最近微软搞了一个活动,为中国的微软讲师出了份考题,有20位讲师朋友参加了回答(竟然就要在这些人当中评选出中国最好的微软讲师!!!!)。下面就是题目和他们的回答,我看这些回答水平参差不齐,另外有些郁闷(如果要是我参加。。。。。)
No.01迁移域控制器有哪些要考虑的问题?
1号参赛者答案:
无
-------------------------------------------------------------------------------
2号参赛者答案:
我觉得可以用如下方法: 首先,我们可以用ADMT这个AD迁移工具进行迁移操作. 但是,在迁移以前我们需要将原有AD信息进行备份,以便迁移出现问题时能够及时的恢复. 其次在使用ADMT的工具的时候可能会遇到以下问题:
(1)安全程序包无法整理登录缓冲区,报错登录不成功.解决方法:重新配置信任域。
(2)无法创建终结点.解决方法:检查DNS配置。最后在迁移好后,我们可以采用NETDIAG工具诊断一下AD是否正常运作. 另外ADMT建议用2.0版本,这样可以连密码一起迁移到新的域中.
-------------------------------------------------------------------------------
3号参赛者答案:
1.首先确定被迁移的域控制器的硬件满足安装windows2000的需求。
2.升级nt4或nt3.51域中的pdc到windows2000的dc
3.如果是nt3.0或3.5必须先升级到nt4.0或nt3.51再升级到windows2000
4.如果还有nt4.0的bdc存在,必须保持windows2000域为混合模式
5.当把所有nt的bdc全升级到windows2000后,再将域改为本机模式
-------------------------------------------------------------------------------
4号参赛者答案:
预备安装介质和备用的服务器,选择在不影响用户的日期进行升级和迁移。 备份原先的服务器必要时包括客户计算机上用户数据的备份。 (如果需要,可以使用Ghost备份整个服务器硬盘,以便今后的恢复到原有状态)设置迁移至新建域结构,设计有关迁移至新建域结构的策略和使用工具,例如ADMT,The NetIQ Migration Suite等等直接升级NT域控制器,或新安装一台Windows 2000服务器,然后升级为域控制器和(PDC),然后再升级原有的NT域控制器。验收测试。部署是否能够如期正常进行。 安装及管理人员准备执行的操作程序(重置许可、密码变更、用户数据的复原)。
-------------------------------------------------------------------------------
5号参赛者答案:
1.DNS的名称解析。因为每个DNS的每个AD DC之间都会要保持正常通讯才可以好好应用LDAP服务,所以,DC的位置的迁移首先要保证DNS的正常名称解析。
2.上下级的关系。AD是一个多极空间结构,DC之间的通讯需要维持。
3.复制的效果。AD中DC的复制过程中有两个部分要整个目录林内复制才可以,所以迁移工作要保证复制的成功率。
4.设置的保留。DC上拥有多项设置是和用户的访问相关的,诸如:组策略、用户帐户、组账户、审核日志等,迁移之前要做好所有备份工作。
5.安全性的注意。DC要进行用户身份的验证,所以要保证迁移顺序可以维持正常用户登录。
6.当然,还有些涉及的方面要看具体的问题才可以确定。
-------------------------------------------------------------------------------
6号参赛者答案:
1.是否是本机升级,还是跨服务器的升级。
2. 服务器的版本。
3.使用符合AD所需求的DNS服务器。
4.保证网络的正常通讯。
5.如果在同一森林中用ADMT做迁移,则源和目标必须是NATIVE MODE
6.如果在不同森林中用ADMT做迁移,则目标必须是NATIVE MODE,而且必须建立双向信任。
7.ADMT应在目标域控制器上运行。
8.考虑服务器的硬件必须符合WIN2K SERVER的硬件要求。
9.升级后,可以考虑DC的容错。
10.确认FSMO角色是否正常。
-------------------------------------------------------------------------------
7号参赛者答案:
1、 保存 Windows 2000 之前版本的备份域控制器 (BDC)。 如果在迁移期间出现了任何问题,您可以将所有的 Windows 2000 计算机从生产环境移走,然后将 BDC 备份置于您的网络上并使之成为新的 PDC。然后,这个新的 PDC 将它的数据复制到所有的 BDC,而且该域将返回到它以前的状态。 这种方法的唯一缺点就是:安全 BDC 脱机时进行的所有更改都将丢失。为使损失降到最低,您可以在迁移期间将安全 BDC 定期打开或关闭(当域处于稳定状态时)以更新目录的安全备份。
2、 首先,将主域控制器 (PDC) 从网络上删除。 在迁移之前将 PDC 从网络上删除。如果您想创建多个域,可以将所有的 PDC 置于不属于生产网络的环境中。离开生产环境时,您可以升级 PDC 并形成域。其结果是创建一个功能完备的树林,而且并不影响生产。 一旦树林形成,您就可以增加工作站和 BDC。如果迁移顺利,PDC 便可返回生产环境并开启使用。这个树林会继续工作,其余的服务器可以更新为 Windows 2000 Server,或者新的客户端访问软件可以安装在 Windows 2000 以期版本的客户机上。 使这种方法时,直到新的域控制器和树林被证明是稳定的时候,生产环境才不会受影响。这种方法的主要缺点是,直到新的域控制器在生产环境中联机时,才可以在目录中进行更改。
3、 准备DNS命名格式 如果您已使用 NetBIOS 名称来支持传统的 Microsoft 网络技术,建议您修改网络上使用的 NetBIOS 计算机名为迁移到标准 DNS 专用环境作好准备。
-------------------------------------------------------------------------------
8号参赛者答案:
1.首先考虑原域是NT4.0还是windows2000
2.考虑做好原域控制器的备份,以便迁移失败系统仍能正常工作
3.考虑使用何种迁移方法
4.迁移方法具体有以下几种: ADMT Movetree
5.应用ADMT方法,应注意以下几点: 目标域必须是Windows2000域 原域可以是NT4.0也可以是windows2000 对于森林间的迁移,目标域必须是本机模式 对于森林内迁移,目标域和原域必须都是windows2000本机模式 目标域与原域必须是双向信任的 双向信任域目标域中,运行ADMT的用户必须是domain admins group的成员 在原域,用户必须是local administrators group的member 目标域和原域最好启用审核 在原域必须建一个空的组:scDOMAIN$$$ 原域必须有HKEY_LOCAL_MACHINE\System\Control\LSA\TcpipClientSupport to 0x1 最好先迁移组再迁移用户 ADMT 2.0一次迁移5000个以上用户的时候,5000以后的用户口令不能迁移 注意SID History 6.Movetree 方法只能迁移用户和组,建议使用ADMT方法
-------------------------------------------------------------------------------
9号参赛者答案:
1. 先加入一台新的DC
2. 保证所有DC都已同步
3. 备份该DC上的系统状态数据,保证迁移失败后可以恢复
4. 迁移Operation master,保证5个操作主机在运行在其它DC (如果旧的DC不可用,可能需要考虑用NTDNUTIL来占用角色)
5. 在新的DC上安装DNS服务
6. 域中成员DNS可能需要指现新的位置
7. 把新的DC配置为Global Catalog
8. 关闭旧的DC后,从”活动目录用户和计算机”MMC中清除旧的DC 如果不成功, 可以使用ADSIEDIT来删除,也可用NTDSUTIL来删除指定服务器
-------------------------------------------------------------------------------
10号参赛者答案:
1. 若原先网络中只有此一台DC,要考虑在原先的网络中新设置一台DC,以防原先网络不能正常工作。
2. 要考虑此DC在原先的网络中有没有承担单主操作主机(single operating master)的角色,如果有的话应该将这些角色事先迁移到网络中别的DC上去。
3. 迁移前先与网络中的其它的DC做好复制,使所有DC的AD数据库内容保持一致。
4. 如果此DC为原先网络的GC的话,应该GC角色转换到别的服务器上去。
5. 要检查原先网络的AD复制拓扑结构,防止此DC迁移后,引起原先网络的AD复制故障。
6. 修改此DC的IP地址、子网掩码、默认网关等设置,使其适合新的网络
7. 要考虑迁移的目标网络有没有合适的dns服务器,应该修改所迁移的DC的主dns服务器的地址,使该DC能够在新的网络中正确注册SRV记录。
8. 检查此DC在新的网络中是否正常工作
-------------------------------------------------------------------------------
11号参赛者答案:
1. 确保目的域控制器OS为SERVER版本
2. 先将目的域控制器AD进行备份。
3. 注意源域控制器是否是OPERATION MASTER 如果是,应先将主控OPERATION MASTER ROLE 传递给域内其它DC后,方可进行迁移。
4. 在迁移过程中决不需要同时把大量的服务器或客户迁移到新的操作系统中。也决没有必要为了迁移域控制器或客户而让整个域离线。单个的域控制器仅只在它们的操作系统更新的时候才不可使用。
5. 迁移工作应在晚间非工作时间进行。
-------------------------------------------------------------------------------
12号参赛者答案:
这个题目说的不是很清楚。有两种可能:
1.单纯的Computer的迁移,即将一个域中的某个DC变换为另一个域中的DC;
2.迁移该DC上的对象到另一个域中的某个DC上。 第一种情况比较简单。进行完全复制,考虑该DC在当前域中的角色,特别是Operation Master角色,考虑是否需要将其Transfer给别的DC。运行dcpromo.exe实现降级、升级。 第二种情况相对复杂一些。在这种情况下,DC的迁移与域的迁移关系比较密切。首先需要定义好目标域的模型、确认迁移双方的DC、迁移哪些对象等等。对于用户和组的迁移,一个大的原则是先迁移组,后迁移用户。微软提供了一个工具实现迁移:admt,目前好像有2。0版本,可以在微软的网站上找到。
使用admt迁移过程中需要一些设定,主要包括以下内容:
1.目标域需要是native mode
2.双方的域需要建立双向信任关系
3.双方的Domain Administrators 全局组需要加入到对方的Administrators本地组
4.源域中需要审核User and Group Management 的success 和failure
5.目标域需要在Default Domain Controller策略中审核Audit Account Management的Success和Failure。 6.源域PDC注册表中需要加入 HKEY_LOCAL_MACHINE->System->CurrentControlSet->Control->LSA TcpipClientSupport:REG_DWORD:0x1键值
7。运行admt的用户需要管理员权限
-------------------------------------------------------------------------------
13号参赛者答案:
在迁移的过程中,首先要考虑到的是如何能够让迁移过程对于生产的影响最小化,也就是速战速决。要求不对用户熟悉的环境作出变更或尽可能少的变更。另外还要考虑到的是节省管理成本,比如用户名,密码尽可能保持不变。对于资源权限作尽可能少的调整。还有一点就是安全性的问题,对于安全性来说,应该尽可能使用安全策略的机制来完善安全性。
1.将一台NT4 BDC完全同步后离线,这样能够最大化保持将来一旦迁移失败后恢复的可能。
2.在PDC上进行升级。升级后会停留在Mix Mode之下,这样可以和其他的BDC完成同步工作。
3.等待所有的BDC都提升成为Windows 2000的DC之后,可以将域转换成为Native Mode。这样可以最大化提供Windows 2000能够提供的管理优势。比如说Universal Group等。
4.如果使用ADMT用户迁移工具来移动用户帐号的话,可以使用ADMT2.0版。因为在2.0上提供了对于用户密码的迁移能力,也就是说在迁移用户帐户的同时对于密码进行迁移。如果存在多个NT4域时,请考虑先升级账户域,在升级资源域的升级顺序。在迁移后要考虑使用Windows2000的新结构,OU来充足资源进行管理委派。
-------------------------------------------------------------------------------
14号参赛者答案:
1、 作好AD的备份;
2、 对于不同的域控制器,迁移方法略有不同: 如果是迁移根域的域控制器, 1)在根域中添加一台额外的域控制器 2)如果原域控制器是域中的PDC模拟器或RID操作主机或基础结构操作主机,将对应操作主机迁移到新的域控制器上; 3)如果原域控制器是网络中的GC,则需要指定新的域控制器是网络中的GC,并等待GC复制完成 4)尽量保证该域控制器不能同时作为GC和基础结构操作主机。 5)卸载原域控制器的AD 6)如果要迁移域中的操作主机,需要赋予操作用户具有域管理员权限;如果要设置GC,需要赋予用户企业管理员的权限 ×注意:如果原有AD中只有一个域,第4)步中该计算机可以同时作为GC和基础结构操作主机。 如果是迁移子域的域控制器: 1)在在子域中添加一台额外的域控制器 2)如果原域控制器是域中的PDC模拟器或RID操作主机或基础结构操作主机,将对应操作主机迁移到新的域控制器上; 3)如果原域控制器是网络中的GC,则需要指定新的域控制器是网络中的GC,并等待GC复制完成 4)尽量保证该域控制器不能同时作为GC和基础结构操作主机。 5)卸载原域控制器的AD 6)如果要迁移域中的操作主机,需要赋予操作用户具有域管理员权限;如果要设置GC,需要赋予用户企业管理员的权限
-------------------------------------------------------------------------------
15号参赛者答案:
第一种情况:子域中DC的迁移 1. 做好AD的备份; 2. 在本域中添加一台额外的DC; 3. 把PDC模拟器、RID操作主机和基础结构操作主机迁移到新的DC上; 4. 原DC如果是GC,则需要把新的DC也指定为GC; 5. 把源DC的AD卸掉或关闭(需要等复制完成后)
第二种情况:根域DC的迁移: 1. 做好AD的备份; 2. 在本域中添加一台额外的DC; 3. 把Schema Master、Domain Name Master、PDC模拟器、RID操作主机和基础结构操作主机迁移到新的DC上; 4. 把新的DC也指定为GC; 5. 把源DC的AD卸掉或关闭(需要等复制完成后)。
*注意:如果是多域的环境,基础结构操作主机和GC不能在同一台DC上。
-------------------------------------------------------------------------------
16号参赛者答案:
如果是从NT4.0迁移到AD
1.首先需要有可靠完整的备份,以便出现问题是可以恢复;
2.域中需要BDC,如果原来没有BDC,需要新建一台
3.检查所以要迁移的DC,确定系统运行正常,日志中出现的错误都已经解决或者确定没有影响
4.将PDC离线,然后首先迁移BDC
5.确定迁移正常,然后将原来的PDC降为BDC
6.根据需要迁移其他的DC
-------------------------------------------------------------------------------
17号参赛者答案:
1、 要考虑当前的域控制器的操作系统的版本,是Windows 2000还是Windows NT。
2、 要考虑要迁移的域控制器在域中是否担任主控角色。因为在域中会有一些主控角色(比如PDC仿真器角色),这些角色维护着整个域的关键信息。在进行迁移时,应当查看当前的DC是否担当。如果担当时,应当考虑在迁移之前,将其主控角色传送给其他DC。
3、 要考虑迁移DC操作,账号的情况。如果账号是要保留,那么应当在迁移之前对账号数据库进行备份,以避免迁移过程中账号丢失。
4、 要考虑迁移的域控制器,迁移的结果是什么。是要成为一个新域并加入一个树或森林中,还是要自己创建一个孤立的域。或者加入一个新域中成为新域的额外域控制器。
5、 要考虑该DC策略的改变,另外如果该DC上有一些其他用户要访问的资源,还必须考虑资源的权限变化。
-------------------------------------------------------------------------------
18号参赛者答案:
1、 当前Domain环境是否是NT到Win2000
2、 信任关系
3、 GPO的问题
4、 域控制器的复制
5、 Site
6、 角色的转移和查封
7、 用户的帐号
8、 DNS的问题
9、 AD的架构是否已被修改(如Exchang、ISA等)
-------------------------------------------------------------------------------
19号参赛者答案:
1、 如果原来域中只有一台域控制器的话,应该先将域中的一台成员服务器升级为域控制器。
2、 测试新域控制器能不能正常工作
3、 在迁移前应先将原来域控制器上的系统状态数据进行备份,以保证迁移如果失败后还可以恢复原来的域控制器
4、 在Active Directory用户和计算机管理工具中执行迁移Operation master,将5个操作主机的角色根据需要迁移到相应的域控制器上
5、 如果原来的DC出了问题不可用的话,可能需要考虑用NTDSUTIL工具来直接占用角色
6、 在新的域控制器上应该配置DNS服务,并建立域的活动目录集成区域。域中成员计算机的DNS服务器的IP地址可能需要指向新的域控制器
7、 把新的域控制器还应该配置Global Catalog
8、 操作主机的角色迁移完成后,再将原来的域控制器通过dcpromo命令降级为一个成员服务器。
-------------------------------------------------------------------------------
20号参赛者答案:
无
No.02我启用了DHCP服务器,但是客户机并没有获得IP,请问可能是什么原因?
