解決Windows 域管理的幾個(gè)經(jīng)典問(wèn)題近日在為公司配置域管理架構(gòu)的時(shí)候，遇到了一些問(wèn)題，上網(wǎng)google 發(fā)現(xiàn)這些問(wèn)題的提問(wèn)者眾多，堪稱“經(jīng)典”問(wèn)題。Windows 域管理已經(jīng)不是什么新鮮玩意兒了，

解決Windows 域管理的幾個(gè)經(jīng)典問(wèn)題

近日在為公司配置域管理架構(gòu)的時(shí)候，遇到了一些問(wèn)題，上網(wǎng)google 發(fā)現(xiàn)這些問(wèn)題的提問(wèn)者眾多，堪稱“經(jīng)典”問(wèn)題。Windows 域管理已經(jīng)不是什么新鮮玩意兒了，可網(wǎng)上各類答案很多驢唇不對(duì)馬嘴，互相抄來(lái)抄去，讓提問(wèn)者不得要領(lǐng)。特撰此文，將我實(shí)際解決問(wèn)題的小小經(jīng)歷記錄下來(lái)與大家分享，避免大家遇到相同問(wèn)題的時(shí)候走彎路。

我公司的網(wǎng)絡(luò)結(jié)構(gòu)采用VLAN 劃分部門(mén)，服務(wù)器單獨(dú)一個(gè)VLAN ，通過(guò)在核心交換機(jī)上配置路由和ACL 實(shí)現(xiàn)各部門(mén)之間不可互訪，通過(guò)訪問(wèn)服務(wù)器進(jìn)行數(shù)據(jù)交換。服務(wù)器是Win 2003企業(yè)版，不記得用什么光盤(pán)裝的了，反正網(wǎng)上下的，裝完后打過(guò)SP2補(bǔ)丁，安裝的Win2000域控制器模式（有Win2000的服務(wù)器）。

域名：binhu.local

主域控制器：192.168.0.6/24 192.168.0.254/24（雙網(wǎng)卡）這個(gè)網(wǎng)段只有網(wǎng)管部門(mén)可訪問(wèn)，本來(lái)是調(diào)試用的，還沒(méi)有正式遷移到服務(wù)器網(wǎng)段，不過(guò)可以和服務(wù)器網(wǎng)段建立通信。

額外域控制器：192.168.2.254/24 服務(wù)器網(wǎng)段

DNS ：192.168.2.254

DHCP ：192.168.2.254 已經(jīng)通過(guò)交換機(jī)的UDPHelp 把各個(gè)VLAN 的DHCP 網(wǎng)段都做好了，只配置了IP 、網(wǎng)關(guān)、DNS 。

局域網(wǎng)計(jì)算機(jī)有Win2k Pro 和WinXP Pro ，W2k 是用自己封裝的ghost 批量安裝的，xp 是用的YlmF_GhostXP_SP3_Y1.0，當(dāng)然都是會(huì)隨機(jī)產(chǎn)生SID 啦，全部采用自動(dòng)獲取IP 地址，安裝后默認(rèn)設(shè)置不變，XP 自帶防火墻開(kāi)啟，配置如圖1。

（圖1）

在客戶端可以Ping 通服務(wù)器IP 地址以及binhu.local ?？傊W(wǎng)絡(luò)層的互聯(lián)互通是OK 的，下面的問(wèn)題全都不是由網(wǎng)絡(luò)配置問(wèn)題造成的，如果您確定您的網(wǎng)絡(luò)配置都正確，并且網(wǎng)絡(luò)結(jié)構(gòu)和我大致相同或比我的還簡(jiǎn)單，可以繼續(xù)往下看！

問(wèn)題1：新計(jì)算機(jī)在添加到域的過(guò)程中，按提示輸入了域帳戶和密碼后，系統(tǒng)提示“找不到網(wǎng)絡(luò)路徑”。

