,成员服务器列表中显示已经添加的邮箱服务器。右侧将显示详细信息。
成员服务器:mail001、mail002
见证服务器:dc001.contoso.com
DAG网络:MapiDagNetwork、ReplicationDagNetwork01
- (4)添加成功后,刚才禁用的计算机EX2019DAG变成已启用状态,故障转移群集虚拟网络名称账户。
(6)配置群集网络
DAG创建成功后,默认将应用网络作为群集网络。因此管理员需要手动配置心跳网络作为复制网络。
在案例中,部署的两套网络:应用网络(内部网络)和复制网络(心跳网络),因此管理员需要手动配置心跳网络作为复制网络。
应用网络(内部网络):mail001 192.168.10.111、mail002 192.168.10.112
复制网络(心跳网络):mail001 10.0.10.111、mail002 10.0.10.112
- (1)手动配置数据库可用性组网络
打开 "数据库可用性组"→选择 创建的DAG:EX2019DAG→然后选择 编辑(笔形图标)DAG属性→数据库可用性组-用户配置1→常规→勾选√ 手动配置数据库可用性组网络→保存→完成DAG属性设置。
可以看到
见证服务器:DC001.contoso.com
见证目录:C:\DAGFileShareWitnesses\EX2019DAG.contoso.com
数据库可用性组成员:MAIL001 正在运行 MAIL002 正在运行
应用网络(内部网络)
复制网络(心跳网络) - (2)将内部网络(应用网络)MapiDagNetwork的复制功能禁用
内部网络(应用网络)MapiDagNetwork对外提供服务,因此需要将内部网络(应用网络)MapiDagNetwork的复制功能禁用。
单击→“MapiDagNetwork”的禁用复制→警告→确定→将 MapiDagNetwork 内部网络(应用网络)的复制功能禁用。
- (3)复制网络(心跳网络)ReplicationDAGNetwork01复制功能 默认开启
将“ReplicationDAGNetwork”规划为复制网络(心跳网络),完成邮箱数据库的复制功能。
4.5、验证DAG
(1)禁用的计算机EX2019DAG状态变为已启用,故障转移群集虚拟网络名称账户
DAG创建成功后→在AD计算机“用户和计算机”→域→Computer→禁用的计算机EX2019DAG→状态已启用→标记为→描述:故障转移群集虚拟网络名称账户
(2)验证见证目录
在见证服务器指定的文件夹目录:C:\DAGFileShareWitnesses\EX2019DAG.contoso.com\a105b5cb-0c41-4e72-8cd7-a664c05041d2,会多如下两个txt文件:VerifyShareWriteAccess、Witness
(3)验证群集服务运行状态
在各个邮箱服务器mail001→服务 控制台→Cluster Service→启动类型:自动运行 状态:正在运行
(4)验证故障转移群集节点控制台
打开→服务器管理器→工具→故障转移群集管理器→查看到各个节点的运行状况。
Exchange使用Windows Server2019的故障转移群集服务检测DAG节点服务器状态。
各个信息如下:
- (1)角色选项
角色选项中没有部署任何Exchange应用。Exchange故障转移由Exchange的DAG功能完成,不需要Windows Server2019的群集服务完成,因此在此选项中看不到任何与Exchange相关的角色。
- (2)节点选项
节点选项中,数据库可用性组中添加的所有节点服务器全部作为群集节点服务器显示,服务器状态为正常。
- (3)存储→磁盘选项
存储选项中,因为未使用任何共享存储,所以看不到任何磁盘信息。
- (4)网络选项
网络选项中,数据库可用性组中的每台服务器都使用了2块网卡,一块网卡连接应用网络(192.168.10.0/24),一块网卡连接服务网络(心跳网络10.0.10.0/8)。所有节点服务器网络状态均为正常运行,通过查看摘要,网络连接,均可查看详细配置。
群集网络1,应用网络(192.168.10.0/24),群集使用:群集和客户端
群集网络2,应用网络(心跳网络10.0.10.0/8),群集使用:仅群集
4.6、数据库副本测试
(1)新建邮箱数据库:“TestDB01”
在部署Exchange Server 2019过程中将自动回创建一个系统数据库,该数据库和新建邮箱数据库的不同之处是内置了数个系统邮箱。因此,测试DAG时建议使用新创建的邮箱数据库进行。
在本次测试中,要在“MAIL001”服务器中创建测试邮箱数据库 “TestDB01”。
- (1)打开 “Exchange管理中心"→服务器→数据库(列表中显示已经部署的所有Exchange邮箱数据库)→单击”+"新建→打开"新建数据库"窗口→输入:邮箱数据库名称为:“TestDB001” (默认选择“装入此数据库”选项)→浏览→选择服务器→MAIL001→确定→默认数据库文件路径、日志文件夹路径→保存
默认数据库文件路径:
C:\Program Files\Microsoft\Exchange Server\V15\Mailbox\TestDB001\TestDB001.edb
日志文件夹路径:
