把容量在4GB以上的U盘插入计算机，在命令行运行下列命令，完成U盘的分区格式化。

    步骤二：复制安装文件

    使用虚拟光驱等工具，把Windows 7 beta或RC ISO中的全部文件复制到U盘上。

    步骤三：写入U盘启动信息

    在命令行执行如下的命令：bootsect /nt60 X:

    其中bootsec位于ISO根目录的boot目录中，X是当前U盘在系统中的盘符。

    步骤四：使用U盘进行安装

    设置计算机从U盘启动，插入U盘即可进入跟光盘相同的安装界面。

假设你是一位使用solaris操作系统的网站管理员，有一天你无意中在你硬盘/var/adm目录下messages文件中看到了如下类似内容：
　　Apr 24 20：31：04 nmssa /usr/dt/bin/rpc.ttdbserverd[405]： _Tt_file_system：：findBest
　　MountPoint -- max_match_entry is null， aborting…
　　Apr 24 20：31：05 nmssa inetd[140]： /usr/dt/bin/rpc.ttdbserverd： Segmentation Faul
　　t - core dumped
　　知道这意味着什么吗?你的系统已有至少99%的可能性被侵入!
　　
　　目前使用solaris的系统管理员都知道在/var区下有个目录adm，在这个目录下有messags，syslog，sulog，utmp等诸多日志文件，它们记录着solaris系统产生的各种消息日志。从系统管理员的角度来讲，清楚的理解各个日志文件的功能及作用是很有必要的，在系统发生安全问题时，这些日志纪录可以在一定意义上起到帮助和诊断作用。
　　
　　我们来依次看看Adm目录下的主要文件。
　　adm/messags
　　我们先来看最为重要的messages文件， messages记载来自系统核心的各种运行日志，包括各种精灵，如认证，inetd等进程的消息及系统特殊状态，如温度超高等的系统消息，可以说它是系统最重要的日志之一。 messages可以记载的内容是由/etc/syslog.conf决定的，有兴趣的读者可以使用man syslog.conf命令来做一个详细了解，这里就不介绍了。就安全的角度来讲，目前互联网上入侵者采用的手段大多数是利用系统的漏洞，而当入侵者试图利用漏洞对你的服务器进行攻击时，在服务器的messages文件中一般会留下一些异常的内容，如本文最开始描述的部分，就是目前互联网上入侵者使用rpc.ttdbserver漏洞攻击所留下的痕迹，它是solaris最为臭名昭著的一个系统漏洞，入侵者利用这个漏洞可以轻松的从远端得到超级用户权限，但这种攻击不是干净的入侵攻击，它会在messages下留下记录，同时会在根目录下生成core文件，如果细心的管理员经常检查系统日志，是不难发现有入侵者或入侵企图的，又比如下面的纪录：
　　Apr 24 11：26：25 unix.secu.com ftpd[7261]： anonymous (bogus) LOGIN FAILED [from 11.22.33.46]
　　Apr 24 11：27：23 unix.secu.com ftpd[7264]： 163 (bogus) LOGIN FAILED [from 11.22.33.49]
　　Apr 24 11：28：44 unix.secu.com ftpd[7265]： abc (bogus) LOGIN FAILED [from 11.22.33.46]
　　管理员可以从上述纪录中可以清楚看到在24日11点26， 11点27， 11点28分有可疑用户在猜主机的ftp口令，它们的来源ip 分别是 11.22.33.46和11.22.33.49。
　　adm/sulog
　　sulog中记载着普通用户尝试su成为其它用户的纪录。它的格式为： 发生时间 +/-(成功/失败) pts号 当前用户欲su成的用户
　　我们截取一部分实际内容，来看一下：
　　SU 04/15 16：35 + pts/6 yiming-root
　　SU 04/15 16：43 + pts/4 root-yiming
　　SU 04/17 08：20 - pts/5 cheny-root
　　SU 04/18 16：36 - pts/4 cheny-root
　　SU 04/19 02：57 + pts/11 lizhao-root
　　SU 04/19 19：57 + pts/11 cys-root
　　SU 04/21 08：20 - pts/4 cheny-root
　　SU 04/21 16：36 - pts/8 cheny-root
　　SU 04/22 15：23 - pts/5 cheny-root
　　对管理员来讲，需要密切关注两种用户，第一是反复su失败的，如以上cheny用户，他有猜超级用户口令的嫌疑。第二是在不正常时间的su纪录，如上述第六行用户lizhao，随然他正确的输入了口令(在第四列中有+号)但02：57分这个时间比较可疑，这是一个管理员不大可能工作的时间，要知道，入侵者可能安装过sniffer之类的软件，并利用它窃取到了超级用户口令，为了进一步做工作，如窃取主机敏感数据，入侵者需要进行比较复杂的操作，但在白天这个系统管理员活动的时间被发现的可能性是比较大的，所以即使入侵者得到了高权限的密码，一般也会选择深夜等管理员一般不工作的时间。这些时候没有人会抓他。
　　
　　adm/utmp,utmpx
　　这两个文件是不具可读性的，它们记录着当前登录在主机上的用户，管理员可以用w，who等命令来看，下面为who的输出结果，
　　yiming pts/29 Jun 12 09：24 (11.22.33.44)
　　yiming pts/28 Jun 12 08：41 (11.22.33.43)