答：?jiǎn)?dòng)計(jì)算機(jī)的“TCP/IP NetBIOS Helper”服務(wù)。很不幸，我做的w2k 鏡像和ylmf 的xp 鏡像剛好都把該服務(wù)設(shè)為了手動(dòng)，為了這個(gè)問(wèn)題我專門(mén)硬裝了一遍xp ，剛裝好是可以加入域的，而在我習(xí)慣性的“優(yōu)化”完系統(tǒng)以后，又“找不到網(wǎng)絡(luò)路徑”了，經(jīng)過(guò)逐項(xiàng)排除，終于鎖定到這個(gè)問(wèn)題的關(guān)鍵，從發(fā)現(xiàn)問(wèn)題到解決問(wèn)題花了我2個(gè)小時(shí)。還是值得的，至少不用理會(huì)某些人說(shuō)的“要在域環(huán)境下正常工作就不要使用ghost”之類的話。

問(wèn)題2：加入到域的計(jì)算機(jī)，無(wú)法在域控制器上打開(kāi)“計(jì)算機(jī)管理”。

答：剛把計(jì)算機(jī)test 加入到域，我就迫不及待的登陸到域控制器，想通過(guò)AD 控制臺(tái)遠(yuǎn)程打開(kāi)該計(jì)算機(jī)的“計(jì)算機(jī)管理”，結(jié)果又彈出提示“找不到test.binhu.local 的網(wǎng)絡(luò)路徑”，

郁悶ing 。嘗試在域控制器上ping 了一下test.binhu.local ，居然提示“Ping request c ould not find host test.binhu.local.”，域名解析失??！趕緊檢查DNS 記錄，發(fā)現(xiàn)tes t.binhu.local 主機(jī)記錄安然的躺在正向搜索區(qū)域中，看來(lái)不是DNS 服務(wù)器的問(wèn)題。猛然想起本地DNS 緩存，趕緊關(guān)閉“DNS Client”服務(wù)，再次嘗試問(wèn)題解決。原來(lái)即使是在D NS 服務(wù)器上進(jìn)行域名解析，也不是直接查找的DNS 數(shù)據(jù)庫(kù)?。】偨Y(jié)經(jīng)驗(yàn)：在局域網(wǎng)部署過(guò)程中，網(wǎng)絡(luò)節(jié)點(diǎn)變化比較頻繁，建議關(guān)掉網(wǎng)絡(luò)計(jì)算機(jī)上的本地DNS 緩存服務(wù)，待局域網(wǎng)正常運(yùn)作之后，網(wǎng)絡(luò)節(jié)點(diǎn)變化較少，再根據(jù)DNS 服務(wù)器響應(yīng)DNS 請(qǐng)求的負(fù)荷來(lái)考慮是否有必要打開(kāi)該服務(wù)。

問(wèn)題3：加入到域的計(jì)算機(jī)，在域控制器上打開(kāi)“計(jì)算機(jī)管理”，部分項(xiàng)無(wú)法管理。

答：打開(kāi)“計(jì)算機(jī)管理”后，發(fā)現(xiàn)“本地用戶和組”打，除了可以查看“共享文件夾”下的內(nèi)容外，其它項(xiàng)目都不能正常查看。在經(jīng)歷了上面2道磨難后，又遇到這種問(wèn)題，是不是倍受打擊呢？其實(shí)對(duì)于稍微“馬虎”一點(diǎn)的管理員，一般都不會(huì)碰到這個(gè)問(wèn)題。無(wú)奈我配置域管理的目的是為了便于分發(fā)安全策略，不得不“精細(xì)化管理”，從組策略到服務(wù)到共享到防火墻統(tǒng)統(tǒng)折騰了一遍...... 還是很有收獲的！在無(wú)數(shù)次的“gpupdate”之后，摸索到一些既不影響“計(jì)算機(jī)管理”，又能一定程度提高安全性的方法。

（1）共享：有IPC$即可，其它默認(rèn)共享都可以關(guān)掉。

（2）網(wǎng)絡(luò)組件：必須安裝“Microsoft 網(wǎng)絡(luò)文件和打印機(jī)共享”，且必須打鉤。

（3）內(nèi)置防火墻：需要允許“文件和打印機(jī)共享”，且不限制135、137、138、139、445等端口的監(jiān)聽(tīng)。（當(dāng)然您可以用更強(qiáng)大的防火墻進(jìn)行數(shù)據(jù)篩選，看個(gè)人功力了:）