1号参赛者答案:
无
-------------------------------------------------------------------------------------------------------------
2号参赛者答案:
首先看看是否只是个别用户无法获得IP. 如果是所有客户端都无法获得IP,则问题可能在服务器段:
1)查看DHCP是否被授权
2)查看是否配置了相应的SCOPE并激活
3)查看是否DHCP服务器的网卡和网线等网络设备工作正常
4)如果存在路由查看路由配置是否正确
如果是个别客户端无法获得IP,则可能问题在客户端:
1)首先检查客户端的网卡网线等问网络设备运行是否正常
2)如果存在路由则查看客户端到DHCP服务器的路由配置是否正确
----------------------------------------------------------------------------------------------------
3号参赛者答案:
1、 DHCP服务器没有在域中授权。
2、 DHCP中配置的SCOPE没有被激活。
3、 DHCP中配置的SCOPE的IP地址网段与DHCP服务器IP地址的网段不同。
4、 客户端与DHCP不在同一物理子网,中间由路由器隔开,又没有配置DHCP RELAYAGENT。
5、 由于网络原因,客户端不能联系到DHCP服务器。
-------------------------------------------------------------------------------------------------------------
4号参赛者答案:
1.路由器不支持RFC标准,不能通过BootP和DHCP
2.DHCP没有得到AD的授权(Authorized)
3.DHCP上的地址数用完
4.硬件故障,如服务器网卡或是客户机网卡,或中间交换机等等。
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.首先排除物理上的原因是最好的选择,检查客户机与服务器之间通讯有没有问题。
2.由于AD中的DHCP服务器要授权才可以对外分配IP地址,检查是否在域中而没有正确授权。
3.DHCP服务器上的DHCP服务是否工作正常,察看事件察看器有没有DHCP的错误信息。
4.DHCP服务上创建的作用域的空间范围和数量有没有问题,检查作用域的类型和IP地址数量是否可以满足客户机的需求。
5.客户机有没有设置为自动获取IP地址,检查客户机TCP/IP属性配置
6.DHCP服务器的作用域的排除IP地址选项是否包含大部分地址。
---------------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 DHCP未经AD授权。
2、 DHCP服务是否运行。
3、 DHCP的scope是否定义,并且是否激活。
4、 客户所在的网段是否有DHCP服务器,否则应在该网段安装DHCP RELAY AGENT。
5、 检查客户机的TCP/IP配置是否起用自动获得IP
6、 用network monitor捕捉数据包,检查物理网络是否正常通讯。
7、 DHCP的scope不足够。
8、 从DHCP获取的IP与网络中已存在的IP冲突。
-----------------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 查看DHCP服务器是否有静态合法的IP地址。
2、 查看DHCP服务器中是否配置好合法的作用域,作用域是否被击活。
3、 DHCP服务器是否被授权。
4、 客户机的TCP/IP协议是否配置为自动获得IP地址选项。
5、 可以先把服务器和客户机指定同一网段IP地址,用PING命令测试确保在硬件、连接和协议上无误。
6、 可能在同一网络中有多台DHCP服务器,客户机没有从你这台DHCP服务器获得,把其他DHCP服务器先停止掉,再在客户机上用IPCONFIG /RELEASE 释放IP地址,用IPCONFIG/RENEW更新IP地址。
-------------------------------------------------------------------------------------------------------------
8号参赛者答案:
1.不能够联系DHCP服务器,或者硬件网络硬件故障,也可能DHCP服务器不可用
2.网络的问题,如客户端网卡失败,网线断掉,服务器端网络失败,网络设备故障等物理网络问题。
3.网络内部有防火墙设置,阻断DHCP广播
4.DHCP中继代理不工作
5.DHCP地址空间没有空闲
6.如果是RAS访问方式,RAS服务器没有做中继
7.本地已指定静态IP 8.启用的DHCP服务器,没有经过网络管理员授权
--------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 检查DHCP服务和客户机是否在同一网段
2、 如果不在同一网段,需在客户机所在网段配置一台“DHCP中继代理”,或者检查router是事兼容RFC1542
3、 检查DHCP服务器是否在活动目录中授权,如果没有活动目录授权,DHCP不能成功分配
4、 检查服务器是否配置有IP地址分配作用域,如果没有需创建
5、 检查作用域是否激活
6、 检查客户机是否配置为自从获取IP 地址
7、 检查网卡和其它硬件问题
---------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 此DHCP服务器没有被授权;
2、 服务器上没有设置适当的SCOPE;
3、 SCOPE没有被激活;
4、 客户机和服务器不在同一个网段上,而且没有设置DHCP中继代理;
5、 服务器没有连接到网络上;
6、 服务器的SCOPE中所有的地址都已经租出,没有多余的地址了。
7、 客户机TCP/IP设置错误
8、 客户机网卡、网线故障
9、 HUB、SWITCH等的故障
------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 DHCP服务器与它的客户机在不同的子网,路由未配置;
2、 使用的作用域已满,而且不能再将地址租用给请求的客户机;
3、 由DHCP服务器提供的IP地址范围与网络上另一个DHCP服务器提供的地址范围冲突;
4、 客户可能没有开启动态获得IP地址功能; ---------------------------------------------------------------
12号参赛者答案:
有以下可能:
1。查看服务器配置,服务器是否静态IP,作用域配置是否正确
2。需要DHCP中继代理的网络,代理是否工作正常
3。客户与DHCP服务器的网络连接是否正确
4。服务器的IP地址是否刚刚改变过,并且不再属于作用域所在的网络
5。查看网络上是否配置了多个DHCP服务器,并且各服务器配置的作用域发生了重叠
------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先考虑是否存在一个Windows 2000的Active Directory, 如果有,需要在域中对于DHCP服务器进行授权。这样这台机器的DHCP服务才可以正常启动并工作。其次考虑作用域在设置之后是否已经被激活。保证作用域上配置的IP地址池和subnet mask之间是对应的。查看地址池是否已经用完。考虑网络上是否存在多个DHCP服务器并且之间出现地址重叠。如果有,可以采用排除的方法避免地址重叠。如果出现跨路由网段,需要在不同于DHCP服务器的网段上开放DHCP Relay Agent.而且如果这样用的话,要保证DHCP服务器上的地址池和路由器另一个网段的IP地址空间对应。在客户端使用 ipconfig /release, ipconfig /renew的方法尝试重新连接DHCP服务器获取IP地质
----------------------------------------------------------------------------------------------------------
14号参赛者答案:
可能原因有:
1、 DHCP 服务器没有获得授权;
2、 DHCP Scope 没有激活;
3、 DHCP 服务器的网络ID和可用的DHCP Scope的网络ID不在同一个子网中
4、 DHCP Scope内的IP地址已经分配完毕
5、 DHCP客户端和DHCP服务器中间存在路由器,而路由器不支持RFC1542。
6、 DHCP客户端和DHCP服务器中间存在路由器,而客户端所在的子网中没有配置DHCP Relay Agent;
7、 客户端的DHCP Client服务没有启动。
8、 客户端与DHCP服务器的网络连接有故障。
-----------------------------------------------------------------------------------------------------------
15号参赛者答案:
可能的原因有: 1. DHCP服务器没有授权; 2. DHCP Scope没有激活; 3. DHCP Scope的网络ID和DHCP服务器的网络ID不是同一个子网; 4. DHCP Scope内的IP地址已经分配完毕; 5. DHCP客户端和DHCP服务器不在同一网段,而路由器又不支持RFC1542; 6. DHCP客户端和DHCP服务器不在同一网段,而客户端所在的子网又没有DHCP中继代理; 7. 客户端没有启用DHCP Client服务; 8. 客户端没有设置自动获得IP地址; 9. DHCP的客户端与DHCP服务器的网络连接有问题。
-------------------------------------------------------------------------------------------------------
16号参赛者答案:
1.DHCP没有Authorize
2.网络中有其他的DHCP在运行
3.DHCP中没有配置正确的scope或配置的scope和其他DHCP冲突
4.DHCP服务因为其他原因没有启动
5.DHCP服务在Multihome的计算机中配置有误
6.DHCP服务无法通过路由器,或没有配置DHCP-Relay
7.客户机没有正确配置TCP/IP
8.客户机或服务器网络连接故障
-------------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 可能是客户机的操作系统不匹配,比如是Netware。
2、 可能是客户端在配置TCP/IP属性时,没有选择“自动获得IP地址”选项。
3、 可能是客户机没有绑定TCP/IP。因为DHCP服务器是对TCP/IP来进行配置的而不是其他协议。
4、 可能是客户机与DHCP服务器没有位于同一个网段,而且在客户机所在的网段中没有配置DHCP中继代理或两个网段之间的路由器不支持RFC-1542标准。
5、 其他硬件问题,比如客户端的网卡出现故障。
6、 如果该DHCP服务器是在一个域中工作,可能是由于该DHCP服务器没有得到验证,从而不允许域中为客户端分配IP地址。
---------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 没有启用DHCP的中继代理
2、 IP地址池没有被激活
3、 DHCP服务没有通过AD授权
4、 DHCP的数据库的原因
5、 IP地址的租约过期
6、 可能没创建和配置IP地址的超级作用域
7、 网络不通(如路由器)也可能是原因之一
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、 检查Win2000的DHCP服务器在活动目录中是否已经授权
2、 检查DHCP服务器是否已建立了作用域,而且作用域是否已经激活
3、 检查DHCP服务器的作用域中配的IP地址网段是否和DHCP服务器所在的网段一致,不一致的话DHCP服务器所在网段的客户机是不能从该作用域获取IP地址的
4、 检查DHCP服务器和DHCP客户机之间是否相隔有路由器,如果路由器是非RFC兼容的路由器,将不支持DHCP广播流量。这时一是要在DHCP服务器上建一个DHCP客户机所在网段的作用域,另外还需要在没有DHCP服务器的网段配置一台DHCP中继代理。
5、 检查DHCP服务器的作用域中的地址是否已分配完了。
6、 检查客户机是否配置为自动获取IP 地址。
---------------------------------------------------------------------------------------------------------------
20号参赛者答案:
1.DHCP服务器在域中未被授权
2.作用域未激活
3.路由器不支持DHCP&BOOTP数据包转发,而又未配置DHCP Relay Agent
4.地址池不足
5.网络不通
--------------------------------------------------------------------------------------------------------------
No.03怎样在一个服务器上运行多个Web站点?有多少办法?
1号参赛者答案:
三种办法,
1、 一个服务器上绑定多个IP地址,然后把不同的站点绑定到不同的IP地址上。
2、 一个服务器的IP地址上绑定多个DNS域名,然后把不同的站点绑定到不同的主机头名上。
3、 给不同的站点不同的端口号
2号参赛者答案:
在一台服务器上运行多个站点就是我们常说的虚拟主机它的实现方法如下: 如果是否自己作DNS解析,我们按照如下设置方法: 以建立WWW.ABC.COM和WWW.CDE.COM为例首先我们要按照好DNS服务,在其中建立COM根域,再在下面建立ABC和CDE2个DOMAIN然后在该DOMAIN中分别创建名为WWW的主机,并将主机指向提供服务的IIS服务器接着,我们在IIS上面进行以下设置: 在IIS中,我们新建2个WEB站点名为WWW.ABC.COM,WWW.CDE.COM并且将他们的主机头信息分别设置为WWW.ABC.COM,WWW.CDE.COM 通过这些操作我们就可以成功建立一个虚拟主机如果不需要自己作DNS解析则可以省略配置DNS的步骤.
3号参赛者答案:
1、 WEB服务器上安装多块网卡,每块网卡上绑定不同的IP地址。
2、 WEB服务器上只有一块网卡,一个IP地址,则将多个WEB站点映射到多个不同端口。
3、 使用主机头
------------------------------------------------------------------------------------------------------------------
4号参赛者答案:
3种办法
1.在服务器上配置多个IP地址,在IIS管理工具中配置每个网站的IP。
2.在IIS中配置不同的HTTP Header。
3.修改不同网站采用不同端口,不过客户浏览器访问时需要手工输入端口
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.通过对Internet Information Server的配置可以支持多个web站点,可选的方式有NT+OP4(IIS4.0)或W2K+IIS5.0或WIN.NET+IIS6.0。
2.大体上可以有两种方法支持多个WEB站点。
1〉使用多个HOST Header名称来标志多个站点,在新建的站点属性菜单中可以找到主机标头名设置,主机标头名在DNS中可以解析就可以了(对应每个站点的域名),这样用户就可以访问多个不同的WEB站点。
2〉还有就是为每个域名对应一个IP地址,这样可以单独访问每个站点,但是系统花费和开销比较大,
3.还有第三种方法可以用不同的TCP端口访问不同的站点,但是这样的话不知道端口的用户就没有办法访问站点了。
---------------------------------------------------------------------------------------------------
6号参赛者答案:
必须在WIN2K的SERVER上,安装IIS才能支持多个Web站点,方法有如下三种:
1、 不同的IP,相同的端口号。
2、 相同的IP,不同的端口号。
3、 相同的IP,相同的端口号,使用不同的主机头。
------------------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 在服务器中配置多个静态IP地址,在IIS中配置的WEB站点使用的IP地址中使用不同的IP地址。
2、 在服务器中配置一个静态IP地址,在IIS中配置的WEB站点应用到的TCP端口不同的站点使用不同的端口。
3、 在服务器中配置一个静态IP地址,如果TCP端口都用默认的80端口,就分别使用不同的主机头名。
---------------------------------------------------------------------------------------------------------------
8号参赛者答案:
共2有种办法
1.在IIS服务其中配置多个WEB站点,并分别指定各个站点对应的IP地址,然后在DNS中作解析
2.采用主机头方法,多个WEB站点使用同一个IP地址,同样也要在DNS中作名称解析
--------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 创建多个Web Site 1)在DNS中给每个web site创建不同主机记录(IP地址可以相同,但全称主机名不能相同) 2)创建每个Web site的主文件夹 3)在IIS中新建Web站点,指定IP地址和不同的hostheader,该host header应该对应DNS中的主机记录
2、 创建Web Site的方法除不同的hostheader外,也可用不同的port号来实现,每一个不同的端口对应不同的Web site,但客户访问时需指明port 如 http://www.test.com:3500
----------------------------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 每个web站点绑定一个不同IP地址
2、 每个web站点绑定一个不同的端口
3、 每个web站点作为一个虚拟目录。
--------------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 赋予WEB服务器的各个域名取得唯一的IP地址
2、 是使用HOST HEADER。HOST HEADER允许多个域名使用一个IP地址驻留在IIS上。
-------------------------------------------------------------------------------------------------------------
12号参赛者答案:
服务器上的Web Server由三个属性标识:IP、端口(port number)和主机头(Host Header),因此有三种方法在一个服务器上运行多个Web站点:
1。在服务器上绑定多个IP,可以在多个网卡上绑定,也可以在一个网卡上绑定,每个IP对应一个站点
2。对每个IP,可以使用不同的端口,每个IP和端口的组合,都对应一个站点
3。对于相同的IP和端口的组合,还可以进一步使用Host Header区分。总的原则就是,只要三个属性标识有一个可以和其它Web站点区分,就可以用来构建一个Web 站点。
---------------------------------------------------------------------------------------------------------------
13号参赛者答案:
方法1:可以在一个服务器上使用多个IP地址,可以Binding在同一个网卡上。然后创建多个虚拟站点,每一个虚拟站点使用一个IP地址。这种方法可以让每个站点都使用tcp端口80,便于客户端访问。
方法2:可以使用同一个IP地址。创建多个虚拟站点,每一个站点使用不同的Tcp端口好。这样服务器也可以正常工作。但这使客户端访问需要使 Http://servername:Portnumber的方式,少有不便。
方法3:使用Host Header。也是多个站点使用相同的Ip地址。如果使用IIS5可以在向导过程中直接输入host header name。如果使用的是IIS4,那么也可以选择站点属性中的IP地址选项后的高级按钮,在弹出的对话框中输入该站点使用的header名称。这种方法也不需要改变端口号,对客户没什么影响。但要注意,客户的浏览器必须能够支持HTTP 1.1标准。而且,只能够使用header去访问站点。也就是说,服务器上的header名字一定要在DNS中有着相同的名称-ip地址对应关系。
------------------------------------------------------------------------------------------------------------
14号参赛者答案:
有三种方法在一个服务器上运行多个Web站点:
1、 给服务器配置多个IP地址,每个站点绑定一个IP地址;
2、 给服务器配置一个IP地址,每个站点同时绑定这个IP地址,但是为每个站点指定单独的主机头名,在DNS服务器上为这些站点指定单独的别名;
3、 给服务器置一个IP地址,每个站点同时绑定这个IP地址,但是为每个站点指定单独的端口号;
----------------------------------------------------------------------------------------------------------
15号参赛者答案:
有下列办法: 1. 在服务器的网卡上设置多个IP地址,每个站点指定一个IP地址; 2. 为每个不同站点指定一个不同的端口号; 3. 为每个不同站点指定一个不同的主机头,在DNS服务器上为每个站点创建一个别名。
--------------------------------------------------------------------------------------------------------------
16号参赛者答案:
1.不同的Web站点采用不同的Port
2.不同的Web站点采用不同的IP(主机配置为multihomed)
3.不同的Web站点采用不同的host header name
4.如果使用了ISA,可以采用Web publishing
5.必要的话可以编写一个ISAPI
-----------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 在服务器上创建多个Web文件夹。用Frontpage产生站点内容。
2、 使用IIS创建虚拟目录和域名
3、 绑定多个IP地址,配置DNS以支持域名解析。
4、 通过浏览器测试Web站点。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 在服务器上绑定多个IP地址,然后在DNS的授权区域中对每一个IP地址分配一FQDN,最后在IIS中设置多个Web站点。
2、 在服务器上绑定一个IP地址,然后在IIS中对一个IP地址设置多个主机头
----------------------------------------------------------------------------------------------------------------
19号参赛者答案:
Win2000 Server提供了IIS服务,支持在一台WIN2000服务器上同时建立多个Web站点。可在管理工具中打开Internet服务管理器,在里面建立多个Web站点。一个Web站点的标识主要有三个:IP地址,端口号和主机头。两个Web站点这三项中任一项不同就能够同时运行。因此要同时运行这多个Web站点的话就可以用以下方法区分: 1、不同的Web站点使用不同的IP地址。 2、当两个Web站点的IP地址一样时,可用不同的端口号区分。 3、当两个Web站点的IP地址一样时,可用不同的主机头区分。
-----------------------------------------------------------------------------------------------------------------
20号参赛者答案:
1、 在一块网卡上关联多个IP地址,每个WEB站点在不同IP上服务
2、 在一个IP地址上使用不同端口,每个WEB站点在不同port上服务
3、 定义不同主机头,每个WEB站点使用不同的主机头
4、 使用多块网卡,每块网卡上关联一个或多个IP地址,每个WEB站点在不同IP上服务
---------------------------------------------------------------------------------------------------------------
No.04公司原来使用工作组模式,现在改为Win2K Domain,要将1000台Win2000 pro加入到Domain,请问有什么便利的方法?
1号参赛者答案:
改注册表应该可以。
---------------------------------------------------------------------------------------------------
2号参赛者答案:
最方便的方法莫过于使用脚本.使用以下代码就可以实现这个要求: Script Code Const JOIN_DOMAIN = 1 Const ACCT_CREATE = 2 Const ACCT_DELETE = 4 Const WIN9X_UPGRADE = 16 Const DOMAIN_JOIN_IF_JOINED = 32 Const JOIN_UNSECURE = 64 Const MACHINE_PASSWORD_PASSED = 128 Const DEFERRED_SPN_SET = 256 Const INSTALL_INVOCATION = 262144 strDomain = "FABRIKAM" strPassword = "ls4k5ywA" strUser = "shenalan" Set objNetwork = CreateObject("WScript.Network") strComputer = objNetwork.ComputerName Set objComputer = GetObject("winmgmts:{impersonationLevel=Impersonate}!\\" & _ strComputer & "\root\cimv2:Win32_ComputerSystem.Name='" & _ strComputer & "'") ReturnValue = objComputer.JoinDomainOrWorkGroup(strDomain, _ strPassword, _ strDomain & "\" & strUser, _ NULL, _ JOIN_DOMAIN + ACCT_CREATE)
--------------------------------------------------------------------------------------------------------------
3号参赛者答案:
使用无人值守安装。编写执行脚本。
-----------------------------------------------------------------------------------------------------------
4号参赛者答案:
如果是新安装,可以使用安装脚本,在设置时自动加入域。或是使用RIS进行客户端的自动安装。 如果不许新安装,也可使用在客户端编辑脚本命令: NETDOM /Domain:MYDOMAIN /user:adminuser /password:apassword MEMBER MYCOMPUTER /JOINDOMAIN 加入到域(必须拥有管理员权限)。
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.通常可以采用更改每个计算机网络设置中的网络标识来实现,但是需要每个计算机一一来更改,所以比较耗时且费力。
2.可以采用DHCP分配IP地址和DNS服务器的方式由AD来接管所有服务,这样可以实现所有客户端全部加入DOMAIN,但是稳定性较差。
3.编写脚本,拷贝到所有客户计算机上,在计算机登录过程中实现自动加入域。
4.利用RIS服务,重新安装所有W2K PRO系统并加入域中。
5.管理员在DC上使用远程管理工具,更改客户机的网络标识。
--------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 在DC上创建一个一般用户,授予创建计算机帐户的权限。
2、 编辑一个批文件,使用NETDOM命令将计算机加入域。
3、 放在文件服务器上,建立共享,让用户拷到本地运行。
4、 为每个用户创建域用户帐户。
--------------------------------------------------------------------------------------------------------------
7号参赛者答案:
可以用Net Computer命令 net computer \\computername {/add | /del} 指定要从域中添加或删除的计算机。 /add 将特定的计算机添加到域中。 /del 从域中删除指定的计算机。
-------------------------------------------------------------------------------------------------------------------
8号参赛者答案:
1.使用脚本,由管理员编辑脚本,将该脚本分发给1000台pro(共享文件夹),客户端执行该脚本
2.所有的客户端重装系统,可以采用无人职守方式,系统安装成功后,用户计算机已加入到域中
3.用RIS及无人职守安装文件配合的方式
4.用Sysprep与无人职守安装文件配合的方法
5.管理员将客户的计算机加入到域,然后由客户自己手动加入到域中
6.管理员到每一台计算机执行操作,将用户加入到域中(最麻烦)
--------------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 如果客户机网卡为PXE兼容网卡,并且允许重新安装,可考虑使用RIS安装方法 先安装Active Directory,配置DNS,DHCP 安装RIS Server,创建CD—ROM或Riprep images,连接answer文件 预分级客户机,启动客户计算机自动进入安装程序
2、 如只是加入域,不重新安装,可以制作安装script分布到每台客户机。
----------------------------------------------------------------------------------------------------------------
10号参赛者答案:
使用net computer 命令,做成批处理文件,共享,要求用户运行既可
----------------------------------------------------------------------------------------------------------------
11号参赛者答案:
使用远程安装,作无人应答文件。
-----------------------------------------------------------------------------------------------------------
12号参赛者答案:
1.安装Win2k Pro,加入域,使用sysprep.exe去掉sid,进行磁盘复制,送给每个客户端
2.使用RIS安装,配置安装文件,让它在安装过程中加入域。
3.可以考虑编写脚本,在每个客户机上运行,修改所属域属性。可能需要先在服务器端创建所有的计算机账号,这个工作应该也可以通过脚本实现。
-----------------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先在Domain Controller上创建该1000台计算机的机器帐号。可以通过使用脚本的方式来完成。客户机加入域也可以考虑使用脚本的方式来完成。在无人值守安装模式下有一个关键字叫Joindomain,要求在该过程提供有将机器加入到域的用户名和密码。使用domainadmin,和domainadminpassword来输入。
-----------------------------------------------------------------------------------------------------------
14号参赛者答案:
可以参考微软网站KB文章222525:Automating the Creation of Computer Accounts,自动创建计算机帐号,主要使用NETDOM命令(resource kit)和脚本来实现。
----------------------------------------------------------------------------------------------------------
15号参赛者答案:
主要的办法有: 1. 写一个脚本程序,让这个脚本在客户端运行。脚本的作用是把W2k Pro的客户端计入到域; 2. 由管理员在DC上用CSVDE或LDIFDE工具创建1000个与客户端匹配的计算机帐号,和一个域用户帐号,注意要把使用这些计算机帐号的权限由Domain Admins改为Domain Users。客户端的使用者用此域用户帐号手工把该客户端添加到域; 3.按Q222525中的提示操作。
----------------------------------------------------------------------------------------------------------
16号参赛者答案:
编写Script用于这个项目,一个Script用于在服务器中添加客户计算机对象,并将对应的加入Domain的权限给指定的用户或者每台客户机的用户;另一个Script让用户下载到客户机运行,进行加入域的操作。
-----------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 可以使用远程安装服务远程分发一个新的已经配置好加入一个Windows 2000 Domain的Windows 2000 Professional。
2、 使用Windows 2000的磁盘映像功能。在一台计算机上建立好配置加入域的映像内容,并且使用第三方软件将映像内容拷贝到计算机上,重新安装Windows 2000 Professional。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 制作一个应答文件用无人参与安装方法
2、 通过RIS和GPO来实现
-------------------------------------------------------------------------------------------------------
19号参赛者答案:
如果这1000台Win2000 pro还未安装的话,可以考虑用无人应答安装或者是RIS安装使客户机在安装时自动加入到域中。如果这1000台Win2000 pro以前已经安装好了的话,可以通过制作一个脚本文件并分发到各个客户机来实现
------------------------------------------------------------------------------------------------------------
20号参赛者答案:
在一台Win2000 Server或Advanced Server 上运行dcpromo,将其升级为DC,在升级过程中安装DNS,升级以后安装配置DHCP&RIS,利用RIS部署Win2000 Profesional
----------------------------------------------------------
No.05 A,B两服务器,用VPN连接。管理员用 Ping -l 1500, 可以从A Ping通B,但是无法从B Ping通A,请问可能是哪些原因。
1号参赛者答案:
无
------------------------------------------------------------------------------------------------------------
2号参赛者答案:
查看A的VPN配置是否开了相应的ICMP端口如果A到B有路由则需要查看路由的配置是否正确查看A是否开了NAT服务
---------------------------------------------------------------------------------------------------------------------
3号参赛者答案:
因为B服务器不能接受和处理1500字节的数据包。
-------------------------------------------------------------------------------------------------------------
4号参赛者答案:
检查 A 服务器 TCP/IP MTU Size 注册表键值 HKEY_LOCAL_MACHINE\System\CCS\Services\NdisWan\Parameters 创建或修改以下注册表子键 Value name: IPMTU Data type : REG_DWORD Data range: 1 - 1500 (default is 1500) Value name: TunnelMTU Data type : REG_DWORD Data range: 1 - 1500 (default is 1400)
-----------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.首先检查A服务器是否安装有防火墙屏蔽了ICMP协议。
2.PING -L的命令要发送一定大小的数据文件,A服务器上或许装有网络管理工具用来屏蔽这些数据。
3.还有一种可能是TCP/IP安装有问题,尝试重新安装TCP/IP协议。
4.VPN可以采用两种方法创建,其中要涉及通讯端口,检查是否过滤掉一些端口。
-------------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 可能防火墙设置了单向过滤。
2、 可能防火墙禁止IP的分段。
-----------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 发送包含由 length 指定的数据量的 ECHO 数据包的问题。
2、 B到A之间可能有ICMP(网际消息协议)屏蔽。
3、 如果Ping的时候用的不IP地址,可能是在解析上的问题。
------------------------------------------------------------------------------------------------------------
8号参赛者答案:
主要可能是由于MTU引起的原因,默认的最大传输传输单元一般是1500,但除掉报头部分,-l后应小于1460,之所以可以从A到B通,可能是A端网卡对MTU的设置进行过更改,而网络设备(如交换机,路由器)可将该ICMP包进行拆分,从而在B端接受并回应,而B端网卡可能有MTU的限制,从而不能ping通A
----------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、可能是A服务器网卡对MTU (Maximum Transfer Unit)支持小于1500
---------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 安全协商时间超时
2、 使用DNS名字的话,可能B无法解析A的名称。
----------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 B未配置缺省网关。
2、 路由器配置不正确。
3、 身份验证方法可能配置不正确。
4、 防火墙端口是否打开。
---------------------------------------------------------------------------------------------------------------
12号参赛者答案:
应该同包的大小及是否允许分割有关。缺生情况下,以太网上能够传输的最它的包的大小是1472byte。但是这个缺省值可以修改,如果网络上设置的不允许分割包,而且只在A端修改了包大小上限,就可能出现这种情况
-----------------------------------------------------------------------------------------------------------
13号参赛者答案:
由于使用的是VPN连接,所以在通过RAS/VPN服务器的时候,数据包会重新进行封装。由于使用的是 -l 参数指定了 buffer的大小,另外由于VPN要加封包头的关系,会导致数据包超过协议能允许的大小而导致重新拆包,封包。因此会导致数据包不可到达。
---------------------------------------------------------------------------------------------------------------
14号参赛者答案:
可能的原因有:
1、 A服务器的网络连接可接受的数据包MTU小于1500。
2、 A服务器端的防火墙配置可能会导致这个问题。
-------------------------------------------------------------------------------------------------------------
15号参赛者答案:
可能的原因有:
1. A上网卡可接收数据包的Cache小于1500 Bytes;
2. A端防火墙设置的原因。
--------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
--------------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 A服务器不允许数据包分段
2、 A服务器做了数据包的筛选,过滤了来自B的数据包。
3、 A服务器的远程访问策略配置文件中的数据包筛选器阻止IP通讯流。
4、 VPN 连接没有通过用户帐户拨入属性和远程访问策略的适当访问权限。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 连接到B服务器的路由器的路由表可能有问题
2、 B服务器的网关配置有问题
3、 按需拨号路由的身份验证可能是原因之一
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
可能是A服务器网卡对MTU (Maximum Transfer Unit)支持小于1500 也可能是A和B两个服务器在连接时使用L2TP,并且启用了IPSec,而A服务器在IPSec策略中设置了ICMP流量的筛选策略
----------------------------------------------------------------------------------------------------------
20号参赛者答案:
1 TCP/IP Filter
2 安装了网络防火墙
No.06网络中一个基于Windows 2000的Domain,有三台DC,分别为DC1,DC2,DC3。有一AD对象仅仅在DC1上存在,在其他DC上均没有。网络状态正常,所有AD组件均工作正常情况下(AD复制也完全),可能有哪些情况造成这种现象?