　　guest pts/30 Jun 12 09：26 (penetrate.hacker.com)
　　root pts/19 Jun 12 08：19 (:0.0)
　　它的输出很简单，每行依次为用户，pts号，时间，来源地点。当管理员觉得系统表现可疑时，一般会用这两个命令来看当前用户，如果在输出中有不正常的用户名，或是来源ip较为可疑，则管理员需要引起注意了。如上述guest这个用户就比较可疑，虽然这个用户名guest是合法的，但这个用户的来源penetrate.Hacker.com看起来可是不太对劲。系统管理员有必要监视一下这个用户的行为。有一点要注意，管理员不能完全相信w，who及下面提到的last命令所报告的结果，使用特定的擦除日志软件，如zap之类入侵者可以很轻松的抹掉入侵者的踪迹，一个聪明的入侵者一般会将编译好的擦除软件传到受害主机，并在侵入系统后马上做擦除工作，比如他在受害主机执行zap，如下，
　　./zap -v guest
　　- WTMP：
　　WTMP = /var/adm/wtmp
　　Removing user guest at pos： 131328
　　Done!
　　- UTMP：
　　UTMP = /var/adm/utmp
　　Removing user guest at pos： 864
　　Done!
　　- LASTLOG：
　　LASTLOG = /var/adm/lastlog
　　User guest has no wtmp record。 Zeroing lastlog。。
　　- WTMPX：
　　WTMPX = /var/adm/wtmpx
　　Done!
　　- UTMPX：
　　UTMPX = /var/adm/utmpx
　　Done!
　　此时，在用w看时，我们看看发生了什么变化?
　　yiming pts/29 Jun 12 09：24 (11.22.33.44)
　　yiming pts/28 Jun 12 08：41 (11.22.33.43)
　　root pts/19 Jun 12 08：19 (:0.0)
　　我们可以看到入侵者消失了!这对入侵者是个好消息，但对一个安全意识较差的系统管理员而言，这台主机可不大妙了。建议如果系统看起来不大对劲，而用w，last等看出不出来端倪的话，还是安装其它系统监视软件如ttywatcher，ethereal等仔细审核一下。
　　
　　adm/wtmp，wtmps
　　这两个文件相当于历史纪录，它们记录着所有登录过主机的用户，时间，来源等内容， 这两个文件也是不具可读性的。可用last命令来看，如下。
　　support pts/13 11.22.33.44 Thu Apr 20 18：40 - 20：50 (02：10)
　　gogo pts/12 11.22.33.45 Thu Apr 20 1：53 - 17：21 (02：28)
　　root ftp secu.unix.com Wed Apr 19 14：58 - 14：58 (00：00)
　　
　　管理员要注意那些发生在不正常时间或是来自可疑地点的登录纪录，如上面输出结果中的gogo用户，这个时间不太正常。
　　与上面utmp，utmpx一样，管理员也应该清楚：last只能给你一个大概的参考，不要完全相信last的结果。
　　
　　除了上述几个文件外，在/var/log目录下还有一个syslog文件，这个文件的内容一般是纪录mail事件的，管理员应该经常检查有没有异常纪录。
　　
　　最后来讲一讲solaris一个很少被用起但却极为有用的功能---记账。Solaris操作系统可以通过设置日志文件可以对每个用户的每一条命令进行纪录，这一功能默认是不开放的，为了打开它，需要执行/usr/lib/acct目录下的accton文件，格式如下/usr/lib/acct/accton /var/adm/pacct，在sun的手册上，只有这一种用法，但这样做的缺点是明显的，大多数有经验的入侵者一定不会放过/var/adm和 /var/log这两个目录的，如果它们看到有pacct这个东西，不删才怪。针对这种情况其实有个很好的解决办法，执行/usr/lib/acct/accton 后面跟一个别的目录和文件即可，如/usr/lib/acct/accton /yiming/log/commandlog，这样入侵者不会在/var/adm/下看到pacct，入侵者也许会删掉message，syslog等日志，但他并不知道实际上他所有的操作都被记录在案，管理员事后只要把commandlog这个文件拷贝到/var/adm下，改为pacct ，同时执行读取命令lastcomm，就一切尽在掌握啦。如lastcomm hack，可得到下面的输出结果：
　　sh S hack pts/7 0.05 secs Mon Jun 12 14：28
　　sh F hack pts/7 0.00 secs Mon Jun 12 14：39
　　ls hack pts/7 0.01 secs Mon Jun 12 14：39
　　ls hack pts/7 0.02 secs Mon Jun 12 14：39
　　ls hack pts/7 0.01 secs Mon Jun 12 14：38
　　df hack pts/7 0.03 secs Mon Jun 12 14：38
　　ftp hack pts/7 0.02 secs Mon Jun 12 14：37
　　ls hack pts/7 0.01 secs Mon Jun 12 14：37
　　vi hack pts/7 0.02 secs Mon Jun 12 14：37
　　who hack pts/7 0.02 secs Mon Jun 12 14：36
　　我们从输出中可以了解用户hack所做的工作，是不是很爽？
　　
　　其实网络安全，可以从一些小的点点滴滴的方面加以注意，使用得当，一样会起到较好的作用，管理员，从关注你的日志文件开始吧。