C:\Program Files\Microsoft\Exchange Server\V15\Mailbox\TestDB001
- (2)单击"保存"→显示"警告"对话框→提示:需要重启 “Microsoft Exchange信息存储” 服务
- (3)单击警告"确定"按钮→成功创建名为“TestDB001”的测试数据库→状态:已装入
创建的邮箱数据库 “TestDB01” 数据库文件路径:
- (4)重启 Microsoft Exchange Information Store信息存储服务
(2)部署邮箱数据库副本:选择服务器mail002
- (1)添加数据库副本
在数据库列表中:选择新建的测试数据库"TestDB001"→单击工具栏 “…” 图标→单击 “添加数据库副本”
- (2)指定邮箱服务器
在"添加数据库副本"对话框→浏览→选择服务器:MAIL002→确定
- (3)开始创建数据库副本
单击“保存”按钮→开始创建数据库副本→此操作经历三个过程:设定种子、同步邮箱数据库、创建内容索引。
- (4)完成副本创建过程
上述三个过程完成后→会显示:保存已成功完成对话框→单击“关闭”按钮→完成副本创建过程。如果没有任何错误,表示DAG创建成功。
5、Exchange 安装后配置任务
5.1、Exchange 服务器配置
(1)内部邮件的发送和接收测试
测试:创建两个帐号,并启用邮箱,相互发送邮件,看是否能够到达对方的收件箱
1、AD域中创建两个测试账号
AD域中创建两个账号:会计(kuaiji)、出纳(chuna)
2、客户端访问邮箱地址登录
在加域的客户端→访问邮箱地址:https://dcmail001/owa→输入会计账户密码登录
3、发生错误:未找到邮箱
发生错误:未找到邮箱
4、添加用户邮箱:“会计”
新建:用户邮箱:在 EAC 中→收件人→邮箱→点击 "+"→用户邮箱→新用户邮箱→现有用户:浏览选择AD域中的用户:会计→确定→保存。
5、客户端用户访问邮箱地址登录
- 5、访问邮箱地址:https://dcmail001/owa→输入会计账户密码→选择时区→登录成功。
6、同样,添加 “出纳” 用户邮箱
7、相互发送邮件(邮件服务器端 没开 IMAP4服务)
会计发送邮件给出纳:会计邮箱→点击 “新建” →收件人:chuna@contoso.com 主题:“会计→→→出纳” →发送
出纳答复邮件给会计:出纳邮箱→点击 “收件箱” →可以收到新的邮件→进行 "答复"→收件人:kuaiji@contoso.com 主题:“出纳→→→答复→→→会计” →发送
会计可以收到答复邮件。测试内部邮件发送接收正常。
(2)创建发送连接器
新部署的 Exchange 只能发送和接收内部电子邮件,如果想要将邮件发送到 Internet 互联网上,需要在Exchange 服务器上:创建发送连接器。
微软官网地址:https://learn.microsoft.com/zh-cn/exchange/mail-flow/connectors/internet-mail-send-connectors?view=exchserver-2019
1、创建发送连接器
Exchange管理中心(EAC)→"邮件流"→"发送连接器"→"+"按钮
2、发送连接器名称类型
→创建新的发送连接器→名称自定义→类型选择 "Internet"→下一步
3、网络设置
→"网络设置"→选择默认的 "与收件人域关联的MX记录"→下一步
3、地址空间
→"地址空间":指定此连接器将邮件路由到的地址空间→"+" 按钮
4、添加域
→添加域→类型:SMTP→完全限定域名(FQDN):*(因为是向所有的Internet域发送,所以设置为 “*” 星号,如果要设置仅能向163.com发送邮件此处则填写 “*.163.com”)→保存→下一步
5、选择源服务器
→选择源服务器→"+" 按钮→选择邮箱服务器:mail001、mail002→添加→确定→完成
6、发送连接器创建成功
→发送连接器创建成功→状态:已启用
(3)配置外部访问域
客户端通过外部互联网 Internet 连接访问邮件服务器之前,需要在客户端要访问的邮件服务器虚拟目录上配置外部域或URL。
微软官网地址:https://learn.microsoft.com/zh-cn/exchange/plan-and-deploy/post-installation-tasks/configure-mail-flow-and-client-access?view=exchserver-2019
1、配置外部访问域
Exchange管理中心(EAC)→"服务器"→"虚拟目录"→扳手"🔧"按钮→配置外部访问域→选择要用于外部URL的服务器→"+"按钮
2、选择邮件服务器
→选择服务器→添加→确定
3、输入将用于外部服务器的域名
→输入将用于外部服务器的域名:mail.contoso.com→保存
4、验证配置的外部访问域
(4)配置 自动发现服务
Exchange Autodiscover(自动发现服务)是Exchange Server 2019部署成功后创建的一个能够自动配置Outlook虚拟目录,OutLook在不同的应用环境中定位虚拟目录自动完成OutLook配置信息的过程。
- Exchange 2019 中的自动发现服务:
-
- Exchange 在 Internet Information Services (IIS) 的默认网站下创建名为 autodiscover 的虚拟目录。