1号参赛者答案:
DC1是操作主机
------------------------------------------------------------------------------------------------------------
2号参赛者答案:
我觉得这道题目的问题好像有些模糊,不知道所谓的现象是指什么? 对于这个只在一台DC上存在的对象据我的理解是否是指FSMO? 在AD的构架中存在这以下FSMO: Relative ID master Primary domain controller (PDC) emulator Infrastructure master Schema Master Role Domain Naming Master Role 这些对象本来就是在AD中的一台DC上存在的.不知道题目中所说的现象是否指这些FSMO
---------------------------------------------------------------------------------------------------------------
3号参赛者答案:
网络状态正常,所有AD组件均工作正常情况下(AD复制也完全),可能有哪些情况造成这种现象?
DC1上的这个对象还没复制到其他DC上。可能DC1与其他DC不在同一个SITE上,SITE间复制的预定时间未到。
----------------------------------------------------------------------------------------------------------------
4号参赛者答案:
也可能是由于DC1存在于不同的站点所以造成AD之间的复制同步延迟。
-----------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.DC的复制可以保证每个DC上的对象数据库一致的,复制分为初始更新和复制更新两种,在加上三个路程段的支持,最大可能性上实现正常复制,但是由于复制周期、DC的GUID的影响,短时间内可能造成DC数据库不一致。
2.对象的管理权通常被授予每一个DC,我们可以手工更改对象管理权,让它只受到某个DC的管理,这样在其他DC上就有可能短时间看不到。
3.DC的创建时间不同,对象的复制版本号不同,服务器的GUID不同也会造成DC的对象数据库短时间内不一致。
4.由于DC存储和DNS存储内容相对一致。DNS存储服务纪录、AD存储对象信息,但AD真实存储的是访问对象的路径的映射,并不是真实对象,而所有DC都要和DNS通讯以获得对象的服务纪录,与DNS的通讯状态也会影响DC的存储纪录。
5.DC2和DC3有可能是后迁移到AD当中的。
6.最后要察看这个AD对象是属于架构管理中的哪个部分,检查是不是架构问题。
--------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 可能DC1刚对这个AD对象做过AD的授权恢复,DC1和DC2,DC3在不同的站点,还未来得及复制到其他DC。
2、 这个对象是在DC1新建的,系统还未完成复制。
3、 secure channel丢失
4、 其他DC 对这个对象access deny。
5、 时间同步有问题。
-----------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 此对象刚建立,还没有到复制间隔时间。
2、 三个域控制器不是额外域控制器的关系。
------------------------------------------------------------------------------------------------------
8号参赛者答案:
1.复制虽然完全,但复制不正常,原因可能是DNS解析不成功,或Connection Object没有建立
2.可能作了授权恢复
3.新增加AD对象时,复制周期还没有结束
----------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 可能是Schema修改后创建的新对象,在新对象还没有复制前schema的修改被禁用。
2、 也可能是复制连接对象没有成功建立
3、 可能是DC1和其它域控制器之间不能有效同步
4、 域控制器时间不同步
5、 也可能是三个DC位于不同Site,inter_site复制有问题
--------------------------------------------------------------------------------------------------------------
10号参赛者答案:
DC1同时是DNS,DNS的zone为活动目录集成的,DC2和DC3都不是DNS。
----------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 在局域网内,DC之间复制周期未到;
2、 在广域网内,三个DC可能处于不同的SITE中,SITE之间的同步周期未到。
--------------------------------------------------------------------------------------------------------
12号参赛者答案:
这种现象可能是正常的。比如当DC1具有某些特定的角色,如GC,Schema Master,PDC emulator,RID Master,Infrastructure Master,Domain Naming Master操作主控角色时,该DC上会具有其它DC上不具有的AD对象。
-------------------------------------------------------------------------------------------------------
13号参赛者答案:
如果复制完全正常的话,可以考虑到因为对象创建不是一个Urgent Replication,因此可能5mins的Notification时间还没有到,复制还没有完成。同样还有删除的过程,也可能由于复制导致短时间不一致的情况。有可能刚刚对于DC1进行了一次Authorized Restore,并且在restore过程是对于某个对象进行的还原,那么在未到达复制周期时,该对象不会被复制到其他的DC. 对象的某些属性可以决定其是否参与复制。如果对象的isEphemeral 属性为true,则它将不参与复制。
------------------------------------------------------------------------------------------------------------
14号参赛者答案:
可能原因: 该对象是一个冲突后被重名的对象。
------------------------------------------------------------------------------------------------------
15号参赛者答案:
可能的原因有:这个对象是一个发生冲突后被改名的对象,他不会再复制。
-------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
-----------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 该对象是主控角色,主控角色在一个域中默认情况下,由DC1来担当,必然在其他DC上不存在。
2、 该对象是GC。通常在AD复制时,假如DC1是GC,则该对象是不会被复制到其他DC上的。
---------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 Check AD的schema(因为有可能是属性参与了复制而对象没参与复制)
2、 AD的同步
3、 三个DC上的管理员同时建了一个相同的对象
4、 复制的拓扑和KCC也有可能造成这个现象
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、 因为AD复制有时间间隔,可能是时间间隔还没有到
2、 也可能是三个DC在Active Directory站点和服务中的复制连接对象没有成功建立
3、 也有可能三个DC位于不同的站点,而站点之间的复制可以设置复制开始的时间和间隔,可能是还没有到设置的时间
4、 也可能是域控制器之间时间不同步
-----------------------------------------------------------------------------------------------------------------
20号参赛者答案:
1、 五分钟内新建的对象,未复制
2、 复制冲突,孤儿对象
3、 站点间复制,未到复制时间
------------------------------------------------------------------------------------------------------------
No.07 作为讲师,您要向学生讲述SSL 握手的过程,请谈一下您的授课思路。
1号参赛者答案:
无
-----------------------------------------------------------------------------------------------------------
2号参赛者答案:
1.首先要说明SSL的作用让学生对SSL有基本的认识
2.说明需要应用SSL的场景
3.再通过PPT动画的方式生动的演示SSL握手的过程,并进行讲解.
--------------------------------------------------------------------------------------------------------------
3号参赛者答案:
在通信的初始化阶段,客户方先发出ClientHello消息,服务器方也应返回一个ServerHello消息,这两个消息用来协商双方的安全能力,包括协议版本、会话ID、交换密钥算法、对称加密算法、压缩算法等。接着服务器方应发送服务器证书(包含了服务器的公钥等),如果服务器要求验证客户方,则要发送CertificateRequest消息。最后服务器方发送ServerHelloDone消息,表示hello阶段的结束,服务器等待客户方的响应。如果服务器要求验证客户方,则客户方先发送Certificate消息,然后产生会话密钥、并用服务器的公钥加密,封装在ClientKeyExchange消息中,如果客户方发送了自己的证书,则再发送一个数字签名CertificateVerify消息来对证书进行校验。随后,客户方发送一个ChangeCipherSpec消息,通知服务器以后发送的消息将采用先前协商好的安全参数加密,最后再发送一个加密后的Finish消息。服务器在收到上述两个消息后,也发送自己的ChangeCipherSpec消息和Finish消息。至此,握手全部完成,双方可以开始传输应用数据。
---------------------------------------------------------------------------------------------------------------
4号参赛者答案:
Secure Sockets Layer (SSL) IIS 5.0 支持 SSL 3.0. SSL 为Transmission Control Protocol/Internet Protocol (TCP/IP) 提供了安全连接客户端的浏览器和Web服务器使用双向的认证方式相互连接,SSL提供了一个私有的,保证数据完整的,认证过的安全点对点通道,在电子商务方面保证数据安全有重要的应用。 讲解时最好是根据下表做一个详细的消息分析,然后对学生按照电话机连接原理来分析 Message Type Parameters hello_request null client_hello version, random, session id, cipher suite, compression method server_hello version, random, session id, cipher suite, compression method certificate chain of X.509v3 certificates server_key_exchange parameters, signature certificate_request type, authorities server_done null certificate_verify signature client_key_exchange parameters, signature finished hash value
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.首先解释SSL握手此功能的价值,以及带来的商业价值,让学员明白应该在那里使用SSL,在何时使用SSL,和哪些客户要使用SSL。
2.然后通过课程幻灯片的动画效果来简单表明SSL工作的位置。
3.此后在通过自制的动画文件深层次剖析SSL通讯与TCP/IP通讯的过程。
4.在白板上按步骤描述两台计算机通过SSL通讯的过程与没有使用SSL通讯的过程。
5.列举几个应用SSL的事例并在实验环境中演示。
6.最后再次提出SSL在网络通讯上的合理应用与SSL在电子商务领域里的价值。
----------------------------------------------------------------------------------------------------------
6号参赛者答案:
SSL 握手认证有2种,单向和双向。服务器的单向:
1、 客户机向服务器提出https://website
2、服务器向客户提供自己证书(包含公钥)
3、客户机和服务器协商密钥长度、session id
4、双方协商,
获取session key 双向的认证:
1、 客户机向服务器提出https://website
2、 服务器向客户提供自己证书(包含公钥)
3、 客户机和服务器协商密钥长度、session id
4、 客户机用服务器的公钥加密自己的认证信息
5、服务器用自己的私钥解密,得到客户机的安全标识 6、双方协商,获取session key
---------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 解释SSL是(安全套接字层)的缩写。是一个使用公钥和私钥技术组合的安全网络通讯协议。
2、 讲述通讯过程:客户端先验证服务器,服务器再验证客户端,双方进行协商进行以什么样的方式通讯,最后再进行通讯。
3、 利用PGP第三方软件做实验让学员从实际中获得公钥和私钥加密解密用处。
4、 利用IIS和证书服务实验从实际中获得SSL的应用。
----------------------------------------------------------------------------------------------------------
8号参赛者答案:
我的思路如下:首先按照幻灯片演示握手过程,然后做以下过程讲解,最后使用IIS或者SQL server演示过程。
1. 客户端向Server段发送客户端SSL版本号、加密算法设置、随机产生的数据和其他服务器需要用于根客户端通讯的数据。
2. 服务器向客户端发送服务器的SSL版本号、加密算法设置、随机产生的数据和其他客户端需要用于根服务器通讯的数据。另外,服务器还要发送自己的证书,如果客户端正在请求需要认证的信息,那么服务器同时也要请求获得客户端的证书。
3. 客户端用服务器发送的信息验证服务器身份。如果认证不成功,用户就将得到一个警告,然后加密数据连接将无法建立。如果成功,则继续下一步
4. 用户用握手过程至今产生的所有数据,创建连接所用的Premaster secret,用服务器的公钥加密(在第二步中传送的服务器证书中得到),传送给服务器。
5. 如果服务器也请求客户端验证,那么客户端将对另外一份不同于上次用于建立加密连接使用的数据进行签名。在这种情况下,客户端会把这次产生的加密数据和自己的证书同时传送给服务器用来产生Premaster Secret.
6. 如果服务器也请求客户端验证,服务器将试图验证客户端身份。如果客户端不能获得认证,连接将被中止。如果被成功认证,服务器用自己的私钥加密Premaster Secret,然后执行一系列步骤产生Master Secret.
7. 服务器和客户端同时产生Session Key,之后的所有数据传输都用对称密钥算法来交流数据。
8. 客户端向服务器发送信息说明以后的所有信息都将用Session Key加密。至此,它会传送一个单独的信息标示客户端的握手部分已经宣告结束。
9. 服务器也向客户端发送信息说明以后的所有信息都将用Session Key加密。至此,它会传送一个单独的信息标示服务器端的握手部分已经宣告结束。
10. SSL握手过程就成功结束,一个SSL数据传送过程建立。客户端和服务器开始用Session Key加密、解密双方交互的所有数据。
--------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 首先要知道SSL是基于应用程序层的安全性,必须支持的应用程序才能实现
2、 SSL的安全性用到public key和对称加密技术。
3、 SSL实现过程(Web Server为例) 1)服务器向CA申请证书,配置启用安全通道 2)客户向服务器发https请求 3)服务器收到请求后,把自己的public key响应给客户 4)双方协商加密级别 5)客户生成一Session Key, 使用web server的public key加密该Session key 6) Session key送给服务器,服务器用自己的private key解密该Session key 7) 双方使用Session key进行对称加密通信
4、 从以上过程可以看出该方法保证通信过程中的安全性客户端不一定需证书
--------------------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 介绍用证书服务和ssl协议实现网络安全通信的方法
2、 简介ssl协议的构成(ssl记录协议和ssl握手协议)及其在tcp/ip协议中作用的层次
3、 详细说明ssl的握手过程中客户和服务器的通信细节
--------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 文件加密概述
2、 WINDOWS2000的身份验证,并介绍INTERNET访问原理。
3、 讲述SSL工作原理
4、 SSL协议可分为两层: SSL记录协议(SSL Record Protocol): 它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 讲课做程有要做到图文并茂,以利学生记忆。
-------------------------------------------------------------------------------------------------
12号参赛者答案:
1。先介绍对称加密方法并举例
2。概括介绍非对称加密方法,给出定义
3。讲解非对称加密原理,公钥私钥体系,目前存在的实现,及算法
4。讲解SSL过程,使用场合
----------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先需要让学员理解对称加密算法和非对称加密算法。他们之间的相同点和不同点,以及各自的优缺点。 对称加密算法的优点是双方采用相同的密钥,简单,通信量低,性能好。但是对称加密密钥的保密性决定了最终是否能够实现安全加密。非堆成加密算法,也就是PKI,可以保证密钥的安全性,但是由于每次都需要生成一个密钥对,即Pub Key,和Pri Key。那么如果两方需要互相传递加密消息的话就需要同时使用2对,4个密钥来完成。速度会很慢。 接下来可以启发学员考虑能否结合这两种加密方法之间的优势。答案是肯定的,既然对称密钥性能好,那么在数据通讯过程中应采用对称加密算法,而对称密钥的安全传递可以依靠非对称加密算法来保证。 当然,在介绍PKI结构的时候,需要让学员充分理解pub key, pri key和Certificate之间的关系。证书的制作过程实际上也是一个非对称加密过程。是利用CA的Pri key对于客户的Pub key的散列进行加密,也就是数字签名,保证其他人可以通过这一散列验证相关的Pub key。 然后我们才会利用动画描述SSL的握手建立过程,分别介绍客户发起;服务器应答Pub key + Certificate;客户验证,客户生成session key;利用服务器的pub key以对称加密的方法将生成的Session key传递到服务器端;两端用session key建立加密数据传输这样一个握手过程。 对于提高,还可以介绍在SSL握手中可以使用的Client Certificate技术。最后,还可以结合EFS的加密原理请同学们理解同时利用对称密钥和非对称密钥的其他加密方法,加强理解。
-----------------------------------------------------------------------------------------------------
14号参赛者答案:
1、 首先介绍Internet网络连接的不安全性:Internet上的网络传输(http、IMAP4、pop3、SMTP等)通常是通过明文方式传输的。为了保证敏感数据的安全,可以考虑使用一些方法加密数据。
2、 介绍常见加密算法的工作原理: 1)介绍对称加密的基本原理,介绍其对称密钥的主要缺陷--交换密钥的不方便; 2)介绍非对称加密的基本原理及主要作用--用于交换对称加密所使用的密钥; 3)介绍PKI结构,CA的作用;
3、 介绍SSL的工作原理 1)介绍服务器从CA获得证书的过程 2)介绍客户机与服务器的通信过程:获得服务器证书、交换对称加密密钥,使用对称密钥加密传输数据。
4、 实验: 1)安装CA; 2)使服务器从CA获得对应证书; 3)在服务器上启用证书; 4)测试客户连接。
-----------------------------------------------------------------------------------------------------
15号参赛者答案:
1. 首先SSL是用来加密数据的,为了保证在INTERNET上传输的敏感数据的安全性,比如POP3、IMAP4、SMTP、HTTP等等;
2. 介绍SSL的工作原理: (1)先介绍对称式加密和非对称式加密和HASH算法; (2)介绍PKI结构; (3)介绍密钥交换过程; (4)CA的作用。
3. SSL的配置和使用;
4. 同学生一道动手做实验。
---------------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
-------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 SSL握手协议的环境。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。
2、 SSL握手协议的工作原理。在通信的初始化阶段,客户方先发出ClientHello消息,服务器方也应返回一个ServerHello消息,这两个消息用来协商双方的安全能力,包括协议版本、会话ID、交换密钥算法、对称加密算法、压缩算法等。接着服务器方应发送服务器证书(包含了服务器的公钥等),如果服务器要求验证客户方,则要发送CertificateRequest消息。最后服务器方发送ServerHelloDone消息,表示hello阶段的结束,服务器等待客户方的响应。如果服务器要求验证客户方,则客户方先发送Certificate消息,然后产生会话密钥、并用服务器的公钥加密,封装在ClientKeyExchange消息中,如果客户方发送了自己的证书,则再发送一个数字签名CertificateVerify消息来对证书进行校验。随后,客户方发送一个ChangeCipherSpec消息,通知服务器以后发送的消息将采用先前协商好的安全参数加密,最后再发送一个加密后的Finish消息。服务器在收到上述两个消息后,也发送自己的ChangeCipherSpec消息和Finish消息。至此,握手全部完成,双方可以开始传输应用数据。 在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。
3、 SSL优点。SSL位于传输层与应用层之间,因此SSL能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。同时,SSL只需要通过一次“握手”过程建立客户与服务器之间一条安全通信的通道,保证传输数据的安全。
------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、先阐述SSL的由来及工作原理 2、比较SSL和IPSEC 3、SSL的应用(怎样建立一个加密网站案例) 1、创建一个独立的CA 2、向独立的CA申请一个服务器证书 3、在IIS中用申请到的证书加密WEB站点并启用SSL安全通信 4、如需验证客户,客户还得向信任的CA申请一个客户证书,然后交由管理员做一个客户证书的映射
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、 首先要知道SSL主要用于加密Web流量,常用于电子商务
2、 SSL的实现同时用到了公钥加密和对称加密。
3、 以下为SSL实现过程 1)首先服务器方应该先向证书服务器申请SSL证书,并在需要进行SSL加密的Web站点上应用 2)客户通过IE浏览器向Web服务器发出访问Web站点的https请求 3)Web服务器收到请求后,把自己的public key响应给客户 4)Web服务器与客户机协商加密级别 5)客户根据协商结果生成一Session Key, 使用web server的public key加密该Session key 6) 客户机将加密的Session key送给Web服务器,Web服务器用自己的private key解密该Session key 7) 最后双方使用该Session key进行对称加密和解密通信
---------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
No.08-1 谈谈如何有效设置Exchange 2000 Server防止垃圾邮件。
1号参赛者答案:
无
-------------------------------------------------------------------------------------------------------------------
2号参赛者答案:
1.首先可以开启邮件过滤的选项,过滤掉已经发现的垃圾邮件地址.