MillwardBrown公布了最新的Brandz Top 100品牌价值排名,Google微软毫无悬念地排名第一第二.
中国厂商中,中国移动通信高举排行榜第七位,而其它具有高品牌价值的企业均出自银行业,以下是排名图像,值得一看.

要实现iSCSI读写，除了使用特定的硬设备外，也可通过软件方式，将服务器仿真为iSCSI的发起端或目标端，利用既有的处理器与普通的以太网络卡资源实现iSCSI的连接。

iSCSI即internet SCSI，是IETF制订的一项存储传输协议标准，用于将SCSI数据区块映像成以太网数据封包。iSCSI协议基本上是一种跨过IP网络来传输SCSI 数据区块的方法，发起读写请求的来源机器设备称作Initiator（发起方），被请求的目标设备则称作Target。透过这种方式可在IP网络上以区块级模式存取大量数据。 

要实现iSCSI读写，除了使用特定硬设备外，也可透过软件方式，将服务器仿真为iSCSI的发起端或目标端，利用既有的处理器与普通的以太网络卡资源实现iSCSI的连接。目前多数的iSCSI Target仿真软件多为需付费的商业软件，而iSCSI initiator则已有许多免费软件可供选用。

Microsoft iSCSI Initiator

Microsoft提供的iSCSI发起器软件，可让Windows客户端将以太网卡仿真成iSCSI发起器，以便对网络上的iSCSI目标设备发起存取需求，建立iSCSI联机。

Microsoft iSCSI Initiator最新的版本为2.04版，可支持Windows 2000/XP/Server 2003等微软作业环境，并分别有支持x64、IA64、x86等处理器平台的版本。下载完成安装后，在Discovery选单输入iSCSI目标设备的 IP或iqn地址，即可在Target选单中选择与iSCSI设备建立连接，透过IP网络存取iSCSI存储设备，还支持多路径传输。

Linux-iSCSI

有2.4/2.6两种版本Linux kernel的iSCSI Initiator，在使用时，系统中必须备妥kernel-source、kernel、gcc、perl、Apache等相关档案。下载并完成编译后，先将/etc/iscsi.conf内的iSCSI配置组态，改为符合目前使用的iSCSI目标设备的正确网址、用户名称与密码，接下来以 #/etc/init.d/iscsi start启动iSCSI设备，并以fdisk指令分割磁盘，最后用mkdir与 mount指令将磁盘驱动器挂载。

