网络管理员需注意的域控制器五种错误操作

域控制器错误及相关解决办法１、用户帐户被意外锁定，并在 Windows Server 2003 中记录的事件 ID 12294事件 ID 12294参考：/kb/887433/zh-cn原因当您的网络上的计算机感染了 W32.Randex.F 蠕虫病毒或与它的变量时，可能会发生此问题。

解决方案若要解决此问题，请使用最新的可用的病毒定义在网络上运行完整的病毒扫描。

若要删除 W32.Randex.F 蠕虫病毒使用扫描。

有关如何执行病毒扫描或如何获取最新的病毒定义的信息，请参阅您的防病毒软件文档或与制造商联系。

2、事件 ID 1699 记录许多次并填充基于 Windows Server 2008 的可写域控制器的目录服务事件日志事件 ID 1699参考：/?scid=kb%3Bzh-cn%3B953392&x=12&y=12原因当 Windows Server 2008 RODC 试图缓存的主要用户的密码时，可写域控制器将执行检查以确定是否允许此操作。

如果不允许此操作，是将返回错误代码。

这是预期的行为。

但是，不正确可能返回错误代码时记录事件 1699解决方案若要解决此问题可用的修补程序。

安装此修补程序后，服务器不会在"原因"部分中提到的情况下记录事件 ID 1699。

在其他的方案中仍被记录该事件。

3、Windows Server 2008 上和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用旧默认情况下与 Windows NT 4.0 兼容的加密算法事件ID58055722参考：/?scid=kb%3Bzh-cn%3B942564&x=8&y=10原因出现此问题是由于基于 Windows Server 2008 的域控制器上的允许与 Windows NT 4.0 兼容的加密算法策略的默认行为。

若要防止 Windows 操作系统和第三方客户端使用弱加密算法，以建立到基于 Windows Server 2008 的域控制器的NETLOGON 安全通道配置此策略。

1、怎样限制一个域用户登录指定的计算机？（1）、先在域控制器的Active Directory用户和计算机中找到要限制的用户（比如叫insistence）。

（2）、然后右键点击用户insistence的属性，找到账户这一项。

点击登录到，会出现下图。

如果仅让他登录only这台主机就在下列计算机中就需要选中下列结算机然后输入可访问的机器only，点击添加即可！注意：如果想立即看到效果，可以在域控制器上使用命令gpupdate /force强制刷新组策略，然后再在域成员机器上使用该命令刷新就ok了！2怎样让域用户拥有本地管理员权限！（1）右键点击我的电脑→管理，出现下图。

（2）点击本地用户和组→组,出现如下图！（3）右键点击administrators→属性。

（4）点击添加（5）确定，然后根据提示输入一个域控制器上的有足够权限的用户名和密码就ok可！重新用该用户登录就具有本地超级管理员权限了！注意：如果没把该用户加入到本地管理员组中，即使该域用户拥有用控制器上的超级管理员权限，但他在本地计算机上的权限也是guest用户的权限！3、在2003域环境下搭建用Active Directory隔离用户的FTP服务器。

（1）前提是本机有一个固定的ip地址，并且IIS服务中的FTP服务已经安装完毕最主要的是它在域环境中。

（2）开始→程序→管理工具→Internet信息服务（3）右键单击FTP站点→新建FTP站点进行如下操作（4）然后需要安装一个第三方软件来修改ftp用户的文件存放目录和路径。

本软件在windows2003系统盘中:\SUPPORT\TOOLS下的SUPTOOLS.MSI这一文件，双击安装即可（注意：有的SUPTOOLS.MSI中没有这一文件可以下载一个adsiedit.dll文件，然后把它放到C:\WINDOWS\system32下，点击注册即可，安装时先放进adsiedit.dll文件在安装SUPPORTTOOLS.MSI）（5）然后开始→运行→adsiedit.msc→Domain []→OU=ftp→CN=only→然后右键单击only属性找到并双击m slls-FTPDir对其尽心编辑，在里面输入only，这是规定only的访问目录。

域控制器错误及相关解决办法１、用户帐户被意外锁定，并在 Windows Server 2003 中记录的事件 ID 12294事件 ID 12294参考：/kb/887433/zh-cn原因当您的网络上的计算机感染了 W32.Randex.F 蠕虫病毒或与它的变量时，可能会发生此问题。