2.可以到专门的防止垃圾邮件的组织上下载相应的垃圾邮件地址列表,进行过滤
3.进行DNS反查询确认发信人的真伪
---------------------------------------------------------------------------------------------------------
3号参赛者答案:
防止垃圾邮件:
1、 在Exchange 2000 Server上禁止RELAY功能。
2、 避免在NEWS GROUP使用公司的邮件地址。
3、 使用SMTP FILTER。
4、 使用IP地址限制。
5、 过滤掉发件人是空白的邮件。
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
Exchange 2000防止垃圾邮件。 exchange2000的系统管理工具中的收件人选项设置中,可以设置很多针对与收件人的属性,但是垃圾邮件很不容易进行过滤,因为没有办法认为没有通讯过的邮件地址就是垃圾邮件。所以,我觉得在邮件附件的大小上以及传送邮件所占用的效率上可以限制以下。另外,我觉得可以有一种方法,那就是让用户使用OWA来阅读自己的邮件,这样可以收集所有员工正在和那些客户的电子邮件地址交流,将这些地址列为安全地址,其余的全部认为是垃圾邮件地址。而当有新地址寄来邮件时,由员工来选择是否列为自己的安全地址,目前来讲,我觉得是最好的配置方法。详细配置选项和步骤在我公司的培训课程中会讲到。
-----------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 smtp virtual server属性,access标签,relay restrictions窗口中,选中only the list below,和 all all computers which successfully ...
2、 global settings下,message delivery properties中,filtering标签,添加过滤条件,并且选中filters messages with blank sender
----------------------------------------------------------------------------------------------------------------
8号参赛者答案:
按照以下步骤防止垃圾邮件:
1.避免在News Group使用邮件地址
2.使用SMTP Filter,以e-mail地址过滤,过滤掉发件人是空白的邮件
3.打开exchange mmc管理工具,在Message Delivery Properties中,Filtering下选中“Filter messages with blank sender"对话框
4.在“Default SMTP Virtual Server”中的Genaral中选advanced,在弹出对话框中点edit,然后再弹出的窗口中选择apply filter
5.限制IP connection,在smtp virtual server上的Access中选connection,在弹出的窗口中做授权限制
6.避免太多的NDR造成太多的queue
---------------------------------------------------------------------------------------------------------------
9号参赛者答案:
筛选1)在Message Delivery中设定Filtering 2) 在SMTP Virtual Server中Apply Filter 设定Relay 1) 在smtp virtual server的access属性页relay配置中选择Only the list below 2) 配置smtp connector中的relay
---------------------------------------------------------------------------------------------------------------
11号参赛者答案:
利用策略实施。可以利用第三方软件实施,如SCAN MAIL。
-------------------------------------------------------------------------------------------------------------
12号参赛者答案:
如何防止垃圾邮件:
1。避免在News Group使用邮件地址
2。使用SMTP Filter,主要包括: a.以email地址过滤(如jack@domain, *@domain); b.过滤掉发件人是空白的邮件
3。使用IP地址限制 (注意:为避免产生太多的NDR,可以清除Global Settings->Internent Message Formats->Default Properties->Advanced->Allow non-delivery reports选项)
------------------------------------------------------------------------------------------------------------
13号参赛者答案:
1 可以使用SMTP Filter进行过滤。过滤时可以采用Email Address的方式。在message delivery property中,filtering一栏中输入要过滤的用户名或域名。也可以选中过滤空白发件人的电子邮件。
2 在SMTP虚拟服务器上启用Filter。在虚拟服务器ip地址后的高级按钮中,可以启用在这个站点上的过滤器。
3 在SMTP虚拟服务器的访问选项卡下连接按钮中,可以通过添加IP地址的方式过滤那些发送垃圾邮件的主机ip。
4 禁止relay。在SMTP虚拟服务器的访问选项卡下relay按钮中,选择只允许一下列表的计算机进行relay,此时列表为空。最下面的允许通过身份验证的计算机进行relay的复选框要被选中。
----------------------------------------------------------------------------------------------------------------
14号参赛者答案:
1、 首先,在SMTP虚拟服务器的属性页的ACCESS选项卡上选定relay,再选择“only the list below”设置允许relay的特定地址和域,再选择“要求验证”;
2、 在Exchange System manager的Globle Setting中选择“message delivery”,在属性页上选择“filter”加入要过滤掉的域,发件人等,也可以选择“过滤掉发件人为空的邮件”。
-----------------------------------------------------------------------------------------------------------
15号参赛者答案:
1、在SMTP虚拟服务器属性页的ACCESS选项卡上选择RELAY,再选择ONLY THE LIST BELOW ,并选择“要求认证”复选框; 2、在EXCHANGE system manager的globle setting中选择message delivery,在属性页中选择filter选项卡,加入要过滤掉的域、发件人等;还可以选择“过滤掉发件人为空”的电子邮件。
-------------------------------------------------------------------------------------------------------------
17号参赛者答案:
无
----------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、通过对用户的属性进行修改来阻止垃圾邮件
2、通过在Exchang的管理控制平台上对邮箱的属性来阻止垃圾邮件
--------------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
----------------------------------------------------------------------------------------------------------------
No.08-2 怎样设置Exchange 2000 Server同时支持多个虚拟域(比如a.com和b.net)?
4号参赛者答案:
主要的问题在于DNS的设置,需要在DNS中设置a.com和b.net两个域,然后配置MX纪录指向Exchange Server 2000 服务器的IP地址。 Exchange Server 2000上面可以在AD用户和计算机里面添加一道新的recipient policy,为每个用户生成两个SMTP的邮件地址,即@a.com和@b.net。如此即可
---------------------------------------------------------------------------------------------------------------
7号参赛者答案:
在服务器SMTP协议中添加一个新的虚拟主机,指定这个虚拟主机的IP地址,在DNS服务器里把域名指响IP地址。
----------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1)可以在Exchange 2000 Server上创建多个SMTP Virtual Server
2)通过System Manager创建不同的MailBox Storage
-----------------------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 配置两个虚拟服务器,每个虚拟服务器绑定一块网卡
2、 配置每块网卡使用合适的DNS服务器
------------------------------------------------------------------------------------------------------------
16号参赛者答案:
在Exchange的Recipient Policies的Default Policy中,添加SMTP地址,其中同时有@a.com和@b.net 在DNS中,建立a.com和b.net两个zone,然后建立对应的MX记录和A记录,都指向相同的IP地址(Exchange 2000的地址)
-------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1)我们可以在Exchange 2000 Server上创建多个SMTP Virtual Server
2)再通过System Manager创建不同的MailBox Storage就可以了
----------------------------------------------------------------------------------------------------------------
No.09 查询执行的速度很慢,如何分析解决问题?
1号参赛者答案:
无
-------------------------------------------------------------------------------------------------------
2号参赛者答案:
1.可是使用performance里面的SQL相关的COUNTER来查看SQLserver运行时的具体参数,进行调整
2.查看TEMPDB的设置
--------------------------------------------------------------------------------------------------------------
3号参赛者答案:
首先使用事件察看器显示的信息。使用性能监视器跟踪SQL的计数器。在企业管理器中观察当前的活动:进程信息,阻塞等。使用SQL PROFILER。在查询分析器中使用性能调整向导。
--------------------------------------------------------------------------------------------------------------
4号参赛者答案:
可以使用query optimizer 或者SQL Profiler来检测查询时检查的表,在需要的字段上建立查询的簇索引或是非簇索引上来提升查询的性能。如果必要,可以重建索引以整理整个表结构。
-------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.检查日志文件,看看是否日志空间已满,如果以满的话清空日志文件或删除一些不需要的日志文件。
2.检查数据库文件大小是否正在自动增长,因为一般来讲都会将数据库文件设置为自动增长方式,所以如果正在自动增长过程中就会影响查询性能,控制文件自动增长的时间就可以解决了。
3.检查是否正在由大量数据输入数据库,填充数据过程中会造成数据库锁定,也会影响性能。
------------------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、用profiler跟踪数据,找出during time长的事务、或有死锁产生
2、优化语句,解决死锁
3、 如果表未建索引,为表建clustered index或nonclutered index。
4、 如果表已经建了索引,更新statistics
5、 可能服务器处于繁忙中,正在产生月报表之类。
6、用PERFORMANCE MONITOR查看内存、CPU、DISK、网络,确定瓶颈,解决相关问题。
----------------------------------------------------------------------------------------------------------
7号参赛者答案:
查看和跟踪执行计划,看具体性能在瓶颈哪个步骤。如果是因为扫描表导致慢的话,创建索引。
------------------------------------------------------------------------------------------------------------------
8号参赛者答案:
查询很慢的原因可能有以下几点:
1.SQL服务器本身配置不高,造成硬件瓶颈
2.锁太多
3.应用程序事务太多
4.索引不恰当
5.事务隔离级别设置的不恰当
解决问题的方法如下:
1.提高及其配置
2.使用Profile和current activity工具查找引起锁的原因,并做出相应的解决方案
3.利用Profile和current activity工具分析阻塞现象,优化性能不好的语句,合理设置索引和事务及事务隔离级别
-----------------------------------------------------------------------------------------------------
9号参赛者答案:
查询速度问题
1、 速度很慢可能是 存储过程逻辑设计不好 锁定太多造成blocking 查询不带Where子句 没有有效的index 客户端程序逻辑问题 SQL Server本身配置问题 硬件问题
2、 可使用以下工具分析解决 事件查看器 性能监视器 (硬件和数据库) 当前活动窗口 (查看lock和processID) Profiler(强列建议),trace并作全面分析,可设定各种事件捕捉和筛选时间
3、 使用Query Analyzer, 设置set statistics io/profile/. set showplan text ,查看统计和执行计划
--------------------------------------------------------------------------------------------------------
10号参赛者答案:
使用查询分析器,查看查询计划,找出查询所查找的表以及所使用的索引,分析数据的存储和特性,查看索引是否正确,并尝试更新相关索引的统计信息,适当的适合要采取适当的措施:如重新写查询,重建索引,更新统计信息等等。
----------------------------------------------------------------------------------------------------------
11号参赛者答案:
一、服务器硬件: 1)处理器:数目,个数速度, 2)磁盘I/O:数目及控制器的数目速度 3)存储器:足够大 从以上几方面是否须升级。
二、操作系统: 1)并发的NT服务与活动: 2)页交换文件:尺寸,数目,位置对系统影响。 3)磁盘管理方面各种RAID 对性能的积极或消极影响。
三、网络: 1)并发的网络活动 2)网络带宽 3)数据传输率
四、SQL SERVER 系统 1)配置 2)锁定(关于死锁的合理设定) 3)大量日志信息写入时 4)并发的SQL SERVER活动:备份,DBCC语句索引维护待活动。
五、数据库应用: 1)逻辑与物理上的设计规范程度及不同方法 2)事务控制合理 3)冲突及查询合理解决方法的设定
六、客户应用: 1)用户需求并发用户及连接断开策略 2)客户对锁定冲突响应 3)指针:种类,设定 利用WINDOWS 系统监视器监测用CURRENT ACTIVITY窗口查看进程信息锁定情况等用T-SQL 语句直接管理用SQL PROFILER进行相应查看与管理用SQL 查询分析器进行查看与管理
-----------------------------------------------------------------------------------------------------
12号参赛者答案:
如何优化查询性能:
1.首先使用监控工具如Performance Monitor等查看SQL Server以及CPU,Disk,RAM对象的计数器,看是否是由于硬件原因导致的。特别是内存,往往会导致瓶颈。如果是网络查询,考虑网络性能。
2.使用SQL Profiler分析查询过程。
3.使用Index Tuning Wizard分析、优化查询语句 4。建立比较有效的索引
--------------------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先可以通过查询分析器对查询进行跟踪。可以观察是否由于索引未创建或创建不当导致查询性能低下。进而分析数据库结构,创建必要的索引尝试优化性能。然后可以看查询语句是否有优化的可能,尽可能避免 Select *这样的语句产生,从语句的角度进行分析,尝试进行优化。然后可以使用 Profiler,performance monitor等工具对于系统资源进行监视,察看是否内存分配不足,CPU主频太低,硬盘数量小,吞吐性能差等硬件问题,对于系统进行优化。
----------------------------------------------------------------------------------------------------------
14号参赛者答案:
解决方案:
1、 将跟踪记录保存到一个文件中,使用Index tuning wizard进行分析,建立合适的索引等;
2、 另外,还可以使用事件探查器跟踪当前活动,查找查询时间比较长的语句,然后用查询分析器的执行计划分析该语句执行慢的原因。
-----------------------------------------------------------------------------------------------------------
15号参赛者答案:
选择1: 1.用事件探查器跟踪当前活动,查找查询时间比较长的语句,然后用查询分析器的执行计划分析该语句执行慢的原因; 2.可以将跟踪保存到一个文件中,使用index tuning wizard进行分析,建立合适的索引等。
--------------------------------------------------------------------------------------------------------------
16号参赛者答案:
1.检查查询语句和表的结构,看是否需要Index,表的连接是否合理
2.硬件资源(CPU/内存)是否不足
3.使用Execution plan分析查询的过程
--------------------------------------------------------------------------------------------------------------
17号参赛者答案:
1)利用SQL Server提供的工具:Profiler,Index Tuning Wizard,以及Query Analyzer。利用Profiler可以监视SQL Server的事件,捕获和保存指定的各个事件。保存Profiler捕获的事件数据之后,进一步分析,这些数据中包含了:查询、过程以及其他事件的名字,相关的执行时间。通过Profiler创建跟踪来监视系统活动。分析要查询的数据本身。
2)考虑SQL Server服务器的硬件是否需要优化。
3)如果数据本身不存在问题,可以考虑使用优化措施,改善查询性能。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、索引的建立有问题。重新建立合理的索引或使用优化查询分析器
2、T-SQL的Scripts设计没有优化。重新编写Scripts或用存储过程来实现
3、系统的性能有问题。用性能监视器来查找原因并进行优化
4、Lock的问题.重新设计Lock
--------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、速度很慢可能是以下原因: 锁定太多造成blocking 查询不带Where子句 没有有效的index 存储过程逻辑设计不好 客户端程序逻辑问题 SQL Server本身配置问题 硬件问题
2、可以使用以下工具分析解决 事件查看器 性能监视器 (硬件和数据库) 当前活动窗口 (查看lock和processID) Profiler(强列建议),trace并作全面分析,可设定各种事件捕捉和筛选时间
3、也可以使用Query Analyzer, 设置set statistics io/profile/. set showplan text ,查看统计和执行计划
--------------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
-------------------------------------------------------------------------------------------------------------------
No.10-1 每次执行的修改操作都成功返回,事务也已经Commit。但之后在Table里却看不到修改的结果,为什么?
1号参赛者答案:
无
---------------------------------------------------------------------------------------------------------
2号参赛者答案:
客户端与数据库的连接出现问题.
-----------------------------------------------------------------------------------------------------------------
3号参赛者答案:
是因为SQL SERVER还没有将事件日志中的内容回写到数据库中。
------------------------------------------------------------------------------------------------------------
5号参赛者答案:
当前执行的修改操作在执行过程中被选择为隐性事务模式运行,这样的话在表中看不到修改的结果。可以再次执行修改操作,将隐性事务去掉就OK了。
-----------------------------------------------------------------------------------------------------
6号参赛者答案:
在表上创建了一个update trigger,将旧数据覆盖更新数据。
-----------------------------------------------------------------------------------------------------------
8号参赛者答案:
使用了forward-only或dynamic这两种光标,执行了insert,update, delete等操作,必须重新连接sql数据库才能得到修改的结果。如果您有更好的答案,可给我回复么?谢谢!
-------------------------------------------------------------------------------------------------------------
12号参赛者答案:
事务commit后,看不到修改: 1。事务日志已满,将阻止后续的Updata, delete, insert操作,以及对Checkpoint的设定。 2。可能是由于发生了blocking 3.在分布式事务中,使用两阶段提交协议,DTC服务失败
------------------------------------------------------------------------------------------------------------
13号参赛者答案:
无
----------------------------------------------------------------------------------------------------
14号参赛者答案:
无
-----------------------------------------------------------------------------------------------------------------
15号参赛者答案:
无
------------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
--------------------------------------------------------------------------------------------------------------------
17号参赛者答案:
无
-------------------------------------------------------------------------------------------------------
18号参赛者答案:
无
---------------------------------------------------------------------------------------------------------------
19号参赛者答案:
无
---------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
---------------------------------------------------------------------------------------------------------------------
No.10-2 客户端提交查询后一直没有响应,而SQL Server当时的CPU, Disk IO等都不高。从SQL Server角度来看,可能是什么原因,如何分析此问题?
4号参赛者答案:
一般来说,这个问题是由于数据表的死锁(deadlock)造成的,可以使用手工方式检测SQL Enterprise Manager的Current Activity用来察看那些数据库和数据表被死锁。然后kill该进程。也可以设置Dead lock Timeout的值,在经过一段时间后来保证数据库自动解锁。
--------------------------------------------------------------------------------------------------------------
7号参赛者答案:
客户端和服务器之间可能在连接上有问题。
--------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、从SQL Server角度来看,可能是有另一外事务正在修改用户查询的表, 而该事务又一直没有提交,则排它锁(X)一直没有释放,所以用户得不到响应
-------------------------------------------------------------------------------------------------------------------
10号参赛者答案:
可能是查询所引用的记录正被其它用户锁定(独占锁定)。可以使用SQL SERVER的ENTERPRISE MANAGER中的CURRENT ACTIVITIES查看当时的系统资源锁定情况,重点查看是不是有用户被blocking
------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 SQL系统配置不合理
2、 锁定,SQL系统中存在大量死锁且自动解锁设置不合理。
3、 存在大量日志信息写入的操作。
4、 并发的SQL SERVER活动,如:正在进行备份、执行DBCC语句、创建索引及相应维护等。
No.01迁移域控制器有哪些要考虑的问题?