-
- Active Directory 为已加入域的计算机存储并提供权威 URL。
-
- 邮箱服务器上的客户端访问服务为内部和外部客户端连接提供身份验证和代理服务。
-
- Outlook 仅使用用户名和密码配置服务。
微软官网地址:https://learn.microsoft.com/zh-cn/exchange/architecture/client-access/autodiscover?view=exchserver-2019
1、 创建 A 记录
Exchange Server 安装完成后,不会在 DNS 中自动创建一条 Autodiscover 相关的A记录,需要手动添加该记录并将其指向客户端访问服务器,在发布公网的时候也需要添加一条Autodiscover的A记录,并指向端口映射的设备。
AD域控服务器(DC001)→DNS 管理器→DNS→DC001→正向查找区域→contoso.com→右键→"新建主机A"
→名称:AutoDiscover→完全限定的域名→IP地址→添加主机
2、创建资源服务记录
在DNS中→选择contoso.com 区域→右键→"其他新纪录"
资源记录类型→"服务位置(SRV)"→创建记录
→打开 "新建资源记录"→服务位置(SRV)→设置参数→服务名称:_AutoDiscover→协议:_Tcp→端口:443→提供此服务的主机:EX2019DAG.contoso.com
→查看:_AutoDiscover 服务位置(SRV)
(5)启用 Outlook Anywhere
默认情况下,Outlook Anywhere 启用内部连接域名,如果要向 Internet 用户提供该服务,需要Exchange管理员手动配置服务器的外部域名。
微软官网地址:https://learn.microsoft.com/zh-cn/exchange/outlook-anywhere-exchange-2013-help
打开管理中心→服务器→选择要开启outlook Anywhere功能的服务器→编辑→设置外部域名为:mail.contoso.com→保存→完成outlook Anywhere配置
(6)内部 URL 和 外部 URL 同步
在 Exchange 服务器上配置邮件流和客户端访问:https://learn.microsoft.com/zh-cn/exchange/plan-and-deploy/post-installation-tasks/configure-mail-flow-and-client-access?view=exchserver-2019
1、验证OWA虚拟目录位置 命令:
验证OWA虚拟目录位置 命令:Get-OwaVirtualDirectory | Select server,internalURL,externalURL
2、更改URL地址 命令:
#更改URL地址命令:
$HostName = "DCmail001"
Set-EcpVirtualDirectory "$HostName\ECP (Default Web Site)" -InternalUrl ((Get-EcpVirtualDirectory "$HostName\ECP (Default Web Site)").ExternalUrl)
Set-WebServicesVirtualDirectory "$HostName\EWS (Default Web Site)" -InternalUrl ((Get-WebServicesVirtualDirectory "$HostName\EWS (Default Web Site)").ExternalUrl)
Set-ActiveSyncVirtualDirectory "$HostName\Microsoft-Server-ActiveSync (Default Web Site)" -InternalUrl ((Get-ActiveSyncVirtualDirectory "$HostName\Microsoft-Server-ActiveSync (Default Web Site)").ExternalUrl)
Set-OabVirtualDirectory "$HostName\OAB (Default Web Site)" -InternalUrl ((Get-OabVirtualDirectory "$HostName\OAB (Default Web Site)").ExternalUrl)
Set-OwaVirtualDirectory "$HostName\OWA (Default Web Site)" -InternalUrl ((Get-OwaVirtualDirectory "$HostName\OWA (Default Web Site)").ExternalUrl)
Set-PowerShellVirtualDirectory "$HostName\PowerShell (Default Web Site)" -InternalUrl ((Get-PowerShellVirtualDirectory "$HostName\PowerShell (Default Web Site)").ExternalUrl)
3、检查是否更改成同样的URL命令:
#检查是否更改成同样的URL命令
Get-OwaVirtualDirectory | Select server,internalURL,externalURL
Get-ClientAccessServer “DCmail001” | Format-List AutoDiscoverServiceInternalUri
同样,将$HostName = "DCmail002"服务器,以上命令再跑一遍。
(7)设置 Outlook 网页 登录名简化
Exchange管理中心→服务器→虚拟目录→owa (Default Web Site)→身份验证→使用基于表单的身份验证→登录格式:仅用户名→登录域:contoso.com→重启IIS
(8)内外网域名同步
(9)Exchange中 CA 证书部署
1、未安装证书时访问URL
-
1、Exchange 安装之后默认启用SSL功能,通过443端口访问OutLook Web App或者EAC。
-
2、如果没有部署证书,访问的时候会出现以下提示:
→Edge浏览器→你的连接不是专用连接→高级→继续访问不安全。
→IE浏览器→此站点不安全→详细信息→站到此网站(不推荐)。
-
3、可以选择"继续浏览此网站"选项后,可以继续访问OutLook Web App或者EAC,但浏览器的地址栏,Edge浏览器会显示 “不安全”,IE浏览器会显示 “证书错误”。
2、新建 Exchange 证书
Exchange管理中心→服务器→证书→服务器选择
6、客户端安装 Outlook
- Win客户端给服务器Exchange Server发送邮件:
-
- 一是通过url地址登录邮件账户之后收发邮件。
-
- 二是通过 Microsoft Office Outlook 微软办公软件套装的组件。Outlook的功能:用它来收发电子邮件、管理联系人信息、记日记、安排日程、分配任务。
6.1、Win10客户端安装Office 2024
(1)Win10客户端 安装Office
- (1)Win10客户端→打开 Office2024安装包:安装 Microsoft Office LTSC 专业增强版 2024 Preview→点击 Setup64 以管理员身份运行→等待安装完成。
- (2)安装完成之后→查看安装可以去控制面板→程序→程序和功能→Microsoft Office 专业增强版 2024-zh-cn。
(2)安装完激活:Office 2024
(3)登录配置 Outlook
- (1)域账户kuaiji@contoso.com登录win客户端,将kuaiji@contoso.com加入Remote Desktop Users 组。
- (2)打开 Outlook→开始→右键:Outlook(classic) 固定到任务栏→点击:Outlook(classic)打开
- (3)接受许可协议:接受
- (4)Outlook登录→电子邮件地址:kuaiji@contoso.com→高级选项:勾选√让我手动设置我的账户→连接
- (5)高级设置:选择 Exchange
- (5)高级设置:选择 Exchange
7、Exchange 相关
7.1、命令
(1)检索有关 Exchange 组织中所有邮箱数据库的信息
##检索有关 Exchange 组织中所有邮箱数据库的信息
Get-MailboxDatabase
Name名称:数据库的名称。
Server服务器:托管数据库的服务器。
Recovery恢复:指定是否将新数据库指定为恢复数据库。
ReplicationType复制类型:数据库的复制类型。
##返回有关名为 “Mailbox Database 1621693896” 的邮箱数据库的详细信息
Get-MailboxDatabase -Identity "Mailbox Database 1621693896" -Status | Format-List
邮箱数据库是创建和存储邮箱的粒度单元。 邮箱数据库以 Exchange 数据库 (.edb) 文件的形式存储。 在 Exchange 2016 和 2019 中,每个邮箱数据库都有自己的可以配置的属性。
Exchange 数据库 (.edb) 文件位置:
EdbFilePath : C:\Program Files\Microsoft\Exchange Server\V15\Mailbox\Mailbox Database 1621693896\Mailbox Database 1621693896.edb
(2)创建邮箱数据库
1、创建邮箱数据库 DB0001
##在名为 DCmail001 的邮箱服务器上创建邮箱数据库 DB0001。使用数据库文件的默认位置(路径可选)。
New-MailboxDatabase -Server "DCmail001" -Name "DB0001" -EdbFilePath "C:\Program Files\Microsoft\Exchange Server\V15\Mailbox\DB0001\DB0001.edb"
2、装入此数据库 DB0001
3、创建邮箱数据库 DB0002
##在名为 DCmail002 的邮箱服务器上创建邮箱数据库 DB0002。使用数据库文件的默认位置(路径可选)。勾选√装入此数据库。
(3)删除邮箱数据库(如何删除默认邮箱数据库?)