解决方案若要解决此问题，请使用最新的可用的病毒定义在网络上运行完整的病毒扫描。

若要删除 W32.Randex.F 蠕虫病毒使用扫描。

有关如何执行病毒扫描或如何获取最新的病毒定义的信息，请参阅您的防病毒软件文档或与制造商联系。

2、事件 ID 1699 记录许多次并填充基于 Windows Server 2008 的可写域控制器的目录服务事件日志事件 ID 1699参考：/?scid=kb%3Bzh-cn%3B953392&x=12&y=12原因当 Windows Server 2008 RODC 试图缓存的主要用户的密码时，可写域控制器将执行检查以确定是否允许此操作。

如果不允许此操作，是将返回错误代码。

这是预期的行为。

但是，不正确可能返回错误代码时记录事件 1699解决方案若要解决此问题可用的修补程序。

安装此修补程序后，服务器不会在"原因"部分中提到的情况下记录事件 ID 1699。

在其他的方案中仍被记录该事件。

3、Windows Server 2008 上和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用旧默认情况下与 Windows NT 4.0 兼容的加密算法事件ID58055722参考：/?scid=kb%3Bzh-cn%3B942564&x=8&y=10原因出现此问题是由于基于 Windows Server 2008 的域控制器上的允许与 Windows NT 4.0 兼容的加密算法策略的默认行为。

若要防止 Windows 操作系统和第三方客户端使用弱加密算法，以建立到基于 Windows Server 2008 的域控制器的NETLOGON 安全通道配置此策略。

需要注意的域控制器五种错误操作一、不安装DNS犯这种错误的大多数新手。

因为一般在安装活动目录时，如果没有安装DNS，系统会给出相应的警告。

只有新手才会直接忽略。

也有朋友做过尝试，不装DNS，而用WINS是可以的，但是用户会发现登陆的时候速度相当慢。

虽然还是可以用Netbios名访问网上邻居中的计算机，但其实是无法使用域资源的。

这是因为在域环境网络中，DNS起到的不仅仅是一个域名解析的作用，更主要的是DNS服务器起到一个资源定位的作用，大家对于DNS的A记录应该有很深的了解，实际上，在A记录之外，还有很多其它的如SRV之类的记录。

而这些资源没办法用IP直接访问，也不是WINS服务器能够做到的。

所以部署活动目录请一定要安装DNS。

二、随意安装软件由于域控制器在域构架网络中的作用是举足轻重的，所以一台域控制器的高可能性是必须的，但是太多的管理员朋友忽视了这一点。

笔者曾见一个酒店网络的域控制器上装了不下三十个软件，甚至包括一些网络游戏之类的软件，如边锋、传奇等，还有一些MP3播放器，VCD播放器等。

这样直接导致的结果就是软件冲突加重，而且即使是软件卸载，也会在注册表中存有大量无用信息，这些信息完全无法用手工方法卸载。

于是，借助第三方软件，比如超级兔子、优化大师的，虽然这些软件都有清理注册表和提速的功能，但是域控制器毕竟不是个人PC，重装一次之后，很多网络的计算机名和域名都有可能更改，影响相当大。

对于服务器而言，稳定大于一切。

三、操作方法不正确网络管理员往往都是技术爱好者，所以对于自己机器的设置往往更加“个性化”。

比如，有的网管一时兴起，增加一台额外域控制器，然后再增加一个子域，而哪天因为系统问题或者心情不爽，往往也不降级，直接把那些子域域控制器，额外域控制器等统统格式化，然后重装。

这样反复操作，往往会导致活动目录出错，直到无法添加为止。

笔者曾帮助一个网管修复域控制器，在检查中发现里面莫明其妙的有很多的域控制器，但是网络上却又没有这些域控制器，而且活动目录经常出错。

网络管理最常见十大错误 -电脑资料相信很多网络技术人员和工程师会经常碰到十分令人头疼的问题，网络管理最常见十大错误。

那今天就先分析分析，看看是不是这十种最常见的网络管理问题都在你身边出现过呢?是不是知道这些问题可以造成网络隐患而危及你的网络呢？1.UPS(不间断电源)的使用问题为什么别的企业网络系统的寿命总是比自己公司的长?尽管公司那台很老的服务器几乎难以满足运营的需要，但经营者甚至连更换UPS中的电池都不愿意，事实上电池每两年就应该更换一次。