1号参赛者答案:
无
-------------------------------------------------------------------------------
2号参赛者答案:
我觉得可以用如下方法: 首先,我们可以用ADMT这个AD迁移工具进行迁移操作. 但是,在迁移以前我们需要将原有AD信息进行备份,以便迁移出现问题时能够及时的恢复. 其次在使用ADMT的工具的时候可能会遇到以下问题:
(1)安全程序包无法整理登录缓冲区,报错登录不成功.解决方法:重新配置信任域。
(2)无法创建终结点.解决方法:检查DNS配置。最后在迁移好后,我们可以采用NETDIAG工具诊断一下AD是否正常运作. 另外ADMT建议用2.0版本,这样可以连密码一起迁移到新的域中.
-------------------------------------------------------------------------------
3号参赛者答案:
1.首先确定被迁移的域控制器的硬件满足安装windows2000的需求。
2.升级nt4或nt3.51域中的pdc到windows2000的dc
3.如果是nt3.0或3.5必须先升级到nt4.0或nt3.51再升级到windows2000
4.如果还有nt4.0的bdc存在,必须保持windows2000域为混合模式
5.当把所有nt的bdc全升级到windows2000后,再将域改为本机模式
-------------------------------------------------------------------------------
4号参赛者答案:
预备安装介质和备用的服务器,选择在不影响用户的日期进行升级和迁移。 备份原先的服务器必要时包括客户计算机上用户数据的备份。 (如果需要,可以使用Ghost备份整个服务器硬盘,以便今后的恢复到原有状态)设置迁移至新建域结构,设计有关迁移至新建域结构的策略和使用工具,例如ADMT,The NetIQ Migration Suite等等直接升级NT域控制器,或新安装一台Windows 2000服务器,然后升级为域控制器和(PDC),然后再升级原有的NT域控制器。验收测试。部署是否能够如期正常进行。 安装及管理人员准备执行的操作程序(重置许可、密码变更、用户数据的复原)。
-------------------------------------------------------------------------------
5号参赛者答案:
1.DNS的名称解析。因为每个DNS的每个AD DC之间都会要保持正常通讯才可以好好应用LDAP服务,所以,DC的位置的迁移首先要保证DNS的正常名称解析。
2.上下级的关系。AD是一个多极空间结构,DC之间的通讯需要维持。
3.复制的效果。AD中DC的复制过程中有两个部分要整个目录林内复制才可以,所以迁移工作要保证复制的成功率。
4.设置的保留。DC上拥有多项设置是和用户的访问相关的,诸如:组策略、用户帐户、组账户、审核日志等,迁移之前要做好所有备份工作。
5.安全性的注意。DC要进行用户身份的验证,所以要保证迁移顺序可以维持正常用户登录。
6.当然,还有些涉及的方面要看具体的问题才可以确定。
-------------------------------------------------------------------------------
6号参赛者答案:
1.是否是本机升级,还是跨服务器的升级。
2. 服务器的版本。
3.使用符合AD所需求的DNS服务器。
4.保证网络的正常通讯。
5.如果在同一森林中用ADMT做迁移,则源和目标必须是NATIVE MODE
6.如果在不同森林中用ADMT做迁移,则目标必须是NATIVE MODE,而且必须建立双向信任。
7.ADMT应在目标域控制器上运行。
8.考虑服务器的硬件必须符合WIN2K SERVER的硬件要求。
9.升级后,可以考虑DC的容错。
10.确认FSMO角色是否正常。
-------------------------------------------------------------------------------
7号参赛者答案:
1、 保存 Windows 2000 之前版本的备份域控制器 (BDC)。 如果在迁移期间出现了任何问题,您可以将所有的 Windows 2000 计算机从生产环境移走,然后将 BDC 备份置于您的网络上并使之成为新的 PDC。然后,这个新的 PDC 将它的数据复制到所有的 BDC,而且该域将返回到它以前的状态。 这种方法的唯一缺点就是:安全 BDC 脱机时进行的所有更改都将丢失。为使损失降到最低,您可以在迁移期间将安全 BDC 定期打开或关闭(当域处于稳定状态时)以更新目录的安全备份。
2、 首先,将主域控制器 (PDC) 从网络上删除。 在迁移之前将 PDC 从网络上删除。如果您想创建多个域,可以将所有的 PDC 置于不属于生产网络的环境中。离开生产环境时,您可以升级 PDC 并形成域。其结果是创建一个功能完备的树林,而且并不影响生产。 一旦树林形成,您就可以增加工作站和 BDC。如果迁移顺利,PDC 便可返回生产环境并开启使用。这个树林会继续工作,其余的服务器可以更新为 Windows 2000 Server,或者新的客户端访问软件可以安装在 Windows 2000 以期版本的客户机上。 使这种方法时,直到新的域控制器和树林被证明是稳定的时候,生产环境才不会受影响。这种方法的主要缺点是,直到新的域控制器在生产环境中联机时,才可以在目录中进行更改。
3、 准备DNS命名格式 如果您已使用 NetBIOS 名称来支持传统的 Microsoft 网络技术,建议您修改网络上使用的 NetBIOS 计算机名为迁移到标准 DNS 专用环境作好准备。
-------------------------------------------------------------------------------
8号参赛者答案:
1.首先考虑原域是NT4.0还是windows2000
2.考虑做好原域控制器的备份,以便迁移失败系统仍能正常工作
3.考虑使用何种迁移方法
4.迁移方法具体有以下几种: ADMT Movetree
5.应用ADMT方法,应注意以下几点: 目标域必须是Windows2000域 原域可以是NT4.0也可以是windows2000 对于森林间的迁移,目标域必须是本机模式 对于森林内迁移,目标域和原域必须都是windows2000本机模式 目标域与原域必须是双向信任的 双向信任域目标域中,运行ADMT的用户必须是domain admins group的成员 在原域,用户必须是local administrators group的member 目标域和原域最好启用审核 在原域必须建一个空的组:scDOMAIN$$$ 原域必须有HKEY_LOCAL_MACHINE\System\Control\LSA\TcpipClientSupport to 0x1 最好先迁移组再迁移用户 ADMT 2.0一次迁移5000个以上用户的时候,5000以后的用户口令不能迁移 注意SID History 6.Movetree 方法只能迁移用户和组,建议使用ADMT方法
-------------------------------------------------------------------------------
9号参赛者答案:
1. 先加入一台新的DC
2. 保证所有DC都已同步
3. 备份该DC上的系统状态数据,保证迁移失败后可以恢复
4. 迁移Operation master,保证5个操作主机在运行在其它DC (如果旧的DC不可用,可能需要考虑用NTDNUTIL来占用角色)
5. 在新的DC上安装DNS服务
6. 域中成员DNS可能需要指现新的位置
7. 把新的DC配置为Global Catalog
8. 关闭旧的DC后,从”活动目录用户和计算机”MMC中清除旧的DC 如果不成功, 可以使用ADSIEDIT来删除,也可用NTDSUTIL来删除指定服务器
-------------------------------------------------------------------------------
10号参赛者答案:
1. 若原先网络中只有此一台DC,要考虑在原先的网络中新设置一台DC,以防原先网络不能正常工作。
2. 要考虑此DC在原先的网络中有没有承担单主操作主机(single operating master)的角色,如果有的话应该将这些角色事先迁移到网络中别的DC上去。
3. 迁移前先与网络中的其它的DC做好复制,使所有DC的AD数据库内容保持一致。
4. 如果此DC为原先网络的GC的话,应该GC角色转换到别的服务器上去。
5. 要检查原先网络的AD复制拓扑结构,防止此DC迁移后,引起原先网络的AD复制故障。
6. 修改此DC的IP地址、子网掩码、默认网关等设置,使其适合新的网络
7. 要考虑迁移的目标网络有没有合适的dns服务器,应该修改所迁移的DC的主dns服务器的地址,使该DC能够在新的网络中正确注册SRV记录。
8. 检查此DC在新的网络中是否正常工作
-------------------------------------------------------------------------------
11号参赛者答案:
1. 确保目的域控制器OS为SERVER版本
2. 先将目的域控制器AD进行备份。
3. 注意源域控制器是否是OPERATION MASTER 如果是,应先将主控OPERATION MASTER ROLE 传递给域内其它DC后,方可进行迁移。
4. 在迁移过程中决不需要同时把大量的服务器或客户迁移到新的操作系统中。也决没有必要为了迁移域控制器或客户而让整个域离线。单个的域控制器仅只在它们的操作系统更新的时候才不可使用。
5. 迁移工作应在晚间非工作时间进行。
-------------------------------------------------------------------------------
12号参赛者答案:
这个题目说的不是很清楚。有两种可能:
1.单纯的Computer的迁移,即将一个域中的某个DC变换为另一个域中的DC;
2.迁移该DC上的对象到另一个域中的某个DC上。 第一种情况比较简单。进行完全复制,考虑该DC在当前域中的角色,特别是Operation Master角色,考虑是否需要将其Transfer给别的DC。运行dcpromo.exe实现降级、升级。 第二种情况相对复杂一些。在这种情况下,DC的迁移与域的迁移关系比较密切。首先需要定义好目标域的模型、确认迁移双方的DC、迁移哪些对象等等。对于用户和组的迁移,一个大的原则是先迁移组,后迁移用户。微软提供了一个工具实现迁移:admt,目前好像有2。0版本,可以在微软的网站上找到。
使用admt迁移过程中需要一些设定,主要包括以下内容:
1.目标域需要是native mode
2.双方的域需要建立双向信任关系
3.双方的Domain Administrators 全局组需要加入到对方的Administrators本地组
4.源域中需要审核User and Group Management 的success 和failure
5.目标域需要在Default Domain Controller策略中审核Audit Account Management的Success和Failure。 6.源域PDC注册表中需要加入 HKEY_LOCAL_MACHINE->System->CurrentControlSet->Control->LSA TcpipClientSupport:REG_DWORD:0x1键值
7。运行admt的用户需要管理员权限
-------------------------------------------------------------------------------
13号参赛者答案:
在迁移的过程中,首先要考虑到的是如何能够让迁移过程对于生产的影响最小化,也就是速战速决。要求不对用户熟悉的环境作出变更或尽可能少的变更。另外还要考虑到的是节省管理成本,比如用户名,密码尽可能保持不变。对于资源权限作尽可能少的调整。还有一点就是安全性的问题,对于安全性来说,应该尽可能使用安全策略的机制来完善安全性。
1.将一台NT4 BDC完全同步后离线,这样能够最大化保持将来一旦迁移失败后恢复的可能。
2.在PDC上进行升级。升级后会停留在Mix Mode之下,这样可以和其他的BDC完成同步工作。
3.等待所有的BDC都提升成为Windows 2000的DC之后,可以将域转换成为Native Mode。这样可以最大化提供Windows 2000能够提供的管理优势。比如说Universal Group等。
4.如果使用ADMT用户迁移工具来移动用户帐号的话,可以使用ADMT2.0版。因为在2.0上提供了对于用户密码的迁移能力,也就是说在迁移用户帐户的同时对于密码进行迁移。如果存在多个NT4域时,请考虑先升级账户域,在升级资源域的升级顺序。在迁移后要考虑使用Windows2000的新结构,OU来充足资源进行管理委派。
-------------------------------------------------------------------------------
14号参赛者答案:
1、 作好AD的备份;
2、 对于不同的域控制器,迁移方法略有不同: 如果是迁移根域的域控制器, 1)在根域中添加一台额外的域控制器 2)如果原域控制器是域中的PDC模拟器或RID操作主机或基础结构操作主机,将对应操作主机迁移到新的域控制器上; 3)如果原域控制器是网络中的GC,则需要指定新的域控制器是网络中的GC,并等待GC复制完成 4)尽量保证该域控制器不能同时作为GC和基础结构操作主机。 5)卸载原域控制器的AD 6)如果要迁移域中的操作主机,需要赋予操作用户具有域管理员权限;如果要设置GC,需要赋予用户企业管理员的权限 ×注意:如果原有AD中只有一个域,第4)步中该计算机可以同时作为GC和基础结构操作主机。 如果是迁移子域的域控制器: 1)在在子域中添加一台额外的域控制器 2)如果原域控制器是域中的PDC模拟器或RID操作主机或基础结构操作主机,将对应操作主机迁移到新的域控制器上; 3)如果原域控制器是网络中的GC,则需要指定新的域控制器是网络中的GC,并等待GC复制完成 4)尽量保证该域控制器不能同时作为GC和基础结构操作主机。 5)卸载原域控制器的AD 6)如果要迁移域中的操作主机,需要赋予操作用户具有域管理员权限;如果要设置GC,需要赋予用户企业管理员的权限
-------------------------------------------------------------------------------
15号参赛者答案:
第一种情况:子域中DC的迁移 1. 做好AD的备份; 2. 在本域中添加一台额外的DC; 3. 把PDC模拟器、RID操作主机和基础结构操作主机迁移到新的DC上; 4. 原DC如果是GC,则需要把新的DC也指定为GC; 5. 把源DC的AD卸掉或关闭(需要等复制完成后)
第二种情况:根域DC的迁移: 1. 做好AD的备份; 2. 在本域中添加一台额外的DC; 3. 把Schema Master、Domain Name Master、PDC模拟器、RID操作主机和基础结构操作主机迁移到新的DC上; 4. 把新的DC也指定为GC; 5. 把源DC的AD卸掉或关闭(需要等复制完成后)。
*注意:如果是多域的环境,基础结构操作主机和GC不能在同一台DC上。
-------------------------------------------------------------------------------
16号参赛者答案:
如果是从NT4.0迁移到AD
1.首先需要有可靠完整的备份,以便出现问题是可以恢复;
2.域中需要BDC,如果原来没有BDC,需要新建一台
3.检查所以要迁移的DC,确定系统运行正常,日志中出现的错误都已经解决或者确定没有影响
4.将PDC离线,然后首先迁移BDC
5.确定迁移正常,然后将原来的PDC降为BDC
6.根据需要迁移其他的DC
-------------------------------------------------------------------------------
17号参赛者答案:
1、 要考虑当前的域控制器的操作系统的版本,是Windows 2000还是Windows NT。
2、 要考虑要迁移的域控制器在域中是否担任主控角色。因为在域中会有一些主控角色(比如PDC仿真器角色),这些角色维护着整个域的关键信息。在进行迁移时,应当查看当前的DC是否担当。如果担当时,应当考虑在迁移之前,将其主控角色传送给其他DC。
3、 要考虑迁移DC操作,账号的情况。如果账号是要保留,那么应当在迁移之前对账号数据库进行备份,以避免迁移过程中账号丢失。
4、 要考虑迁移的域控制器,迁移的结果是什么。是要成为一个新域并加入一个树或森林中,还是要自己创建一个孤立的域。或者加入一个新域中成为新域的额外域控制器。
5、 要考虑该DC策略的改变,另外如果该DC上有一些其他用户要访问的资源,还必须考虑资源的权限变化。
-------------------------------------------------------------------------------
18号参赛者答案:
1、 当前Domain环境是否是NT到Win2000
2、 信任关系
3、 GPO的问题
4、 域控制器的复制
5、 Site
6、 角色的转移和查封
7、 用户的帐号
8、 DNS的问题
9、 AD的架构是否已被修改(如Exchang、ISA等)
-------------------------------------------------------------------------------
19号参赛者答案:
1、 如果原来域中只有一台域控制器的话,应该先将域中的一台成员服务器升级为域控制器。
2、 测试新域控制器能不能正常工作
3、 在迁移前应先将原来域控制器上的系统状态数据进行备份,以保证迁移如果失败后还可以恢复原来的域控制器
4、 在Active Directory用户和计算机管理工具中执行迁移Operation master,将5个操作主机的角色根据需要迁移到相应的域控制器上
5、 如果原来的DC出了问题不可用的话,可能需要考虑用NTDSUTIL工具来直接占用角色
6、 在新的域控制器上应该配置DNS服务,并建立域的活动目录集成区域。域中成员计算机的DNS服务器的IP地址可能需要指向新的域控制器
7、 把新的域控制器还应该配置Global Catalog
8、 操作主机的角色迁移完成后,再将原来的域控制器通过dcpromo命令降级为一个成员服务器。
-------------------------------------------------------------------------------
20号参赛者答案:
无
No.02我启用了DHCP服务器,但是客户机并没有获得IP,请问可能是什么原因?