Solaris iSCSI Initiator

Solaris 10已内建了iSCSI Initiator软件，包括SPARC 64、x64与IA-32等处理器平台都能支持。Sun把iSCSI相关驱动程序整合在iSCSI Device Driver and Utilities的更新程序内，目前已更新到5.10版。

使用时，先用svcadm enable svc:/network/iscsi_initiator的指令格式先行启始iSCSI Initiator，接下来的的操作主要依靠iscsiadm指令，先以iscsiadm add discovery-address指令设定目标设备地址，再用iscsiadm modify initiator-node修改与目标设备间的连接设定，然后依序使用devfsadm -c iscsi、format、newfs等指令建立新的磁盘区，最后再用mount指令将磁盘区挂载起来即可。

总有人说，微软的这个系统不好，那个系统不好。其实大家的说法也对，也不对。毕竟没有任何技术都能够一步到位（不然我们现在直接做着飞碟去外层空间交友了），从略长的时间角度来讲，Windows很明显地在进步。

虽然有很多人张口骂Windows ME的失败，但是ME比起Windows98如何？ME里面内置了很多功能都是XP直接采用的。而且，很多骂ME的人都是道听途说，总感觉那么多人骂肯定有被骂的道理，于是跟着骂，其实自己压根没见过ME是啥样。

我们带大家再来回顾从Windows 1.0到Windows vista的启动画面发展进程：


1985.11.20Windows1.01 —— 最早的“蓝屏”

1987.11.1 Windows 2.03 ——微软标识成形

1990.5.22 Windows 3.0


1992.3.18 Windows 3.1 —— 首次出现窗口旗帜


1993.11.1 Windows for Workgroups 3.11

1993.7.27 Windows NT 3.1

1993.7.27 Windows NT 3.1 AdvancedServer

1994.9.21 Windows NT Workstation 3.5

1995.5.30 Windows NT Workstation 3.51

1995.5.30 Windows NT Server 3.51

1995.8.24 Windows 95 ——“蓝天白云”并突出显示了集成的IE浏览器

1996.8.24 Windows NT Workstation 4.0

1996.8.24 Windows NT Server 4.0

1998.6.25 Windows 98

2000.2.17 Windows 2000 Professional —— 第一次使用进度条

2000.9.14 Windows Millennium Edition

2001.10.25 Windows XP Home Edition —— 进度条改成了循环滚动样式

2001.10.25 Windows XP Professional Edition

2003.3.28 Windows XP 64-Bit Edition

2003.4.24 Windows Server 2003

2004.8.6 Windows XP SP2 —— Professional字样被去掉

2007.1.30Windows Vista—— 改用黑屏


2007.1.30 Windows Vista —— 第二部分，看来微软不过瘾，非要在Vista里加上两个启动画面。

相信不少朋友也应该下载了Windows 7的PDC Build 6801版本,但PDC上的演示和自己安装的系统为什么不同呢?
例如新的任务栏“Superbar”就没有出现,UX Theme的作者,来自withinwindows.com的Rafael则找出了这一突破性功能的隐藏开启条件并给出了补丁:

1. 必须是以下域的有效用户:
   • wingroup.windeploy.ntdev.microsoft.com
   • ntdev.corp.microsoft.com
   • redmond.corp.microsoft.com
2. 必须有一个有效地用户名前缀
   • a- (temporary employees)
   • v- (contractors/vendors)

Screenshot of PDC ‘08 build with new Taskbar

怪不得下载了Windows 7的朋友们会怀疑自己下载了一个假版本呢.

怎样才能打开?

下载一个小工具就可以了:x86 or x64 ,将其拷贝到Windows目录,并按管理员权限在命令行执行以下命令.

• takeown /f %windir%\explorer.exe
• cacls %windir%\explorer.exe /E /G MyUserName:F (replacing MyUserName with your username)
• taskkill /im explorer.exe /f
• start unlockProtectedFeatures.exe

也许你刚刚买了一个体积“硕大无比”的液晶显示器，心里还在窃喜终于摆脱了CRT显示器了，可是如果你看到这个新奇的4.3英寸大小的USB驱动液晶显示器，你可能又蠢蠢欲动了。

Century LCD-4300U是一款4.3英寸大小，依靠USB供电的液晶显示器,别担心，肯定能用。分辨率为800*480，可用于xp/vista/os x,售价197美元（应该是日本货）。