终于有一天突然停电了，而这个UPS实在是太老了，它已经不能控制服务器安全关机了。

电池能量大部分早已耗尽，所以它也很快没电了。

结果，防控异常情况的控制器没能起到正常关闭服务器的作用。

公司每日的正常运转和交易事宜全靠这个服务器。

修复服务器花了三天时间，而弥补由此带来的损失需要花费更长时间。

事实上，一个价值仅75美元的电池就能有效避免上述事情的发生。

2.没有整理好所需要的东西一个电话打进公司总部说某个分公司的服务器出了问题，网络管理员飞奔出办公室，驱车一小时到达出事地点。

结果，他发现操作系统文件被毁坏了一部分，这样，他所有能做的只有重新安装操作系统。

该分公司的网络管理员一时找不到安装盘，没关系，这位总部的管理员有，不过在他的办公室里――离这里单程一小时、往返两小时。

收拾好一个背包，随身带着。

所有你可能需要的东西，包括你的用户所使用的操作系统备份，都应该在背包里放着。

这是很容易做到的，不需要花费些什么，但在更新操作系统之类的问题上能起到关键性作用。

3.没有安装补丁一个玩具制造商的服务器连接出了问题，使得全体职员与自己的文件都失去了联系，生产被迫停止两天。

损失严重!一位新近被雇的网络管理员负责解决这个危机。

他很快发现以前的网络管理员在三年前安装系统的时候没有安装补丁。

补丁是免费提供的，也许它们不是开放式的，但它们通常是很容易配置，任何一个系统管理员都能够做到。

之前的那位管理员说，因为系统运行得很好，所以不需要打补丁。

网络管理员爱犯的毛病网络管理员这份工作，说容易容易，说不容易也不容易。

因为你想入门是比较轻松的，但是，你若想精通，就有点困难了。

因为一个合格的网络管理员，只要技术过硬就可以了;但是，若要成为一个优秀的网络管理员，不仅技术上要过硬，还有其他很多方面，特别是要养成一些好的工作习惯。

可惜的是，由于网络管理员成长经历的限制，让他们养成了很多不好的工作习惯。

网络管理员爱犯的毛病（一）毛病一：备份工作不力按时做好服务器数据备份，这是防止数据丢失最使用的方法之一。

但是，在数据备份这样一件简单的工作上，我们有些网络管理员，也会犯毛病。

1. 备份文件名字不按日期编写，难以区分。

如一个朋友，他在一家商场中做网络管理员。

商场采用了一套管理系统，用来记录日常的业务。

但是，这套软件有个不好的方面就是备份作业设计得不好。

其可以自动备份，但是，都只能以一个文件名字备份。

如此的话，每天都要去手动地拷贝一下备份文件，这显然很麻烦，也是很不安全的一件事情。

后来我朋友听从了我的建议，利用服务器的任务计划，每当服务器备份好数据以后，就自动把备份文件考到其他目录上去，并自动改名，在原先的名字后面加上日期的编号。

2. 备份文件不在异地备份，出了问题后悔莫及。

备份文件一般不仅要在本机进行备份，而且，还必须要在异地也进行备份。

如此，才能够防止因为服务器硬盘的损坏，而导致数据的丢失。

以前有家企业，规规矩矩地每天对数据进行备份，一周六天差异备份、一次完全备份。

但是，问题是其只把备份文件在本机上备份，而没有在其他机器上备份。

虽然说，硬盘一般来说不容易损坏，但是，天有不测风云。

一天，他们企业的服务器不知道怎么回事情，竟然被偷了。

而因为其备份文件都存在本机上，在异地上的备份文件还是一个月以前的。

到这个时候，网络管理员再后悔也来不及了，毕竟没有后悔药吃。

后来没办法，只好加好几个通宵，把办公室文员都掉过来输单据，才把一个月的单据补齐。

从此之后，网络管理员就学聪明了，不但在本机上保存备份文件，而且，还在异地的两个硬盘上，保存备份文件，以防不时之需。

五种最常见的防火墙策略故障处理诸如允许恶意流量进入或阻止合法流量这样的错误，可能就是检测防火墙策略问题，以及执行自动校正防火墙策略错误。

在San Jose举行的LISA会议上，Michigan State大学的研究员Fei Chen、Alex X. Liu 以及North Carolina State大学的JeeHyun Hwang、Tao Xie联合发布了一篇题为《自动校正防火墙策略故障的关键步骤》的论文，论文概括地介绍了防火墙策略故障模式，同时也简要提出了五种常见的策略问题类型，并对这五种类型的问题提出了自动的校正技术解决方案。