1号参赛者答案:
无
-------------------------------------------------------------------------------------------------------------
2号参赛者答案:
首先看看是否只是个别用户无法获得IP. 如果是所有客户端都无法获得IP,则问题可能在服务器段:
1)查看DHCP是否被授权
2)查看是否配置了相应的SCOPE并激活
3)查看是否DHCP服务器的网卡和网线等网络设备工作正常
4)如果存在路由查看路由配置是否正确
如果是个别客户端无法获得IP,则可能问题在客户端:
1)首先检查客户端的网卡网线等问网络设备运行是否正常
2)如果存在路由则查看客户端到DHCP服务器的路由配置是否正确
----------------------------------------------------------------------------------------------------
3号参赛者答案:
1、 DHCP服务器没有在域中授权。
2、 DHCP中配置的SCOPE没有被激活。
3、 DHCP中配置的SCOPE的IP地址网段与DHCP服务器IP地址的网段不同。
4、 客户端与DHCP不在同一物理子网,中间由路由器隔开,又没有配置DHCP RELAYAGENT。
5、 由于网络原因,客户端不能联系到DHCP服务器。
-------------------------------------------------------------------------------------------------------------
4号参赛者答案:
1.路由器不支持RFC标准,不能通过BootP和DHCP
2.DHCP没有得到AD的授权(Authorized)
3.DHCP上的地址数用完
4.硬件故障,如服务器网卡或是客户机网卡,或中间交换机等等。
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.首先排除物理上的原因是最好的选择,检查客户机与服务器之间通讯有没有问题。
2.由于AD中的DHCP服务器要授权才可以对外分配IP地址,检查是否在域中而没有正确授权。
3.DHCP服务器上的DHCP服务是否工作正常,察看事件察看器有没有DHCP的错误信息。
4.DHCP服务上创建的作用域的空间范围和数量有没有问题,检查作用域的类型和IP地址数量是否可以满足客户机的需求。
5.客户机有没有设置为自动获取IP地址,检查客户机TCP/IP属性配置
6.DHCP服务器的作用域的排除IP地址选项是否包含大部分地址。
---------------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 DHCP未经AD授权。
2、 DHCP服务是否运行。
3、 DHCP的scope是否定义,并且是否激活。
4、 客户所在的网段是否有DHCP服务器,否则应在该网段安装DHCP RELAY AGENT。
5、 检查客户机的TCP/IP配置是否起用自动获得IP
6、 用network monitor捕捉数据包,检查物理网络是否正常通讯。
7、 DHCP的scope不足够。
8、 从DHCP获取的IP与网络中已存在的IP冲突。
-----------------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 查看DHCP服务器是否有静态合法的IP地址。
2、 查看DHCP服务器中是否配置好合法的作用域,作用域是否被击活。
3、 DHCP服务器是否被授权。
4、 客户机的TCP/IP协议是否配置为自动获得IP地址选项。
5、 可以先把服务器和客户机指定同一网段IP地址,用PING命令测试确保在硬件、连接和协议上无误。
6、 可能在同一网络中有多台DHCP服务器,客户机没有从你这台DHCP服务器获得,把其他DHCP服务器先停止掉,再在客户机上用IPCONFIG /RELEASE 释放IP地址,用IPCONFIG/RENEW更新IP地址。
-------------------------------------------------------------------------------------------------------------
8号参赛者答案:
1.不能够联系DHCP服务器,或者硬件网络硬件故障,也可能DHCP服务器不可用
2.网络的问题,如客户端网卡失败,网线断掉,服务器端网络失败,网络设备故障等物理网络问题。
3.网络内部有防火墙设置,阻断DHCP广播
4.DHCP中继代理不工作
5.DHCP地址空间没有空闲
6.如果是RAS访问方式,RAS服务器没有做中继
7.本地已指定静态IP 8.启用的DHCP服务器,没有经过网络管理员授权
--------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 检查DHCP服务和客户机是否在同一网段
2、 如果不在同一网段,需在客户机所在网段配置一台“DHCP中继代理”,或者检查router是事兼容RFC1542
3、 检查DHCP服务器是否在活动目录中授权,如果没有活动目录授权,DHCP不能成功分配
4、 检查服务器是否配置有IP地址分配作用域,如果没有需创建
5、 检查作用域是否激活
6、 检查客户机是否配置为自从获取IP 地址
7、 检查网卡和其它硬件问题
---------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 此DHCP服务器没有被授权;
2、 服务器上没有设置适当的SCOPE;
3、 SCOPE没有被激活;
4、 客户机和服务器不在同一个网段上,而且没有设置DHCP中继代理;
5、 服务器没有连接到网络上;
6、 服务器的SCOPE中所有的地址都已经租出,没有多余的地址了。
7、 客户机TCP/IP设置错误
8、 客户机网卡、网线故障
9、 HUB、SWITCH等的故障
------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 DHCP服务器与它的客户机在不同的子网,路由未配置;
2、 使用的作用域已满,而且不能再将地址租用给请求的客户机;
3、 由DHCP服务器提供的IP地址范围与网络上另一个DHCP服务器提供的地址范围冲突;
4、 客户可能没有开启动态获得IP地址功能; ---------------------------------------------------------------
12号参赛者答案:
有以下可能:
1。查看服务器配置,服务器是否静态IP,作用域配置是否正确
2。需要DHCP中继代理的网络,代理是否工作正常
3。客户与DHCP服务器的网络连接是否正确
4。服务器的IP地址是否刚刚改变过,并且不再属于作用域所在的网络
5。查看网络上是否配置了多个DHCP服务器,并且各服务器配置的作用域发生了重叠
------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先考虑是否存在一个Windows 2000的Active Directory, 如果有,需要在域中对于DHCP服务器进行授权。这样这台机器的DHCP服务才可以正常启动并工作。其次考虑作用域在设置之后是否已经被激活。保证作用域上配置的IP地址池和subnet mask之间是对应的。查看地址池是否已经用完。考虑网络上是否存在多个DHCP服务器并且之间出现地址重叠。如果有,可以采用排除的方法避免地址重叠。如果出现跨路由网段,需要在不同于DHCP服务器的网段上开放DHCP Relay Agent.而且如果这样用的话,要保证DHCP服务器上的地址池和路由器另一个网段的IP地址空间对应。在客户端使用 ipconfig /release, ipconfig /renew的方法尝试重新连接DHCP服务器获取IP地质
----------------------------------------------------------------------------------------------------------
14号参赛者答案:
可能原因有:
1、 DHCP 服务器没有获得授权;
2、 DHCP Scope 没有激活;
3、 DHCP 服务器的网络ID和可用的DHCP Scope的网络ID不在同一个子网中
4、 DHCP Scope内的IP地址已经分配完毕
5、 DHCP客户端和DHCP服务器中间存在路由器,而路由器不支持RFC1542。
6、 DHCP客户端和DHCP服务器中间存在路由器,而客户端所在的子网中没有配置DHCP Relay Agent;
7、 客户端的DHCP Client服务没有启动。
8、 客户端与DHCP服务器的网络连接有故障。
-----------------------------------------------------------------------------------------------------------
15号参赛者答案:
可能的原因有: 1. DHCP服务器没有授权; 2. DHCP Scope没有激活; 3. DHCP Scope的网络ID和DHCP服务器的网络ID不是同一个子网; 4. DHCP Scope内的IP地址已经分配完毕; 5. DHCP客户端和DHCP服务器不在同一网段,而路由器又不支持RFC1542; 6. DHCP客户端和DHCP服务器不在同一网段,而客户端所在的子网又没有DHCP中继代理; 7. 客户端没有启用DHCP Client服务; 8. 客户端没有设置自动获得IP地址; 9. DHCP的客户端与DHCP服务器的网络连接有问题。
-------------------------------------------------------------------------------------------------------
16号参赛者答案:
1.DHCP没有Authorize
2.网络中有其他的DHCP在运行
3.DHCP中没有配置正确的scope或配置的scope和其他DHCP冲突
4.DHCP服务因为其他原因没有启动
5.DHCP服务在Multihome的计算机中配置有误
6.DHCP服务无法通过路由器,或没有配置DHCP-Relay
7.客户机没有正确配置TCP/IP
8.客户机或服务器网络连接故障
-------------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 可能是客户机的操作系统不匹配,比如是Netware。
2、 可能是客户端在配置TCP/IP属性时,没有选择“自动获得IP地址”选项。
3、 可能是客户机没有绑定TCP/IP。因为DHCP服务器是对TCP/IP来进行配置的而不是其他协议。
4、 可能是客户机与DHCP服务器没有位于同一个网段,而且在客户机所在的网段中没有配置DHCP中继代理或两个网段之间的路由器不支持RFC-1542标准。
5、 其他硬件问题,比如客户端的网卡出现故障。
6、 如果该DHCP服务器是在一个域中工作,可能是由于该DHCP服务器没有得到验证,从而不允许域中为客户端分配IP地址。
---------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 没有启用DHCP的中继代理
2、 IP地址池没有被激活
3、 DHCP服务没有通过AD授权
4、 DHCP的数据库的原因
5、 IP地址的租约过期
6、 可能没创建和配置IP地址的超级作用域
7、 网络不通(如路由器)也可能是原因之一
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、 检查Win2000的DHCP服务器在活动目录中是否已经授权
2、 检查DHCP服务器是否已建立了作用域,而且作用域是否已经激活
3、 检查DHCP服务器的作用域中配的IP地址网段是否和DHCP服务器所在的网段一致,不一致的话DHCP服务器所在网段的客户机是不能从该作用域获取IP地址的
4、 检查DHCP服务器和DHCP客户机之间是否相隔有路由器,如果路由器是非RFC兼容的路由器,将不支持DHCP广播流量。这时一是要在DHCP服务器上建一个DHCP客户机所在网段的作用域,另外还需要在没有DHCP服务器的网段配置一台DHCP中继代理。
5、 检查DHCP服务器的作用域中的地址是否已分配完了。
6、 检查客户机是否配置为自动获取IP 地址。
---------------------------------------------------------------------------------------------------------------
20号参赛者答案:
1.DHCP服务器在域中未被授权
2.作用域未激活
3.路由器不支持DHCP&BOOTP数据包转发,而又未配置DHCP Relay Agent
4.地址池不足
5.网络不通
--------------------------------------------------------------------------------------------------------------
No.03怎样在一个服务器上运行多个Web站点?有多少办法?
1号参赛者答案:
三种办法,
1、 一个服务器上绑定多个IP地址,然后把不同的站点绑定到不同的IP地址上。
2、 一个服务器的IP地址上绑定多个DNS域名,然后把不同的站点绑定到不同的主机头名上。
3、 给不同的站点不同的端口号
2号参赛者答案:
在一台服务器上运行多个站点就是我们常说的虚拟主机它的实现方法如下: 如果是否自己作DNS解析,我们按照如下设置方法: 以建立WWW.ABC.COM和WWW.CDE.COM为例首先我们要按照好DNS服务,在其中建立COM根域,再在下面建立ABC和CDE2个DOMAIN然后在该DOMAIN中分别创建名为WWW的主机,并将主机指向提供服务的IIS服务器接着,我们在IIS上面进行以下设置: 在IIS中,我们新建2个WEB站点名为WWW.ABC.COM,WWW.CDE.COM并且将他们的主机头信息分别设置为WWW.ABC.COM,WWW.CDE.COM 通过这些操作我们就可以成功建立一个虚拟主机如果不需要自己作DNS解析则可以省略配置DNS的步骤.
3号参赛者答案:
1、 WEB服务器上安装多块网卡,每块网卡上绑定不同的IP地址。
2、 WEB服务器上只有一块网卡,一个IP地址,则将多个WEB站点映射到多个不同端口。
3、 使用主机头
------------------------------------------------------------------------------------------------------------------
4号参赛者答案:
3种办法
1.在服务器上配置多个IP地址,在IIS管理工具中配置每个网站的IP。
2.在IIS中配置不同的HTTP Header。
3.修改不同网站采用不同端口,不过客户浏览器访问时需要手工输入端口
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.通过对Internet Information Server的配置可以支持多个web站点,可选的方式有NT+OP4(IIS4.0)或W2K+IIS5.0或WIN.NET+IIS6.0。
2.大体上可以有两种方法支持多个WEB站点。
1〉使用多个HOST Header名称来标志多个站点,在新建的站点属性菜单中可以找到主机标头名设置,主机标头名在DNS中可以解析就可以了(对应每个站点的域名),这样用户就可以访问多个不同的WEB站点。
2〉还有就是为每个域名对应一个IP地址,这样可以单独访问每个站点,但是系统花费和开销比较大,
3.还有第三种方法可以用不同的TCP端口访问不同的站点,但是这样的话不知道端口的用户就没有办法访问站点了。
---------------------------------------------------------------------------------------------------
6号参赛者答案:
必须在WIN2K的SERVER上,安装IIS才能支持多个Web站点,方法有如下三种:
1、 不同的IP,相同的端口号。
2、 相同的IP,不同的端口号。
3、 相同的IP,相同的端口号,使用不同的主机头。
------------------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 在服务器中配置多个静态IP地址,在IIS中配置的WEB站点使用的IP地址中使用不同的IP地址。
2、 在服务器中配置一个静态IP地址,在IIS中配置的WEB站点应用到的TCP端口不同的站点使用不同的端口。
3、 在服务器中配置一个静态IP地址,如果TCP端口都用默认的80端口,就分别使用不同的主机头名。
---------------------------------------------------------------------------------------------------------------
8号参赛者答案:
共2有种办法
1.在IIS服务其中配置多个WEB站点,并分别指定各个站点对应的IP地址,然后在DNS中作解析
2.采用主机头方法,多个WEB站点使用同一个IP地址,同样也要在DNS中作名称解析
--------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 创建多个Web Site 1)在DNS中给每个web site创建不同主机记录(IP地址可以相同,但全称主机名不能相同) 2)创建每个Web site的主文件夹 3)在IIS中新建Web站点,指定IP地址和不同的hostheader,该host header应该对应DNS中的主机记录
2、 创建Web Site的方法除不同的hostheader外,也可用不同的port号来实现,每一个不同的端口对应不同的Web site,但客户访问时需指明port 如 http://www.test.com:3500
----------------------------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 每个web站点绑定一个不同IP地址
2、 每个web站点绑定一个不同的端口
3、 每个web站点作为一个虚拟目录。
--------------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 赋予WEB服务器的各个域名取得唯一的IP地址
2、 是使用HOST HEADER。HOST HEADER允许多个域名使用一个IP地址驻留在IIS上。
-------------------------------------------------------------------------------------------------------------
12号参赛者答案:
服务器上的Web Server由三个属性标识:IP、端口(port number)和主机头(Host Header),因此有三种方法在一个服务器上运行多个Web站点:
1。在服务器上绑定多个IP,可以在多个网卡上绑定,也可以在一个网卡上绑定,每个IP对应一个站点
2。对每个IP,可以使用不同的端口,每个IP和端口的组合,都对应一个站点
3。对于相同的IP和端口的组合,还可以进一步使用Host Header区分。总的原则就是,只要三个属性标识有一个可以和其它Web站点区分,就可以用来构建一个Web 站点。
---------------------------------------------------------------------------------------------------------------
13号参赛者答案:
方法1:可以在一个服务器上使用多个IP地址,可以Binding在同一个网卡上。然后创建多个虚拟站点,每一个虚拟站点使用一个IP地址。这种方法可以让每个站点都使用tcp端口80,便于客户端访问。
方法2:可以使用同一个IP地址。创建多个虚拟站点,每一个站点使用不同的Tcp端口好。这样服务器也可以正常工作。但这使客户端访问需要使 Http://servername:Portnumber的方式,少有不便。
方法3:使用Host Header。也是多个站点使用相同的Ip地址。如果使用IIS5可以在向导过程中直接输入host header name。如果使用的是IIS4,那么也可以选择站点属性中的IP地址选项后的高级按钮,在弹出的对话框中输入该站点使用的header名称。这种方法也不需要改变端口号,对客户没什么影响。但要注意,客户的浏览器必须能够支持HTTP 1.1标准。而且,只能够使用header去访问站点。也就是说,服务器上的header名字一定要在DNS中有着相同的名称-ip地址对应关系。
------------------------------------------------------------------------------------------------------------
14号参赛者答案:
有三种方法在一个服务器上运行多个Web站点:
1、 给服务器配置多个IP地址,每个站点绑定一个IP地址;
2、 给服务器配置一个IP地址,每个站点同时绑定这个IP地址,但是为每个站点指定单独的主机头名,在DNS服务器上为这些站点指定单独的别名;
3、 给服务器置一个IP地址,每个站点同时绑定这个IP地址,但是为每个站点指定单独的端口号;
----------------------------------------------------------------------------------------------------------
15号参赛者答案:
有下列办法: 1. 在服务器的网卡上设置多个IP地址,每个站点指定一个IP地址; 2. 为每个不同站点指定一个不同的端口号; 3. 为每个不同站点指定一个不同的主机头,在DNS服务器上为每个站点创建一个别名。
--------------------------------------------------------------------------------------------------------------
16号参赛者答案:
1.不同的Web站点采用不同的Port
2.不同的Web站点采用不同的IP(主机配置为multihomed)
3.不同的Web站点采用不同的host header name
4.如果使用了ISA,可以采用Web publishing
5.必要的话可以编写一个ISAPI
-----------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 在服务器上创建多个Web文件夹。用Frontpage产生站点内容。
2、 使用IIS创建虚拟目录和域名
3、 绑定多个IP地址,配置DNS以支持域名解析。
4、 通过浏览器测试Web站点。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 在服务器上绑定多个IP地址,然后在DNS的授权区域中对每一个IP地址分配一FQDN,最后在IIS中设置多个Web站点。
2、 在服务器上绑定一个IP地址,然后在IIS中对一个IP地址设置多个主机头
----------------------------------------------------------------------------------------------------------------
19号参赛者答案:
Win2000 Server提供了IIS服务,支持在一台WIN2000服务器上同时建立多个Web站点。可在管理工具中打开Internet服务管理器,在里面建立多个Web站点。一个Web站点的标识主要有三个:IP地址,端口号和主机头。两个Web站点这三项中任一项不同就能够同时运行。因此要同时运行这多个Web站点的话就可以用以下方法区分: 1、不同的Web站点使用不同的IP地址。 2、当两个Web站点的IP地址一样时,可用不同的端口号区分。 3、当两个Web站点的IP地址一样时,可用不同的主机头区分。
-----------------------------------------------------------------------------------------------------------------
20号参赛者答案:
1、 在一块网卡上关联多个IP地址,每个WEB站点在不同IP上服务
2、 在一个IP地址上使用不同端口,每个WEB站点在不同port上服务
3、 定义不同主机头,每个WEB站点使用不同的主机头
4、 使用多块网卡,每块网卡上关联一个或多个IP地址,每个WEB站点在不同IP上服务
---------------------------------------------------------------------------------------------------------------
No.04公司原来使用工作组模式,现在改为Win2K Domain,要将1000台Win2000 pro加入到Domain,请问有什么便利的方法?
1号参赛者答案:
改注册表应该可以。
---------------------------------------------------------------------------------------------------
2号参赛者答案:
最方便的方法莫过于使用脚本.使用以下代码就可以实现这个要求: Script Code Const JOIN_DOMAIN = 1 Const ACCT_CREATE = 2 Const ACCT_DELETE = 4 Const WIN9X_UPGRADE = 16 Const DOMAIN_JOIN_IF_JOINED = 32 Const JOIN_UNSECURE = 64 Const MACHINE_PASSWORD_PASSED = 128 Const DEFERRED_SPN_SET = 256 Const INSTALL_INVOCATION = 262144 strDomain = "FABRIKAM" strPassword = "ls4k5ywA" strUser = "shenalan" Set objNetwork = CreateObject("WScript.Network") strComputer = objNetwork.ComputerName Set objComputer = GetObject("winmgmts:{impersonationLevel=Impersonate}!\\" & _ strComputer & "\root\cimv2:Win32_ComputerSystem.Name='" & _ strComputer & "'") ReturnValue = objComputer.JoinDomainOrWorkGroup(strDomain, _ strPassword, _ strDomain & "\" & strUser, _ NULL, _ JOIN_DOMAIN + ACCT_CREATE)
--------------------------------------------------------------------------------------------------------------
3号参赛者答案:
使用无人值守安装。编写执行脚本。
-----------------------------------------------------------------------------------------------------------
4号参赛者答案:
如果是新安装,可以使用安装脚本,在设置时自动加入域。或是使用RIS进行客户端的自动安装。 如果不许新安装,也可使用在客户端编辑脚本命令: NETDOM /Domain:MYDOMAIN /user:adminuser /password:apassword MEMBER MYCOMPUTER /JOINDOMAIN 加入到域(必须拥有管理员权限)。
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.通常可以采用更改每个计算机网络设置中的网络标识来实现,但是需要每个计算机一一来更改,所以比较耗时且费力。
2.可以采用DHCP分配IP地址和DNS服务器的方式由AD来接管所有服务,这样可以实现所有客户端全部加入DOMAIN,但是稳定性较差。
3.编写脚本,拷贝到所有客户计算机上,在计算机登录过程中实现自动加入域。
4.利用RIS服务,重新安装所有W2K PRO系统并加入域中。
5.管理员在DC上使用远程管理工具,更改客户机的网络标识。
--------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 在DC上创建一个一般用户,授予创建计算机帐户的权限。
2、 编辑一个批文件,使用NETDOM命令将计算机加入域。
3、 放在文件服务器上,建立共享,让用户拷到本地运行。
4、 为每个用户创建域用户帐户。
--------------------------------------------------------------------------------------------------------------
7号参赛者答案:
可以用Net Computer命令 net computer \\computername {/add | /del} 指定要从域中添加或删除的计算机。 /add 将特定的计算机添加到域中。 /del 从域中删除指定的计算机。
-------------------------------------------------------------------------------------------------------------------
8号参赛者答案:
1.使用脚本,由管理员编辑脚本,将该脚本分发给1000台pro(共享文件夹),客户端执行该脚本
2.所有的客户端重装系统,可以采用无人职守方式,系统安装成功后,用户计算机已加入到域中
3.用RIS及无人职守安装文件配合的方式
4.用Sysprep与无人职守安装文件配合的方法
5.管理员将客户的计算机加入到域,然后由客户自己手动加入到域中
6.管理员到每一台计算机执行操作,将用户加入到域中(最麻烦)
--------------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 如果客户机网卡为PXE兼容网卡,并且允许重新安装,可考虑使用RIS安装方法 先安装Active Directory,配置DNS,DHCP 安装RIS Server,创建CD—ROM或Riprep images,连接answer文件 预分级客户机,启动客户计算机自动进入安装程序
2、 如只是加入域,不重新安装,可以制作安装script分布到每台客户机。
----------------------------------------------------------------------------------------------------------------
10号参赛者答案:
使用net computer 命令,做成批处理文件,共享,要求用户运行既可
----------------------------------------------------------------------------------------------------------------
11号参赛者答案:
使用远程安装,作无人应答文件。
-----------------------------------------------------------------------------------------------------------
12号参赛者答案:
1.安装Win2k Pro,加入域,使用sysprep.exe去掉sid,进行磁盘复制,送给每个客户端
2.使用RIS安装,配置安装文件,让它在安装过程中加入域。
3.可以考虑编写脚本,在每个客户机上运行,修改所属域属性。可能需要先在服务器端创建所有的计算机账号,这个工作应该也可以通过脚本实现。
-----------------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先在Domain Controller上创建该1000台计算机的机器帐号。可以通过使用脚本的方式来完成。客户机加入域也可以考虑使用脚本的方式来完成。在无人值守安装模式下有一个关键字叫Joindomain,要求在该过程提供有将机器加入到域的用户名和密码。使用domainadmin,和domainadminpassword来输入。
-----------------------------------------------------------------------------------------------------------
14号参赛者答案:
可以参考微软网站KB文章222525:Automating the Creation of Computer Accounts,自动创建计算机帐号,主要使用NETDOM命令(resource kit)和脚本来实现。
----------------------------------------------------------------------------------------------------------
15号参赛者答案:
主要的办法有: 1. 写一个脚本程序,让这个脚本在客户端运行。脚本的作用是把W2k Pro的客户端计入到域; 2. 由管理员在DC上用CSVDE或LDIFDE工具创建1000个与客户端匹配的计算机帐号,和一个域用户帐号,注意要把使用这些计算机帐号的权限由Domain Admins改为Domain Users。客户端的使用者用此域用户帐号手工把该客户端添加到域; 3.按Q222525中的提示操作。
----------------------------------------------------------------------------------------------------------
16号参赛者答案:
编写Script用于这个项目,一个Script用于在服务器中添加客户计算机对象,并将对应的加入Domain的权限给指定的用户或者每台客户机的用户;另一个Script让用户下载到客户机运行,进行加入域的操作。
-----------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 可以使用远程安装服务远程分发一个新的已经配置好加入一个Windows 2000 Domain的Windows 2000 Professional。
2、 使用Windows 2000的磁盘映像功能。在一台计算机上建立好配置加入域的映像内容,并且使用第三方软件将映像内容拷贝到计算机上,重新安装Windows 2000 Professional。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 制作一个应答文件用无人参与安装方法
2、 通过RIS和GPO来实现
-------------------------------------------------------------------------------------------------------
19号参赛者答案:
如果这1000台Win2000 pro还未安装的话,可以考虑用无人应答安装或者是RIS安装使客户机在安装时自动加入到域中。如果这1000台Win2000 pro以前已经安装好了的话,可以通过制作一个脚本文件并分发到各个客户机来实现
------------------------------------------------------------------------------------------------------------
20号参赛者答案:
在一台Win2000 Server或Advanced Server 上运行dcpromo,将其升级为DC,在升级过程中安装DNS,升级以后安装配置DHCP&RIS,利用RIS部署Win2000 Profesional
----------------------------------------------------------
No.05 A,B两服务器,用VPN连接。管理员用 Ping -l 1500, 可以从A Ping通B,但是无法从B Ping通A,请问可能是哪些原因。
1号参赛者答案:
无
------------------------------------------------------------------------------------------------------------
2号参赛者答案:
查看A的VPN配置是否开了相应的ICMP端口如果A到B有路由则需要查看路由的配置是否正确查看A是否开了NAT服务
---------------------------------------------------------------------------------------------------------------------
3号参赛者答案:
因为B服务器不能接受和处理1500字节的数据包。
-------------------------------------------------------------------------------------------------------------
4号参赛者答案:
检查 A 服务器 TCP/IP MTU Size 注册表键值 HKEY_LOCAL_MACHINE\System\CCS\Services\NdisWan\Parameters 创建或修改以下注册表子键 Value name: IPMTU Data type : REG_DWORD Data range: 1 - 1500 (default is 1500) Value name: TunnelMTU Data type : REG_DWORD Data range: 1 - 1500 (default is 1400)
-----------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.首先检查A服务器是否安装有防火墙屏蔽了ICMP协议。
2.PING -L的命令要发送一定大小的数据文件,A服务器上或许装有网络管理工具用来屏蔽这些数据。
3.还有一种可能是TCP/IP安装有问题,尝试重新安装TCP/IP协议。
4.VPN可以采用两种方法创建,其中要涉及通讯端口,检查是否过滤掉一些端口。
-------------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 可能防火墙设置了单向过滤。
2、 可能防火墙禁止IP的分段。
-----------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 发送包含由 length 指定的数据量的 ECHO 数据包的问题。
2、 B到A之间可能有ICMP(网际消息协议)屏蔽。
3、 如果Ping的时候用的不IP地址,可能是在解析上的问题。
------------------------------------------------------------------------------------------------------------
8号参赛者答案:
主要可能是由于MTU引起的原因,默认的最大传输传输单元一般是1500,但除掉报头部分,-l后应小于1460,之所以可以从A到B通,可能是A端网卡对MTU的设置进行过更改,而网络设备(如交换机,路由器)可将该ICMP包进行拆分,从而在B端接受并回应,而B端网卡可能有MTU的限制,从而不能ping通A
----------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、可能是A服务器网卡对MTU (Maximum Transfer Unit)支持小于1500
---------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 安全协商时间超时
2、 使用DNS名字的话,可能B无法解析A的名称。
----------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 B未配置缺省网关。
2、 路由器配置不正确。
3、 身份验证方法可能配置不正确。
4、 防火墙端口是否打开。
---------------------------------------------------------------------------------------------------------------
12号参赛者答案:
应该同包的大小及是否允许分割有关。缺生情况下,以太网上能够传输的最它的包的大小是1472byte。但是这个缺省值可以修改,如果网络上设置的不允许分割包,而且只在A端修改了包大小上限,就可能出现这种情况
-----------------------------------------------------------------------------------------------------------
13号参赛者答案:
由于使用的是VPN连接,所以在通过RAS/VPN服务器的时候,数据包会重新进行封装。由于使用的是 -l 参数指定了 buffer的大小,另外由于VPN要加封包头的关系,会导致数据包超过协议能允许的大小而导致重新拆包,封包。因此会导致数据包不可到达。
---------------------------------------------------------------------------------------------------------------
14号参赛者答案:
可能的原因有:
1、 A服务器的网络连接可接受的数据包MTU小于1500。
2、 A服务器端的防火墙配置可能会导致这个问题。
-------------------------------------------------------------------------------------------------------------
15号参赛者答案:
可能的原因有:
1. A上网卡可接收数据包的Cache小于1500 Bytes;
2. A端防火墙设置的原因。
--------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
--------------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 A服务器不允许数据包分段
2、 A服务器做了数据包的筛选,过滤了来自B的数据包。
3、 A服务器的远程访问策略配置文件中的数据包筛选器阻止IP通讯流。
4、 VPN 连接没有通过用户帐户拨入属性和远程访问策略的适当访问权限。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 连接到B服务器的路由器的路由表可能有问题
2、 B服务器的网关配置有问题
3、 按需拨号路由的身份验证可能是原因之一
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
可能是A服务器网卡对MTU (Maximum Transfer Unit)支持小于1500 也可能是A和B两个服务器在连接时使用L2TP,并且启用了IPSec,而A服务器在IPSec策略中设置了ICMP流量的筛选策略
----------------------------------------------------------------------------------------------------------
20号参赛者答案:
1 TCP/IP Filter
2 安装了网络防火墙
No.06网络中一个基于Windows 2000的Domain,有三台DC,分别为DC1,DC2,DC3。有一AD对象仅仅在DC1上存在,在其他DC上均没有。网络状态正常,所有AD组件均工作正常情况下(AD复制也完全),可能有哪些情况造成这种现象?