国内最好的购物网站（B2C）排行榜，分析与推荐

Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）： 
1.架构主机 schema master
2..域命名主机 domain naming master
3.相对标识号 (RID) 主机 RID master
4.主域控制器模拟器 (PDCE) 
5.基础结构主机 infrastructure master

森林级别 
架构主机（Schema Master）
功能：控制活动目录内所有对象/属性的定义
提示：Regsvr32 schmmgmt.dll 
      Schema Admins组
故障影响：更新Schema受影响
短期内一般看不到影响
      典型问题如：无法安装Exchange
故障处理：需确定原OM为永久性脱机才可抓取
      确保目标DC为具有最新更新的DC
域命名主机（Domain Naming Master）
         功能：控制森林内域的添加和删除
                   添加和删除对外部目录的交叉引用对象
         提示：建议与GC配置在一起
                   Enterprise Admins组
         故障影响：更改域结构受影响
                   短期内一般看不到影响
                   典型问题如：添加/删除域
         故障处理：需确定原OM为永久性脱机才可抓取
                   确保目标DC为具有最新更新的DC
域级别
RID主机（RID Master）
         功能：管理域中对象相对标识符（RID）池
         提示：对象安全标识符（SID）= 域安全标识符 + 相对标识符（RID）
                   * 形如：S-1-5-21-1343024091-879983540-3…
         故障影响：无法获得新的RID池分配
                   典型问题如：无法新建（大量）用户帐号
         故障处理：需确定原OM为永久性脱机才可抓取
                   确保目标DC为具有最新更新的DC
PDC模拟主机（PDC Emulator）
         功能：模拟Windows NT PDC
                   默认的域主浏览器
                   默认的域内权威的时间服务源
                   统一管理域帐号密码更新、验证及锁定
         提示：PDC模拟主机不仅仅是模拟NT PDC
                   一般负荷较大
         故障影响：底端客户不能访问AD
                   不能更改域帐号密码
                   浏览服务问题
                   时间同步问题
         故障处理：需要比较及时地恢复
                   可以临时抓取到其他DC 
                   在原OM恢复后可以抓取回去
基础结构主机（Infrastructure Master）
         功能：负责对跨域对象引用进行更新
         提示：单域情况下基础结构主机不需要工作
                   不能同时和GC配置在一起（单域除外）
         故障影响：外域帐号不能识别，标记为SID
         故障处理：需要比较及时地恢复
                   可以临时抓取到其他DC 
                   在原OM恢复后可以抓取回去
查看操作主机角色
         命令行工具：Ntdsutil Netdom Dcdiag 
操作主机的放置
默认情况：架构主机在根域的第一台DC上
                   域命名主机在根域的第一台DC上
                   其他三个主机角色在各自域的第一台DC上
考虑问题：和GC的冲突
                   性能考虑
手工优化：基础结构主机与GC不放在一起
                   域命名主机与GC放在一起
                   架构主机与域命名主机可放在一起
                   PDC模拟主机建议单独放置
操作主机的转移
转移（Transfer）
         把OM角色平滑地传递给另一台DC
         操作可逆
抓取（Seize）
         把OM角色强制地赋予另一台DC
         操作不可逆
         抓取命令会自动先尝试转移

FSMO五种角色的作用、查找及规划
 
 
 
    这两天将公司的域控制器又一个升级到两个，由此产生了一些小问题，在系统日志中能看到：
需要转移FSMO5个角色中一个。下面是参考文档
FSMO中文翻译成操作主控，在说明FSMO的作用以前，先给大家介绍两个概念: 
　　单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在NT4域的年代，域网络上区分PDC和BDC，所有的复制都是从PDC到BDC上进行的，因为NT4域用的是这种复制机构，所以要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。如果你的网络较小的话，那么这种机构的缺点不能完全的体现，但是如果是一个跨城区的网络，比如你的PDC在上海，而BDC在北京的话，那么你的网络修改就会显得非常的麻烦。
　　多主复制:多主复制是相对于单主复制而言的，它是指所有的域控制器之间进行相互复制，主要是为了弥补单主复制的缺陷，微软从Windows 2000域开始，不再在网络上区分PDC和BDC，所有的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

　　既然Windows 2000域中的域控制器都是等价的，那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布情况，现在开始进入正题，FSMO有五种角色，分成两大类:

　　1、 森林级别(即一个森林只存在一台DC有这个角色):

　　(1)、Schema Master中文翻译成:架构主控

　　(2)、Domain Naming Master中文翻译成:域命名主控

　　2、 域级别(即一个域里面只存一台DC有这个角色):

　　(1)、PDC Emulator 中文翻译成:PDC仿真器

　　(2)、RID Master 中文翻译成:RID主控

　　(3)、Infrastructure Master 中文翻译成:基础架构主控

一、接下来就来说明一下这五种角色空间有什么作用: 
　　1、 Schema Maste

　　用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

　　2、 建议:在占有Schema Maste的域控制器上不需要高性能，因为我们不是经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装Exchnage或LCS之类的软件时会出错。

　　3、 Domain Naming Master

　　这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进行联系，如果Domain Naming Master处于Down机状态的话，你的添加和删除操作那上肯定会失败的。

　　4、 建议:对占有Domain Naming Master的域控制器同样不需要高性能，我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的，否则就没有办法添加删除森里的域了。

　　5、 PDC Emulator

　　在前面已经提过了，Windows 2000域开始，不再区分PDC还是BDC，但实际上有些操作则必须要由PDC来完成，那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要是以下操作:

　　⑴、处理密码验证要求;

　　在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator，然后由PDC Emulator触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路情况。

　　⑵、统一域内的时间;

　　微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。

　　⑶、向域内的NT4 BDC提供复制数据源;

　　对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况，这种情况下要向NT4 BDC复制，就需要PDC Emulator。

　　⑷、统一修改组策略的模板;

　　⑸、对Winodws 2000以前的操作系统，如WIN98之类的计算机提供支持;

　　对于Windows 2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC Emulator就会成为它们的联系对象!

　　建议:从上面的介绍里大家应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。

4、RID Master 
　　在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。

　　建议:对于占有RID Master的域控制器，其实也没有必要一定要求高性能，因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了，当然高可用性是必不可少的，否则就没有办法添加用户了。

　　5、 Infrastructure Master

　　FSMO的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列表，因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

　　建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下，Infrastructure Master根本不起作用，所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。

　　二、在说完FSMO五种角色的作用以后，我们如何知道这五种角色在网络中的分布情况呢?

　　对于新建的网络，这五种角色都集中在森林中的第一台域控制器上，但是如果是别人已经建好的网络，比如我们去接手一些网络的时候，很可能这五种角色已经被转移到其它的域控制器上了。这时我们可以通过三种方法来知道，分别是GUI介面，命令行及脚本:

　　1、 GUI介面:

　　GUI介面下不能一次性获得五种角色的分布，

　　⑴、Schema Maste

　　点击“开始-运行”，输入:“regsvr32 schmmgmt”，回车:

　　然后点击“确定”。

　　再点击“开始-运行”，输入:“MMC”，回车，进入控制台，.


⑵、RID Master、Infrastructure Master、PDC Emulator 
　　点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”

　　在域名上单击右键:

　　在出来的菜单中选择“操作主机”:

　　在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure Master的分布情况。

　　⑶、Domain Naming Master

　　点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:

　　在“Active Directory域和信任关系”上击右键:

　　选择“操作主机”:

　　这就是“Domain Naming Master”所在的域控制器。

　　以上就是用GUI来查看FSMO五种角色的分布情况，用GUI介面不但可以查看，还可以随意的改变这五种角色的分布情况，但缺点是比较麻烦，需要较多的操作项目，如果仅仅是查看就比较的浪费时间。

2、 命令行工具: 
　　首先你要安装Support Tools，在安装光盘中的Support文件夹下的Tools子文件下。默认安装在系统盘的Program Files文件下。安装成功后，点击“开始-程序-Windows Support Tools-Command Prompt”:

　　然后运行“netdom”命令，在这里，运行的是:“netdom query fsmo”:

　　看到了吧，马上把当前域里的FSMO五种角色所在的域控制器罗列了出来。

　　3、 脚本。

　　在这里，我给大家一段脚本:

　　Set objRootDSE = GetObject("LDAP://rootDSE")

　　Dim text

　　' Schema Master

　　Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))

　　strSchemaMaster = objSchema.Get("fSMORoleOwner")

　　Set objNtds = GetObject("LDAP://" & strSchemaMaster)