（4）服務(wù)：需要啟動(dòng)“Server”、“TCP/IP NetBIOS Helper”、“Remote Registry”服務(wù)。

（5）組策略：為了增強(qiáng)網(wǎng)絡(luò)訪問(wèn)安全性，我在安全選項(xiàng)中啟用了“不允許 SAM 帳戶的匿名枚舉”、“不允許 SAM 帳戶和共享的匿名枚舉”、“限制對(duì)命名管道和共享的匿名訪問(wèn)”等三個(gè)選項(xiàng)，事實(shí)證明不會(huì)影響到“計(jì)算機(jī)管理”。由于進(jìn)行了(1)~(4)項(xiàng)配置，只有以其它方式來(lái)禁止共享文件夾了。我在“用戶權(quán)限分配”中將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”設(shè)為僅有“Domain Admins”組，又把“拒絕從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”設(shè)為“Domain Users 、Users 、Power Users 、Guests”，不能從域控制器遠(yuǎn)程打開(kāi)“計(jì)算機(jī)管理”了。經(jīng)過(guò)分析，是由于我登陸到域控制器的管理員帳戶默認(rèn)也是“Domain Users”組的成員，將它拿出來(lái)，再試還是不行，直到我把Users 組從“拒絕從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”選項(xiàng)中拿出來(lái)以后，又可以正常打開(kāi)了。原因可能是：1. 該管理員帳戶同時(shí)也是Users 組成員，在升級(jí)為域控制器之后，沒(méi)辦法從Users 組中拿出來(lái)了，我沒(méi)有進(jìn)一步嘗試；2. 域管理員帳戶通過(guò)網(wǎng)絡(luò)訪問(wèn)客戶機(jī)，會(huì)被自動(dòng)應(yīng)用到Users 組成員中，純屬猜測(cè)，沒(méi)有詳細(xì)查資料。總而言之，只好放任Users 組成員不管了，好在我禁用了客戶機(jī)的本地帳戶，只能登陸到域，變成Domain Users 就歸我管了，嘿嘿，基本解決了禁止文件夾共享的問(wèn)題了吧，現(xiàn)在即使是在客戶機(jī)設(shè)置了EveryOn e 完全訪問(wèn)的共享文件夾，普通用戶也拒絕訪問(wèn)。

當(dāng)然你也可以完全不理會(huì)是否打得開(kāi)“計(jì)算機(jī)管理”，那就得自己測(cè)試一下是否能正確分發(fā)組策略了。

問(wèn)題4：Domain Users 無(wú)法運(yùn)行AutoCAD R14等軟件的問(wèn)題。

答：說(shuō)到域環(huán)境下部署應(yīng)用程序的問(wèn)題，這涉及到企業(yè)軟件管理制度、計(jì)算機(jī)管理制度等方面，可談的話題十分寬泛，這里僅從不控制軟件使用的角度上講一講在域環(huán)境下部署應(yīng)用程序的一些思路。

（1）在FAT32目錄下安裝的軟件、綠色軟件等等，很多是可以不用部署直接運(yùn)行的。（不

到萬(wàn)不得已不推薦用FAT32）

（2）在組策略上啟用“軟件限制策略”，按默認(rèn)即可，大部分軟件馬上能夠正常運(yùn)行。

（3）按（2）設(shè)置后，對(duì)于Autocad r14這樣的老軟件，不妨試一試新版本，Autocad 2006就可以正常運(yùn)行，經(jīng)我測(cè)試的Matlab6.5、Protel99se 、SolidWorks 2006等都可以正常運(yùn)行。

（4）還不能運(yùn)行的軟件，用組策略的“軟件安裝”功能，先把軟件制作成MSI 安裝包，再放到共享點(diǎn)，再配置組策略。制作MSI 包的工具在Win2003的安裝光盤(pán)上有。

（5）軟件不能正常運(yùn)行的原因無(wú)非是注冊(cè)表、文件的訪問(wèn)權(quán)限不夠，可以以管理員模式來(lái)啟動(dòng)軟件，同時(shí)用FileMon &RegMon 等工具來(lái)監(jiān)視其訪問(wèn)了哪些注冊(cè)表項(xiàng)和文件，然后在組策略的“注冊(cè)表”和“文件系統(tǒng)”中一一配置權(quán)限即可。一般能夠正常啟動(dòng)的軟件，基本上也都能正常運(yùn)行了。

如果您對(duì)本文中所提到的解決問(wèn)題的方法感興趣，并想詳細(xì)了解具體原理，推薦訪問(wèn)微軟的知識(shí)庫(kù)。