1号参赛者答案:
DC1是操作主机
------------------------------------------------------------------------------------------------------------
2号参赛者答案:
我觉得这道题目的问题好像有些模糊,不知道所谓的现象是指什么? 对于这个只在一台DC上存在的对象据我的理解是否是指FSMO? 在AD的构架中存在这以下FSMO: Relative ID master Primary domain controller (PDC) emulator Infrastructure master Schema Master Role Domain Naming Master Role 这些对象本来就是在AD中的一台DC上存在的.不知道题目中所说的现象是否指这些FSMO
---------------------------------------------------------------------------------------------------------------
3号参赛者答案:
网络状态正常,所有AD组件均工作正常情况下(AD复制也完全),可能有哪些情况造成这种现象?
DC1上的这个对象还没复制到其他DC上。可能DC1与其他DC不在同一个SITE上,SITE间复制的预定时间未到。
----------------------------------------------------------------------------------------------------------------
4号参赛者答案:
也可能是由于DC1存在于不同的站点所以造成AD之间的复制同步延迟。
-----------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.DC的复制可以保证每个DC上的对象数据库一致的,复制分为初始更新和复制更新两种,在加上三个路程段的支持,最大可能性上实现正常复制,但是由于复制周期、DC的GUID的影响,短时间内可能造成DC数据库不一致。
2.对象的管理权通常被授予每一个DC,我们可以手工更改对象管理权,让它只受到某个DC的管理,这样在其他DC上就有可能短时间看不到。
3.DC的创建时间不同,对象的复制版本号不同,服务器的GUID不同也会造成DC的对象数据库短时间内不一致。
4.由于DC存储和DNS存储内容相对一致。DNS存储服务纪录、AD存储对象信息,但AD真实存储的是访问对象的路径的映射,并不是真实对象,而所有DC都要和DNS通讯以获得对象的服务纪录,与DNS的通讯状态也会影响DC的存储纪录。
5.DC2和DC3有可能是后迁移到AD当中的。
6.最后要察看这个AD对象是属于架构管理中的哪个部分,检查是不是架构问题。
--------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 可能DC1刚对这个AD对象做过AD的授权恢复,DC1和DC2,DC3在不同的站点,还未来得及复制到其他DC。
2、 这个对象是在DC1新建的,系统还未完成复制。
3、 secure channel丢失
4、 其他DC 对这个对象access deny。
5、 时间同步有问题。
-----------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 此对象刚建立,还没有到复制间隔时间。
2、 三个域控制器不是额外域控制器的关系。
------------------------------------------------------------------------------------------------------
8号参赛者答案:
1.复制虽然完全,但复制不正常,原因可能是DNS解析不成功,或Connection Object没有建立
2.可能作了授权恢复
3.新增加AD对象时,复制周期还没有结束
----------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 可能是Schema修改后创建的新对象,在新对象还没有复制前schema的修改被禁用。
2、 也可能是复制连接对象没有成功建立
3、 可能是DC1和其它域控制器之间不能有效同步
4、 域控制器时间不同步
5、 也可能是三个DC位于不同Site,inter_site复制有问题
--------------------------------------------------------------------------------------------------------------
10号参赛者答案:
DC1同时是DNS,DNS的zone为活动目录集成的,DC2和DC3都不是DNS。
----------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 在局域网内,DC之间复制周期未到;
2、 在广域网内,三个DC可能处于不同的SITE中,SITE之间的同步周期未到。
--------------------------------------------------------------------------------------------------------
12号参赛者答案:
这种现象可能是正常的。比如当DC1具有某些特定的角色,如GC,Schema Master,PDC emulator,RID Master,Infrastructure Master,Domain Naming Master操作主控角色时,该DC上会具有其它DC上不具有的AD对象。
-------------------------------------------------------------------------------------------------------
13号参赛者答案:
如果复制完全正常的话,可以考虑到因为对象创建不是一个Urgent Replication,因此可能5mins的Notification时间还没有到,复制还没有完成。同样还有删除的过程,也可能由于复制导致短时间不一致的情况。有可能刚刚对于DC1进行了一次Authorized Restore,并且在restore过程是对于某个对象进行的还原,那么在未到达复制周期时,该对象不会被复制到其他的DC. 对象的某些属性可以决定其是否参与复制。如果对象的isEphemeral 属性为true,则它将不参与复制。
------------------------------------------------------------------------------------------------------------
14号参赛者答案:
可能原因: 该对象是一个冲突后被重名的对象。
------------------------------------------------------------------------------------------------------
15号参赛者答案:
可能的原因有:这个对象是一个发生冲突后被改名的对象,他不会再复制。
-------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
-----------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 该对象是主控角色,主控角色在一个域中默认情况下,由DC1来担当,必然在其他DC上不存在。
2、 该对象是GC。通常在AD复制时,假如DC1是GC,则该对象是不会被复制到其他DC上的。
---------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、 Check AD的schema(因为有可能是属性参与了复制而对象没参与复制)
2、 AD的同步
3、 三个DC上的管理员同时建了一个相同的对象
4、 复制的拓扑和KCC也有可能造成这个现象
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、 因为AD复制有时间间隔,可能是时间间隔还没有到
2、 也可能是三个DC在Active Directory站点和服务中的复制连接对象没有成功建立
3、 也有可能三个DC位于不同的站点,而站点之间的复制可以设置复制开始的时间和间隔,可能是还没有到设置的时间
4、 也可能是域控制器之间时间不同步
-----------------------------------------------------------------------------------------------------------------
20号参赛者答案:
1、 五分钟内新建的对象,未复制
2、 复制冲突,孤儿对象
3、 站点间复制,未到复制时间
------------------------------------------------------------------------------------------------------------
No.07 作为讲师,您要向学生讲述SSL 握手的过程,请谈一下您的授课思路。
1号参赛者答案:
无
-----------------------------------------------------------------------------------------------------------
2号参赛者答案:
1.首先要说明SSL的作用让学生对SSL有基本的认识
2.说明需要应用SSL的场景
3.再通过PPT动画的方式生动的演示SSL握手的过程,并进行讲解.
--------------------------------------------------------------------------------------------------------------
3号参赛者答案:
在通信的初始化阶段,客户方先发出ClientHello消息,服务器方也应返回一个ServerHello消息,这两个消息用来协商双方的安全能力,包括协议版本、会话ID、交换密钥算法、对称加密算法、压缩算法等。接着服务器方应发送服务器证书(包含了服务器的公钥等),如果服务器要求验证客户方,则要发送CertificateRequest消息。最后服务器方发送ServerHelloDone消息,表示hello阶段的结束,服务器等待客户方的响应。如果服务器要求验证客户方,则客户方先发送Certificate消息,然后产生会话密钥、并用服务器的公钥加密,封装在ClientKeyExchange消息中,如果客户方发送了自己的证书,则再发送一个数字签名CertificateVerify消息来对证书进行校验。随后,客户方发送一个ChangeCipherSpec消息,通知服务器以后发送的消息将采用先前协商好的安全参数加密,最后再发送一个加密后的Finish消息。服务器在收到上述两个消息后,也发送自己的ChangeCipherSpec消息和Finish消息。至此,握手全部完成,双方可以开始传输应用数据。
---------------------------------------------------------------------------------------------------------------
4号参赛者答案:
Secure Sockets Layer (SSL) IIS 5.0 支持 SSL 3.0. SSL 为Transmission Control Protocol/Internet Protocol (TCP/IP) 提供了安全连接客户端的浏览器和Web服务器使用双向的认证方式相互连接,SSL提供了一个私有的,保证数据完整的,认证过的安全点对点通道,在电子商务方面保证数据安全有重要的应用。 讲解时最好是根据下表做一个详细的消息分析,然后对学生按照电话机连接原理来分析 Message Type Parameters hello_request null client_hello version, random, session id, cipher suite, compression method server_hello version, random, session id, cipher suite, compression method certificate chain of X.509v3 certificates server_key_exchange parameters, signature certificate_request type, authorities server_done null certificate_verify signature client_key_exchange parameters, signature finished hash value
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.首先解释SSL握手此功能的价值,以及带来的商业价值,让学员明白应该在那里使用SSL,在何时使用SSL,和哪些客户要使用SSL。
2.然后通过课程幻灯片的动画效果来简单表明SSL工作的位置。
3.此后在通过自制的动画文件深层次剖析SSL通讯与TCP/IP通讯的过程。
4.在白板上按步骤描述两台计算机通过SSL通讯的过程与没有使用SSL通讯的过程。
5.列举几个应用SSL的事例并在实验环境中演示。
6.最后再次提出SSL在网络通讯上的合理应用与SSL在电子商务领域里的价值。
----------------------------------------------------------------------------------------------------------
6号参赛者答案:
SSL 握手认证有2种,单向和双向。服务器的单向:
1、 客户机向服务器提出https://website
2、服务器向客户提供自己证书(包含公钥)
3、客户机和服务器协商密钥长度、session id
4、双方协商,
获取session key 双向的认证:
1、 客户机向服务器提出https://website
2、 服务器向客户提供自己证书(包含公钥)
3、 客户机和服务器协商密钥长度、session id
4、 客户机用服务器的公钥加密自己的认证信息
5、服务器用自己的私钥解密,得到客户机的安全标识 6、双方协商,获取session key
---------------------------------------------------------------------------------------------------------
7号参赛者答案:
1、 解释SSL是(安全套接字层)的缩写。是一个使用公钥和私钥技术组合的安全网络通讯协议。
2、 讲述通讯过程:客户端先验证服务器,服务器再验证客户端,双方进行协商进行以什么样的方式通讯,最后再进行通讯。
3、 利用PGP第三方软件做实验让学员从实际中获得公钥和私钥加密解密用处。
4、 利用IIS和证书服务实验从实际中获得SSL的应用。
----------------------------------------------------------------------------------------------------------
8号参赛者答案:
我的思路如下:首先按照幻灯片演示握手过程,然后做以下过程讲解,最后使用IIS或者SQL server演示过程。
1. 客户端向Server段发送客户端SSL版本号、加密算法设置、随机产生的数据和其他服务器需要用于根客户端通讯的数据。
2. 服务器向客户端发送服务器的SSL版本号、加密算法设置、随机产生的数据和其他客户端需要用于根服务器通讯的数据。另外,服务器还要发送自己的证书,如果客户端正在请求需要认证的信息,那么服务器同时也要请求获得客户端的证书。
3. 客户端用服务器发送的信息验证服务器身份。如果认证不成功,用户就将得到一个警告,然后加密数据连接将无法建立。如果成功,则继续下一步
4. 用户用握手过程至今产生的所有数据,创建连接所用的Premaster secret,用服务器的公钥加密(在第二步中传送的服务器证书中得到),传送给服务器。
5. 如果服务器也请求客户端验证,那么客户端将对另外一份不同于上次用于建立加密连接使用的数据进行签名。在这种情况下,客户端会把这次产生的加密数据和自己的证书同时传送给服务器用来产生Premaster Secret.
6. 如果服务器也请求客户端验证,服务器将试图验证客户端身份。如果客户端不能获得认证,连接将被中止。如果被成功认证,服务器用自己的私钥加密Premaster Secret,然后执行一系列步骤产生Master Secret.
7. 服务器和客户端同时产生Session Key,之后的所有数据传输都用对称密钥算法来交流数据。
8. 客户端向服务器发送信息说明以后的所有信息都将用Session Key加密。至此,它会传送一个单独的信息标示客户端的握手部分已经宣告结束。
9. 服务器也向客户端发送信息说明以后的所有信息都将用Session Key加密。至此,它会传送一个单独的信息标示服务器端的握手部分已经宣告结束。
10. SSL握手过程就成功结束,一个SSL数据传送过程建立。客户端和服务器开始用Session Key加密、解密双方交互的所有数据。
--------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、 首先要知道SSL是基于应用程序层的安全性,必须支持的应用程序才能实现
2、 SSL的安全性用到public key和对称加密技术。
3、 SSL实现过程(Web Server为例) 1)服务器向CA申请证书,配置启用安全通道 2)客户向服务器发https请求 3)服务器收到请求后,把自己的public key响应给客户 4)双方协商加密级别 5)客户生成一Session Key, 使用web server的public key加密该Session key 6) Session key送给服务器,服务器用自己的private key解密该Session key 7) 双方使用Session key进行对称加密通信
4、 从以上过程可以看出该方法保证通信过程中的安全性客户端不一定需证书
--------------------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 介绍用证书服务和ssl协议实现网络安全通信的方法
2、 简介ssl协议的构成(ssl记录协议和ssl握手协议)及其在tcp/ip协议中作用的层次
3、 详细说明ssl的握手过程中客户和服务器的通信细节
--------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 文件加密概述
2、 WINDOWS2000的身份验证,并介绍INTERNET访问原理。
3、 讲述SSL工作原理
4、 SSL协议可分为两层: SSL记录协议(SSL Record Protocol): 它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 讲课做程有要做到图文并茂,以利学生记忆。
-------------------------------------------------------------------------------------------------
12号参赛者答案:
1。先介绍对称加密方法并举例
2。概括介绍非对称加密方法,给出定义
3。讲解非对称加密原理,公钥私钥体系,目前存在的实现,及算法
4。讲解SSL过程,使用场合
----------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先需要让学员理解对称加密算法和非对称加密算法。他们之间的相同点和不同点,以及各自的优缺点。 对称加密算法的优点是双方采用相同的密钥,简单,通信量低,性能好。但是对称加密密钥的保密性决定了最终是否能够实现安全加密。非堆成加密算法,也就是PKI,可以保证密钥的安全性,但是由于每次都需要生成一个密钥对,即Pub Key,和Pri Key。那么如果两方需要互相传递加密消息的话就需要同时使用2对,4个密钥来完成。速度会很慢。 接下来可以启发学员考虑能否结合这两种加密方法之间的优势。答案是肯定的,既然对称密钥性能好,那么在数据通讯过程中应采用对称加密算法,而对称密钥的安全传递可以依靠非对称加密算法来保证。 当然,在介绍PKI结构的时候,需要让学员充分理解pub key, pri key和Certificate之间的关系。证书的制作过程实际上也是一个非对称加密过程。是利用CA的Pri key对于客户的Pub key的散列进行加密,也就是数字签名,保证其他人可以通过这一散列验证相关的Pub key。 然后我们才会利用动画描述SSL的握手建立过程,分别介绍客户发起;服务器应答Pub key + Certificate;客户验证,客户生成session key;利用服务器的pub key以对称加密的方法将生成的Session key传递到服务器端;两端用session key建立加密数据传输这样一个握手过程。 对于提高,还可以介绍在SSL握手中可以使用的Client Certificate技术。最后,还可以结合EFS的加密原理请同学们理解同时利用对称密钥和非对称密钥的其他加密方法,加强理解。
-----------------------------------------------------------------------------------------------------
14号参赛者答案:
1、 首先介绍Internet网络连接的不安全性:Internet上的网络传输(http、IMAP4、pop3、SMTP等)通常是通过明文方式传输的。为了保证敏感数据的安全,可以考虑使用一些方法加密数据。
2、 介绍常见加密算法的工作原理: 1)介绍对称加密的基本原理,介绍其对称密钥的主要缺陷--交换密钥的不方便; 2)介绍非对称加密的基本原理及主要作用--用于交换对称加密所使用的密钥; 3)介绍PKI结构,CA的作用;
3、 介绍SSL的工作原理 1)介绍服务器从CA获得证书的过程 2)介绍客户机与服务器的通信过程:获得服务器证书、交换对称加密密钥,使用对称密钥加密传输数据。
4、 实验: 1)安装CA; 2)使服务器从CA获得对应证书; 3)在服务器上启用证书; 4)测试客户连接。
-----------------------------------------------------------------------------------------------------
15号参赛者答案:
1. 首先SSL是用来加密数据的,为了保证在INTERNET上传输的敏感数据的安全性,比如POP3、IMAP4、SMTP、HTTP等等;
2. 介绍SSL的工作原理: (1)先介绍对称式加密和非对称式加密和HASH算法; (2)介绍PKI结构; (3)介绍密钥交换过程; (4)CA的作用。
3. SSL的配置和使用;
4. 同学生一道动手做实验。
---------------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
-------------------------------------------------------------------------------------------------------
17号参赛者答案:
1、 SSL握手协议的环境。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。
2、 SSL握手协议的工作原理。在通信的初始化阶段,客户方先发出ClientHello消息,服务器方也应返回一个ServerHello消息,这两个消息用来协商双方的安全能力,包括协议版本、会话ID、交换密钥算法、对称加密算法、压缩算法等。接着服务器方应发送服务器证书(包含了服务器的公钥等),如果服务器要求验证客户方,则要发送CertificateRequest消息。最后服务器方发送ServerHelloDone消息,表示hello阶段的结束,服务器等待客户方的响应。如果服务器要求验证客户方,则客户方先发送Certificate消息,然后产生会话密钥、并用服务器的公钥加密,封装在ClientKeyExchange消息中,如果客户方发送了自己的证书,则再发送一个数字签名CertificateVerify消息来对证书进行校验。随后,客户方发送一个ChangeCipherSpec消息,通知服务器以后发送的消息将采用先前协商好的安全参数加密,最后再发送一个加密后的Finish消息。服务器在收到上述两个消息后,也发送自己的ChangeCipherSpec消息和Finish消息。至此,握手全部完成,双方可以开始传输应用数据。 在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,并采用X.509的数字证书实现鉴别。
3、 SSL优点。SSL位于传输层与应用层之间,因此SSL能很好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。同时,SSL只需要通过一次“握手”过程建立客户与服务器之间一条安全通信的通道,保证传输数据的安全。
------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、先阐述SSL的由来及工作原理 2、比较SSL和IPSEC 3、SSL的应用(怎样建立一个加密网站案例) 1、创建一个独立的CA 2、向独立的CA申请一个服务器证书 3、在IIS中用申请到的证书加密WEB站点并启用SSL安全通信 4、如需验证客户,客户还得向信任的CA申请一个客户证书,然后交由管理员做一个客户证书的映射
------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、 首先要知道SSL主要用于加密Web流量,常用于电子商务
2、 SSL的实现同时用到了公钥加密和对称加密。
3、 以下为SSL实现过程 1)首先服务器方应该先向证书服务器申请SSL证书,并在需要进行SSL加密的Web站点上应用 2)客户通过IE浏览器向Web服务器发出访问Web站点的https请求 3)Web服务器收到请求后,把自己的public key响应给客户 4)Web服务器与客户机协商加密级别 5)客户根据协商结果生成一Session Key, 使用web server的public key加密该Session key 6) 客户机将加密的Session key送给Web服务器,Web服务器用自己的private key解密该Session key 7) 最后双方使用该Session key进行对称加密和解密通信
---------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
No.08-1 谈谈如何有效设置Exchange 2000 Server防止垃圾邮件。
1号参赛者答案:
无
-------------------------------------------------------------------------------------------------------------------
2号参赛者答案:
1.首先可以开启邮件过滤的选项,过滤掉已经发现的垃圾邮件地址.