　　Set objComputer = GetObject(objNtds.Parent)

　　text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf

　　Set objNtds = Nothing

　　Set objComputer = Nothing

　　' Domain Naming Master

　　Set objPartitions = GetObject("LDAP://CN=Partitions," & _

　　objRootDSE.Get("configurationNamingContext"))

　　strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")

　　Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)

　　Set objComputer = GetObject(objNtds.Parent)

　　text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf

　　Set objNtds = Nothing

　　Set objComputer = Nothing

　　' PDC Emulator

　　Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))

　　strPdcEmulator = objDomain.Get("fSMORoleOwner")

　　Set objNtds = GetObject("LDAP://" & strPdcEmulator)

　　Set objComputer = GetObject(objNtds.Parent)

　　text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLf

　　Set objNtds = Nothing

　　Set objComputer = Nothing

　　' RID Master

　　Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _

　　objRootDSE.Get("defaultNamingContext"))

　　strRidMaster = objRidManager.Get("fSMORoleOwner")

　　Set objNtds = GetObject("LDAP://" & strRidMaster)

　　Set objComputer = GetObject(objNtds.Parent)

　　text=text&"Domain's RID Master FSMO: " & objComputer.Name & vbCrLf

　　Set objNtds = Nothing

　　Set objComputer = Nothing

　　' Infrastructure Master

　　Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _

　　objRootDSE.Get("defaultNamingContext"))

　　strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")

　　Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)

　　Set objComputer = GetObject(objNtds.Parent)

　　text=text&"Domain's Infrastructure Master FSMO: " & objComputer.Name & vbCrLf

　　WScript.Echo text

　　大家把以上内容复制到记事本，保存为fsmo.vbs，然后到域里的计算机上运行!

　　三、最后来看一下FSMO的规划，在规划时，请大家按以下原则进行:

　　1、占有Domain Naming Master角色的域控制器必须同时也是GC;

　　2、不能把Infrastructure Master和GC放在同一台DC上;

　　3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;

　　4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;

　　5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;

　　6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;

　　好了，关于FSMO我就先说到这里，请大家多多指正。

 使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器
概要
本文介绍如何使用 Ntdsutil.exe 实用工具转移或捕获 Flexible Single Master Operations (FSMO) 角色。 

更多信息
不适合多主机更新的某些域和企业范围的操作由 Active Directory 域或林中的一台域控制器完成。为执行这些特殊操作而指定的域控制器称为操作主机或 FSMO 角色担任者。

以下列表描述了 Active Directory 林中五种唯一的 FSMO 角色类型，以及这些角色执行的相关操作： 
• 架构主机 (Schema master) － 架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。 
• 域命名主机 (Domain naming master) － 域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。 
• RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。 
• PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。 
• 结构主机 (Infrastructure master) － 结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。 
Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给林根域中的第一台域控制器。每个新子域或树域中的第一台域控制器将获得三个域范围的角色。在使用以下某种方法重新分配 FSMO 角色之前，域控制器将一直担任 FSMO 角色：
• 管理员使用 GUI 管理工具重新分配角色。  
• 管理员使用 ntdsutil /roles 命令重新分配角色。  
• 管理员使用 Active Directory 安装向导正常降级担任某个角色的域控制器。该向导将任何本地担任的角色重新分配给林中的现有域控制器。使用 dcpromo /forceremoval 命令执行降级会使 FSMO 角色处于无效状态，直到管理员重新分配为止。 
我们建议您在以下情况下转移 FSMO 角色：
• 当前角色担任者可以运行，并且新的 FSMO 所有者可以通过网络访问它。  
• 您正在正常降级一台域控制器，它目前担任着您要分配给 Active Directory 林中某个特定域控制器的 FSMO 角色。 
• 由于要进行定期维护，您需要使目前担任 FSMO 角色的域控制器脱机，并且您需要将特定的 FSMO 角色分配给一台“活动的”域控制器。这可能是执行连接到 FSMO 所有者执行操作所必需的。对于 PDC 模拟器角色来说，尤其如此，但对于 RID 主机角色、域命名主机角色和架构主机角色来说，则不尽然。  
我们建议您在遇到以下情况时捕获 FSMO 角色：
• 当前角色担任者遇到一个操作错误，导致 FSMO 相关操作无法成功完成，并且无法转移该角色。  
• 使用 dcpromo /forceremoval 命令强制降级担任 FSMO 角色的域控制器。  
• 原来担任某个特定角色的计算机上的操作系统不再存在或者已被重新安装。 
在进行复制时，域或林中的非 FSMO 域控制器可完全了解担任 FSMO 角色的域控制器所做的更改。如果必须转移角色，则最佳的候选域控制器应该是以下域中的域控制器：该域最后一次或最近从现有角色担任者入站复制了“FSMO 分区”的可写副本。例如，架构主机角色担任者具有可分辨名称路径 CN=schema,CN=configuration,dc=<林根域>，这意味着角色位于 CN=schema 分区中并且作为该分区的一部分被复制。如果担任架构主机角色的域控制器遇到硬件或软件故障，则较合适的候选角色担任者应当是根域中的域控制器，并且与当前所有者位于同一 Active Directory 站点中。同一 Active Directory 站点中的域控制器每隔 5 分钟或 15 秒执行一次入站复制。 