1、使用 EAC 删除邮箱数据库:Mailbox Database 1621693896
在 EAC 中→"服务器"→"数据库"→单击选择相应的邮箱→单击 “删除” 图标→删除邮箱数据库→警告:是。
2、错误
删除系统邮箱数据库Mailbox Database 1621693896时报错,报错内容:
此邮箱数据库包含一个或多个邮箱、邮箱计划、存档邮箱、公用文件夹邮箱、仲裁邮箱或审核邮箱。 若要获取此数据库中所有邮箱的列表,请运行命令 Get-Mailbox -数据库 <数据库 ID>…若要禁用非仲裁邮箱以便删除邮箱数据库,请运行 命令 Disable-Mailbox <邮箱 ID>…应将审核邮箱移到另一台服务器;为此,请运行命令 New-MoveRequest <参数>。 如果这是组织中的最后一台服务器,请运行命令 Get-Mailbox -AuditLog |Disable-Mailbox…
3、解决:
根据微软官方文档:https://learn.microsoft.com/zh-cn/exchange/troubleshoot/administration/error-remove-a-mailbox-database
4、查看 用户邮箱
#查看 用户邮箱
Get-Mailbox -Database “Mailbox Database 1621693896”
#将 用户邮箱 使用命令迁移到"DB0001"
Get-Mailbox -Database “Mailbox Database 1621693896” | New-MoveRequest -TargetDatabase “DB0001”
5、查看 存档邮箱
#查看 存档邮箱(列表为空,不做处理)
Get-Mailbox -Archive -Database “Mailbox Database 1621693896”
6、查看 公用文件夹邮箱
#查看 公用文件夹邮箱(列表为空,不做处理)
Get-Mailbox -PublicFolder -Database “Mailbox Database 1621693896”
7、查看 仲裁邮箱
#查看 仲裁邮箱
Get-Mailbox -Arbitration -Database “Mailbox Database 1621693896”
#将 仲裁邮箱 使用命令迁移到"DB0001"
Get-Mailbox -Arbitration -Database “Mailbox Database 1621693896” | New-MoveRequest -TargetDatabase “DB0001”
8、查看 审核日志邮箱
#查看 审核日志邮箱
Get-Mailbox -Database “Mailbox Database 1621693896” -AuditLog
#将 审核日志邮箱 使用命令迁移走
Get-Mailbox -Database “Mailbox Database 1621693896” -AuditLog | New-MoveRequest -TargetDatabase “DB0001”
9、查看 监控邮箱
#查看 监控邮箱
Get-Mailbox -Database “Mailbox Database 1621693896” -Monitoring
#将 监控邮箱 使用命令迁移到"DB0001"
Get-Mailbox -Database “Mailbox Database 1621693896” -Monitoring | New-MoveRequest -TargetDatabase “DB0001”
10、检查 迁移进度
#检查迁移进度
Get-MoveRequest
11、删除迁移请求记录
#删除迁移请求记录
Get-MoveRequest | Remove-MoveRequest
12、删除默认系统数据库
#此时真正的可以删除该Exchange2019的默认邮箱了
在 EAC 中→服务器→数据库→选中要删除的数据库→点击 “删除” 按钮→警告:是。
12、手动删除邮箱数据库文件
#找到本地磁盘Exchange 数据库 (.edb) 文件路径位置,从硬盘中手动删除邮箱数据库文件 Mailbox Database 1682391982。
13、同样,删除邮箱数据库:Mailbox Database 1682391982
按步骤重新来一遍删除操作。
(4)创建邮箱数据库副本
1、“DB0001” 添加数据库副本
为在服务器DCMAIL001上的 “DB0001” 邮箱数据库→添加数据库副本:指定邮箱服务器选择 DCMAIL002→保存
2、“DB0002” 添加数据库副本
同样,为在服务器DCMAIL002上的 “DB0002” 邮箱数据库→添加数据库副本:指定邮箱服务器选择 DCMAIL001→保存。
7.1、未送达报告、退回邮件、NDR
- 当邮件传送出现问题时,Exchange 会向邮件发送方发送一个 NDR,指示存在问题。 NDR 包括一个代码,用于指示未传递消息的原因,以及帮助传递消息的可能解决方案。