2.可以到专门的防止垃圾邮件的组织上下载相应的垃圾邮件地址列表,进行过滤
3.进行DNS反查询确认发信人的真伪
---------------------------------------------------------------------------------------------------------
3号参赛者答案:
防止垃圾邮件:
1、 在Exchange 2000 Server上禁止RELAY功能。
2、 避免在NEWS GROUP使用公司的邮件地址。
3、 使用SMTP FILTER。
4、 使用IP地址限制。
5、 过滤掉发件人是空白的邮件。
------------------------------------------------------------------------------------------------------------------
5号参赛者答案:
Exchange 2000防止垃圾邮件。 exchange2000的系统管理工具中的收件人选项设置中,可以设置很多针对与收件人的属性,但是垃圾邮件很不容易进行过滤,因为没有办法认为没有通讯过的邮件地址就是垃圾邮件。所以,我觉得在邮件附件的大小上以及传送邮件所占用的效率上可以限制以下。另外,我觉得可以有一种方法,那就是让用户使用OWA来阅读自己的邮件,这样可以收集所有员工正在和那些客户的电子邮件地址交流,将这些地址列为安全地址,其余的全部认为是垃圾邮件地址。而当有新地址寄来邮件时,由员工来选择是否列为自己的安全地址,目前来讲,我觉得是最好的配置方法。详细配置选项和步骤在我公司的培训课程中会讲到。
-----------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、 smtp virtual server属性,access标签,relay restrictions窗口中,选中only the list below,和 all all computers which successfully ...
2、 global settings下,message delivery properties中,filtering标签,添加过滤条件,并且选中filters messages with blank sender
----------------------------------------------------------------------------------------------------------------
8号参赛者答案:
按照以下步骤防止垃圾邮件:
1.避免在News Group使用邮件地址
2.使用SMTP Filter,以e-mail地址过滤,过滤掉发件人是空白的邮件
3.打开exchange mmc管理工具,在Message Delivery Properties中,Filtering下选中“Filter messages with blank sender"对话框
4.在“Default SMTP Virtual Server”中的Genaral中选advanced,在弹出对话框中点edit,然后再弹出的窗口中选择apply filter
5.限制IP connection,在smtp virtual server上的Access中选connection,在弹出的窗口中做授权限制
6.避免太多的NDR造成太多的queue
---------------------------------------------------------------------------------------------------------------
9号参赛者答案:
筛选1)在Message Delivery中设定Filtering 2) 在SMTP Virtual Server中Apply Filter 设定Relay 1) 在smtp virtual server的access属性页relay配置中选择Only the list below 2) 配置smtp connector中的relay
---------------------------------------------------------------------------------------------------------------
11号参赛者答案:
利用策略实施。可以利用第三方软件实施,如SCAN MAIL。
-------------------------------------------------------------------------------------------------------------
12号参赛者答案:
如何防止垃圾邮件:
1。避免在News Group使用邮件地址
2。使用SMTP Filter,主要包括: a.以email地址过滤(如jack@domain, *@domain); b.过滤掉发件人是空白的邮件
3。使用IP地址限制 (注意:为避免产生太多的NDR,可以清除Global Settings->Internent Message Formats->Default Properties->Advanced->Allow non-delivery reports选项)
------------------------------------------------------------------------------------------------------------
13号参赛者答案:
1 可以使用SMTP Filter进行过滤。过滤时可以采用Email Address的方式。在message delivery property中,filtering一栏中输入要过滤的用户名或域名。也可以选中过滤空白发件人的电子邮件。
2 在SMTP虚拟服务器上启用Filter。在虚拟服务器ip地址后的高级按钮中,可以启用在这个站点上的过滤器。
3 在SMTP虚拟服务器的访问选项卡下连接按钮中,可以通过添加IP地址的方式过滤那些发送垃圾邮件的主机ip。
4 禁止relay。在SMTP虚拟服务器的访问选项卡下relay按钮中,选择只允许一下列表的计算机进行relay,此时列表为空。最下面的允许通过身份验证的计算机进行relay的复选框要被选中。
----------------------------------------------------------------------------------------------------------------
14号参赛者答案:
1、 首先,在SMTP虚拟服务器的属性页的ACCESS选项卡上选定relay,再选择“only the list below”设置允许relay的特定地址和域,再选择“要求验证”;
2、 在Exchange System manager的Globle Setting中选择“message delivery”,在属性页上选择“filter”加入要过滤掉的域,发件人等,也可以选择“过滤掉发件人为空的邮件”。
-----------------------------------------------------------------------------------------------------------
15号参赛者答案:
1、在SMTP虚拟服务器属性页的ACCESS选项卡上选择RELAY,再选择ONLY THE LIST BELOW ,并选择“要求认证”复选框; 2、在EXCHANGE system manager的globle setting中选择message delivery,在属性页中选择filter选项卡,加入要过滤掉的域、发件人等;还可以选择“过滤掉发件人为空”的电子邮件。
-------------------------------------------------------------------------------------------------------------
17号参赛者答案:
无
----------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、通过对用户的属性进行修改来阻止垃圾邮件
2、通过在Exchang的管理控制平台上对邮箱的属性来阻止垃圾邮件
--------------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
----------------------------------------------------------------------------------------------------------------
No.08-2 怎样设置Exchange 2000 Server同时支持多个虚拟域(比如a.com和b.net)?
4号参赛者答案:
主要的问题在于DNS的设置,需要在DNS中设置a.com和b.net两个域,然后配置MX纪录指向Exchange Server 2000 服务器的IP地址。 Exchange Server 2000上面可以在AD用户和计算机里面添加一道新的recipient policy,为每个用户生成两个SMTP的邮件地址,即@a.com和@b.net。如此即可
---------------------------------------------------------------------------------------------------------------
7号参赛者答案:
在服务器SMTP协议中添加一个新的虚拟主机,指定这个虚拟主机的IP地址,在DNS服务器里把域名指响IP地址。
----------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1)可以在Exchange 2000 Server上创建多个SMTP Virtual Server
2)通过System Manager创建不同的MailBox Storage
-----------------------------------------------------------------------------------------------------------------
10号参赛者答案:
1、 配置两个虚拟服务器,每个虚拟服务器绑定一块网卡
2、 配置每块网卡使用合适的DNS服务器
------------------------------------------------------------------------------------------------------------
16号参赛者答案:
在Exchange的Recipient Policies的Default Policy中,添加SMTP地址,其中同时有@a.com和@b.net 在DNS中,建立a.com和b.net两个zone,然后建立对应的MX记录和A记录,都指向相同的IP地址(Exchange 2000的地址)
-------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1)我们可以在Exchange 2000 Server上创建多个SMTP Virtual Server
2)再通过System Manager创建不同的MailBox Storage就可以了
----------------------------------------------------------------------------------------------------------------
No.09 查询执行的速度很慢,如何分析解决问题?
1号参赛者答案:
无
-------------------------------------------------------------------------------------------------------
2号参赛者答案:
1.可是使用performance里面的SQL相关的COUNTER来查看SQLserver运行时的具体参数,进行调整
2.查看TEMPDB的设置
--------------------------------------------------------------------------------------------------------------
3号参赛者答案:
首先使用事件察看器显示的信息。使用性能监视器跟踪SQL的计数器。在企业管理器中观察当前的活动:进程信息,阻塞等。使用SQL PROFILER。在查询分析器中使用性能调整向导。
--------------------------------------------------------------------------------------------------------------
4号参赛者答案:
可以使用query optimizer 或者SQL Profiler来检测查询时检查的表,在需要的字段上建立查询的簇索引或是非簇索引上来提升查询的性能。如果必要,可以重建索引以整理整个表结构。
-------------------------------------------------------------------------------------------------------
5号参赛者答案:
1.检查日志文件,看看是否日志空间已满,如果以满的话清空日志文件或删除一些不需要的日志文件。
2.检查数据库文件大小是否正在自动增长,因为一般来讲都会将数据库文件设置为自动增长方式,所以如果正在自动增长过程中就会影响查询性能,控制文件自动增长的时间就可以解决了。
3.检查是否正在由大量数据输入数据库,填充数据过程中会造成数据库锁定,也会影响性能。
------------------------------------------------------------------------------------------------------------------
6号参赛者答案:
1、用profiler跟踪数据,找出during time长的事务、或有死锁产生
2、优化语句,解决死锁
3、 如果表未建索引,为表建clustered index或nonclutered index。
4、 如果表已经建了索引,更新statistics
5、 可能服务器处于繁忙中,正在产生月报表之类。
6、用PERFORMANCE MONITOR查看内存、CPU、DISK、网络,确定瓶颈,解决相关问题。
----------------------------------------------------------------------------------------------------------
7号参赛者答案:
查看和跟踪执行计划,看具体性能在瓶颈哪个步骤。如果是因为扫描表导致慢的话,创建索引。
------------------------------------------------------------------------------------------------------------------
8号参赛者答案:
查询很慢的原因可能有以下几点:
1.SQL服务器本身配置不高,造成硬件瓶颈
2.锁太多
3.应用程序事务太多
4.索引不恰当
5.事务隔离级别设置的不恰当
解决问题的方法如下:
1.提高及其配置
2.使用Profile和current activity工具查找引起锁的原因,并做出相应的解决方案
3.利用Profile和current activity工具分析阻塞现象,优化性能不好的语句,合理设置索引和事务及事务隔离级别
-----------------------------------------------------------------------------------------------------
9号参赛者答案:
查询速度问题
1、 速度很慢可能是 存储过程逻辑设计不好 锁定太多造成blocking 查询不带Where子句 没有有效的index 客户端程序逻辑问题 SQL Server本身配置问题 硬件问题
2、 可使用以下工具分析解决 事件查看器 性能监视器 (硬件和数据库) 当前活动窗口 (查看lock和processID) Profiler(强列建议),trace并作全面分析,可设定各种事件捕捉和筛选时间
3、 使用Query Analyzer, 设置set statistics io/profile/. set showplan text ,查看统计和执行计划
--------------------------------------------------------------------------------------------------------
10号参赛者答案:
使用查询分析器,查看查询计划,找出查询所查找的表以及所使用的索引,分析数据的存储和特性,查看索引是否正确,并尝试更新相关索引的统计信息,适当的适合要采取适当的措施:如重新写查询,重建索引,更新统计信息等等。
----------------------------------------------------------------------------------------------------------
11号参赛者答案:
一、服务器硬件: 1)处理器:数目,个数速度, 2)磁盘I/O:数目及控制器的数目速度 3)存储器:足够大 从以上几方面是否须升级。
二、操作系统: 1)并发的NT服务与活动: 2)页交换文件:尺寸,数目,位置对系统影响。 3)磁盘管理方面各种RAID 对性能的积极或消极影响。
三、网络: 1)并发的网络活动 2)网络带宽 3)数据传输率
四、SQL SERVER 系统 1)配置 2)锁定(关于死锁的合理设定) 3)大量日志信息写入时 4)并发的SQL SERVER活动:备份,DBCC语句索引维护待活动。
五、数据库应用: 1)逻辑与物理上的设计规范程度及不同方法 2)事务控制合理 3)冲突及查询合理解决方法的设定
六、客户应用: 1)用户需求并发用户及连接断开策略 2)客户对锁定冲突响应 3)指针:种类,设定 利用WINDOWS 系统监视器监测用CURRENT ACTIVITY窗口查看进程信息锁定情况等用T-SQL 语句直接管理用SQL PROFILER进行相应查看与管理用SQL 查询分析器进行查看与管理
-----------------------------------------------------------------------------------------------------
12号参赛者答案:
如何优化查询性能:
1.首先使用监控工具如Performance Monitor等查看SQL Server以及CPU,Disk,RAM对象的计数器,看是否是由于硬件原因导致的。特别是内存,往往会导致瓶颈。如果是网络查询,考虑网络性能。
2.使用SQL Profiler分析查询过程。
3.使用Index Tuning Wizard分析、优化查询语句 4。建立比较有效的索引
--------------------------------------------------------------------------------------------------------------------
13号参赛者答案:
首先可以通过查询分析器对查询进行跟踪。可以观察是否由于索引未创建或创建不当导致查询性能低下。进而分析数据库结构,创建必要的索引尝试优化性能。然后可以看查询语句是否有优化的可能,尽可能避免 Select *这样的语句产生,从语句的角度进行分析,尝试进行优化。然后可以使用 Profiler,performance monitor等工具对于系统资源进行监视,察看是否内存分配不足,CPU主频太低,硬盘数量小,吞吐性能差等硬件问题,对于系统进行优化。
----------------------------------------------------------------------------------------------------------
14号参赛者答案:
解决方案:
1、 将跟踪记录保存到一个文件中,使用Index tuning wizard进行分析,建立合适的索引等;
2、 另外,还可以使用事件探查器跟踪当前活动,查找查询时间比较长的语句,然后用查询分析器的执行计划分析该语句执行慢的原因。
-----------------------------------------------------------------------------------------------------------
15号参赛者答案:
选择1: 1.用事件探查器跟踪当前活动,查找查询时间比较长的语句,然后用查询分析器的执行计划分析该语句执行慢的原因; 2.可以将跟踪保存到一个文件中,使用index tuning wizard进行分析,建立合适的索引等。
--------------------------------------------------------------------------------------------------------------
16号参赛者答案:
1.检查查询语句和表的结构,看是否需要Index,表的连接是否合理
2.硬件资源(CPU/内存)是否不足
3.使用Execution plan分析查询的过程
--------------------------------------------------------------------------------------------------------------
17号参赛者答案:
1)利用SQL Server提供的工具:Profiler,Index Tuning Wizard,以及Query Analyzer。利用Profiler可以监视SQL Server的事件,捕获和保存指定的各个事件。保存Profiler捕获的事件数据之后,进一步分析,这些数据中包含了:查询、过程以及其他事件的名字,相关的执行时间。通过Profiler创建跟踪来监视系统活动。分析要查询的数据本身。
2)考虑SQL Server服务器的硬件是否需要优化。
3)如果数据本身不存在问题,可以考虑使用优化措施,改善查询性能。
-------------------------------------------------------------------------------------------------------------
18号参赛者答案:
1、索引的建立有问题。重新建立合理的索引或使用优化查询分析器
2、T-SQL的Scripts设计没有优化。重新编写Scripts或用存储过程来实现
3、系统的性能有问题。用性能监视器来查找原因并进行优化
4、Lock的问题.重新设计Lock
--------------------------------------------------------------------------------------------------------------
19号参赛者答案:
1、速度很慢可能是以下原因: 锁定太多造成blocking 查询不带Where子句 没有有效的index 存储过程逻辑设计不好 客户端程序逻辑问题 SQL Server本身配置问题 硬件问题
2、可以使用以下工具分析解决 事件查看器 性能监视器 (硬件和数据库) 当前活动窗口 (查看lock和processID) Profiler(强列建议),trace并作全面分析,可设定各种事件捕捉和筛选时间
3、也可以使用Query Analyzer, 设置set statistics io/profile/. set showplan text ,查看统计和执行计划
--------------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
-------------------------------------------------------------------------------------------------------------------
No.10-1 每次执行的修改操作都成功返回,事务也已经Commit。但之后在Table里却看不到修改的结果,为什么?
1号参赛者答案:
无
---------------------------------------------------------------------------------------------------------
2号参赛者答案:
客户端与数据库的连接出现问题.
-----------------------------------------------------------------------------------------------------------------
3号参赛者答案:
是因为SQL SERVER还没有将事件日志中的内容回写到数据库中。
------------------------------------------------------------------------------------------------------------
5号参赛者答案:
当前执行的修改操作在执行过程中被选择为隐性事务模式运行,这样的话在表中看不到修改的结果。可以再次执行修改操作,将隐性事务去掉就OK了。
-----------------------------------------------------------------------------------------------------
6号参赛者答案:
在表上创建了一个update trigger,将旧数据覆盖更新数据。
-----------------------------------------------------------------------------------------------------------
8号参赛者答案:
使用了forward-only或dynamic这两种光标,执行了insert,update, delete等操作,必须重新连接sql数据库才能得到修改的结果。如果您有更好的答案,可给我回复么?谢谢!
-------------------------------------------------------------------------------------------------------------
12号参赛者答案:
事务commit后,看不到修改: 1。事务日志已满,将阻止后续的Updata, delete, insert操作,以及对Checkpoint的设定。 2。可能是由于发生了blocking 3.在分布式事务中,使用两阶段提交协议,DTC服务失败
------------------------------------------------------------------------------------------------------------
13号参赛者答案:
无
----------------------------------------------------------------------------------------------------
14号参赛者答案:
无
-----------------------------------------------------------------------------------------------------------------
15号参赛者答案:
无
------------------------------------------------------------------------------------------------------------
16号参赛者答案:
无
--------------------------------------------------------------------------------------------------------------------
17号参赛者答案:
无
-------------------------------------------------------------------------------------------------------
18号参赛者答案:
无
---------------------------------------------------------------------------------------------------------------
19号参赛者答案:
无
---------------------------------------------------------------------------------------------------------------
20号参赛者答案:
无
---------------------------------------------------------------------------------------------------------------------
No.10-2 客户端提交查询后一直没有响应,而SQL Server当时的CPU, Disk IO等都不高。从SQL Server角度来看,可能是什么原因,如何分析此问题?
4号参赛者答案:
一般来说,这个问题是由于数据表的死锁(deadlock)造成的,可以使用手工方式检测SQL Enterprise Manager的Current Activity用来察看那些数据库和数据表被死锁。然后kill该进程。也可以设置Dead lock Timeout的值,在经过一段时间后来保证数据库自动解锁。
--------------------------------------------------------------------------------------------------------------
7号参赛者答案:
客户端和服务器之间可能在连接上有问题。
--------------------------------------------------------------------------------------------------------------
9号参赛者答案:
1、从SQL Server角度来看,可能是有另一外事务正在修改用户查询的表, 而该事务又一直没有提交,则排它锁(X)一直没有释放,所以用户得不到响应
-------------------------------------------------------------------------------------------------------------------
10号参赛者答案:
可能是查询所引用的记录正被其它用户锁定(独占锁定)。可以使用SQL SERVER的ENTERPRISE MANAGER中的CURRENT ACTIVITIES查看当时的系统资源锁定情况,重点查看是不是有用户被blocking
------------------------------------------------------------------------------------------------------------
11号参赛者答案:
1、 SQL系统配置不合理
2、 锁定,SQL系统中存在大量死锁且自动解锁设置不合理。
3、 存在大量日志信息写入的操作。
4、 并发的SQL SERVER活动,如:正在进行备份、执行DBCC语句、创建索引及相应维护等。
浙公网安备 33010602011771号