这篇论文的基本前提是对纠正错误数据包的重要性认识，因为我们知道找到所有这些错误的数据包并做更正是不太可能的。

因此，最佳的做法就是在采样的错误数据包基础上创建策略变更，同时这种方法还可用于更大型的数据包。

该论文中提到的五种最常见的防火墙策略故障包括：1.次序错误：防火墙秩序混乱时，会出现错误地配置。

当在防火墙策略初期添加一些新规则时，如果没有认真考虑新规则和原始规则之间的顺序，就次序错误就会发生。

2.缺失规则：当管理员添加新规则，但却忘记把新规则添加至原始防火墙策略时，就会发生此类故障。

3.判断错误：当管理员根据安全需求对某些规则做判断时，有一些特殊的案例可能会被忽略，这时就会发生判断失误。

4.决策错误：此种错误归因于在设置规则后的错误决策。

5.外部规则错误：此种类型的错误表明，管理员需要从原始的策略中删除某些规则。

当管理员添加了新规则，却忘记删除旧规则时，旧的规则会过滤出一个和新规则相似的数据包，这时就会出现这种错误了。

自动校正防火墙策略故障的实施研究人员建议使用agreedy算法，来解决上述问题。

在他们的实验中，研究人员在每个步骤中都确定了一个策略故障，之后计算出成功或失败的实验次数，来确定他们使用的方法是否为最恰当的。

接下来研究人员计算了修正每种类型的故障时的试验次数，用来选择能够最大可能成功完整实验的最恰当的方法。

网管常见错误报告认证流程：校园网认证，电信认证校园网认证问题：一、找不到认证交换机：用户端接不上交换机1、网卡故障①多张网卡解决方法：选中正确的网卡②网卡驱动出错③网卡物理性故障2、网线问题解决方法：替换网线3、端口故障解决方法：替换端口排除二、找不到radius服务器解决方法：①等多一会儿再连多几次。

②查看有没有多余的802.1x认证。

③重启交换机三、联想软件找不到网卡解决方法：①重装网卡驱动②软件冲突：360安全卫士、winpcap……③换联想版本四、一张网卡不能绑定多个ip地址：ipv6协议问题解决方法：取消ipv6认证五、需要解绑的问题：①IP地址受限②Mac地址限制③认证失败六、能上外网，不能上校园网①确认ip地址等没有错②使用“生成的命令”③使用“删除教育网路由”七、常用的方法①解绑、②重装网卡驱动③重装tcp/ip协议netsh int ip reset C:\resetlog.txt④重装认证软件电信认证问题：一、常见pppoe拨号连接错误当校园网认证通过后，接着就进行pppoe拨号。

如果pppoe拨号不成功就会出现相应提示常见错误提示如下：619指定的端口未连接。

重新启动计算机，以确保所有最近所作的配置更改都能生效。

676电话线忙。

重拨号码。

在连接属性的“选项”选项卡中实现自动重拨。

如果是虚拟专用网络(VPN) 连接，则检查目标服务器的主机名或IP 地址，然后再次尝试连接。

还要与系统管理员联系，以验证远程服务器是否正在运行。

有人盗用了网卡的mac地址，当盗用这mac地址的电脑上线时，电信的系统就认定已经在线了，所以这时再拨号就相当于拨号成功后又拨号，那肯定是“电话占线”了691因为用户名和/或密码在此域上无效，所以访问被拒绝。

①账号或密码输入错②替换账号测试③Vlan被绑定，④找电信营业厅711 远程访问服务管理器无法启动。

事件日志中提供了其他信息。

①可能没有运行“远程访问连接管理器”服务。