https://learn.microsoft.com/zh-cn/exchange/mail-flow/non-delivery-reports-and-bounce-messages/non-delivery-reports-and-bounce-messages?view=exchserver-2019 - Exchange Server使用传递状态通知 (也称为 DSN、未送达报告、NDR 或退回邮件) 向邮件发件人提供传递状态和失败通知消息。
https://learn.microsoft.com/zh-cn/exchange/mail-flow/non-delivery-reports-and-bounce-messages/ndr-procedures?view=exchserver-2019 - 在 Exchange中发送电子邮件非送达报告和 SMTP 错误
https://learn.microsoft.com/zh-cn/exchange/troubleshoot/email-delivery/ndr/non-delivery-reports-in-exchange-online
(四)取消普通域用户将计算机加入域的权限
1、普通账户将计算机加入域
用OU下的普通账户kuaiji将客户端计算机win11加入contoso.com域。
2、加域成功
3、退域
用kuaiji@contoso.com账户登录这台加入的计算机Win11,用域管理员账户将计算机退域。
4、取消普通域用户将计算机加入域的权限
说明:
普通用户加入域后默认是在Domain Users组里,该组中用户具有将10台计算机加入域的权限,在一些安全要求极高的企业是绝对不允许的,存在较高的风险,所以需要禁止普通Domain Users组中用户加域权限;但是可能公司部门较多的时候需要有二级网管来负责普通的运维,比如将某部门新入职员工计算机加入域,但是不能将超管的密码外泄所以需要专门用来加域的用户;
(1)、ADSI 编辑器
禁用普通Domain Users组的加域权限(管理员账号不受此限制)
使用管理员的账号登陆域控制器,依次点击 开始–>管理工具–>ADSI 编辑器,然后右键 ADSI编辑器,点击连接到:
(2)、设置ms-DS-MachineAccountQuota属性值为0
在 DC=contoso,DC=com 处右击属性(域级别),ms-DS-MachineAccountQuota属性,双击,将默认值10,修改成值为0,并单击确定;
(3)、普通账户将计算机加入域:失败报错
用OU下的普通账户kuaiji将客户端计算机win11加入contoso.com域,加域失败报错。说明已经取消普通域用户将计算机加入域的权限。
(4)、域管理员账户将计算机加入域:成功
用域管理员账户tempadmin将客户端计算机win11加入contoso.com域,加域成功。
(5)、退域
用kuaiji@contoso.com账户登录这台加入的计算机Win11,用域管理员账户tempadmin@contoso.com将计算机退域。
5、授权特定普通域用户将计算机加入域的权限
(1)、新建一个域用户
新建一个域用户testaccount,可以看到新用户默认是在Domain Users组里,该组中用户默认具有将10台计算机加入域的权限。
已经将ADSI编辑器中的ms-DS-MachineAccountQuota属性值设置为0,所以这个testaccount账户也不能将计算机加域;
(2)、委派控制
打开AD管理工具,选择 contoso.com(域级别),右击属性,选择委派控制。
(3)、添加需要提升为具有将计算机加入域的账号(普通域账号)
添加需要提升为具有将计算机加入域的账号:testaccount(普通域账号)
(4)、委派testaccount账户将计算机加入到域
在委派页面选择将计算机加入到域,并单击下一步,完成。
在下面的页面,单击完成,退出,就完成了对普通用户的权限提升。
这样就可以使用 testaccount 用户将计算机加入到域中,并且没有次数限制;
(5)、加域(使用委派用户)
用已经给普通用户委派将计算机加域的权限testaccount账户,将客户端计算机win11加入contoso.com域。
(6)、加域成功
(7)、退域(使用委派用户)
必须管理员账户退域。普通账户退不了域。
6、管理委派
(1)、查看委派
1、打开“Active Directory 用户和计算机”–>“查看”–>“高级功能”;
2、在DC域"contoso.com"上右键属性找到"安全",点"高级",切换到"有效的权限",点选择,输入用户帐号testaccount,点确定即可查看该用户帐号在域中的最终有效权限;
(2)、删除委派
1、“Active Directory 用户和计算机”>“查看”>“高级功能”选中;
2、找到委派的对象OU,再切换到“安全”标签,找到委派的用户或组把它删除即可;
扫一扫
3619
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