每个 FSMO 角色的分区如列表所示：

FSMO 角色 分区 
架构 CN=Schema,CN=configuration,DC=<林根域> 
域命名主机 CN=configuration,DC=<林根域> 
PDC DC=<域> 
RID DC=<域> 
结构 DC=<域> 


应禁止其 FSMO 角色已被捕获的域控制器与林中的现有域控制器通信。在这个情况下，您应格式化这类域控制器上的硬盘并重新安装操作系统，或者强制降级专用网络上的这类域控制器，然后使用 ntdsutil /metadata cleanup 命令删除它们在林中剩余域控制器上的元数据。将其角色已被捕获的前任 FSMO 角色担任者引入林中的风险在于，原来的角色担任者可能会像以前那样继续运行，直到它通过入站复制了解到角色捕获信息。两个域控制器担任相同 FSMO 角色的已知风险在于，这样会创建具有重叠 RID 池的安全主体，同时还会引发其他问题。 

转移 FSMO 角色
要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作： 
1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 
2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。 
3. 键入 roles，然后按 Enter。 

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按 Enter。 
4. 键入 connections，然后按 Enter。 
5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其 FSMO 角色的域控制器的名称。 
6. 在“server connections”提示符处，键入 q，然后按 Enter。 
7. 键入 transfer role，其中 role 是要转移的角色。要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。例如，要转移 RID 主机角色，键入 transfer rid master。PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。 
8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。键入 q，然后按 Enter，退出 Ntdsutil 实用工具。 

捕获 FSMO 角色
要使用 Ntdsutil 实用工具捕获 FSMO 角色，请按照下列步骤操作： 
1. 登录到基于 Windows 2000 Server 或 Windows Server 2003 的成员计算机，或者登录到捕获 FSMO 角色时所在林中的域控制器。我们建议您登录要赋予其 FSMO 角色的域控制器。登录的用户应当是企业管理员组的成员（以便转移架构主机角色或域命名主机角色），或登录到转移 PDC 模拟器角色、RID 主机角色和结构主机角色时所在域中的域管理员组成员。  
2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。 
3. 键入 roles，然后按 Enter。  
4. 键入 connections，然后按 Enter。 
5. 键入 connect to server servername，然后按 Enter，其中 servername 是要为其分配 FSMO 角色的域控制器的名称。 
6. 在“server connections”提示符处，键入 q，然后按 Enter。 
7. 键入 seize role，其中 role 是您要捕获的角色。要查看可捕获角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。例如，要捕获 RID 主机角色，可键入 seize rid master。PDC 模拟器角色的捕获是一个例外，它的语法是 seize pdc 而非 seize pdc emulator。  
8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

注意：
• 通常情况下，必须将这五个角色全部分配给林中“活动的”域控制器。如果担任 FSMO 角色的域控制器在其角色转移之前被停止服务，则您必须捕获所有角色并将之分配给一个合适的、状态良好的域控制器。我们建议您只有在其他域控制器没有返回到域时才捕获所有角色。如有可能，请修复分配了 FSMO 角色的停止工作的 域控制器。应确定日后会将各种角色赋予哪些其余的域控制器，以便将五个角色全部分配给一台域控制器。 有关 FSMO 角色放置的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 
223346 (http://support.microsoft.com/kb/223346/) 在 Active Directory 域控制器上放置和优化 FSMO  
• 如果原来拥有任何 FSMO 角色的域控制器已不在域中，并且您已经按照本文所述的步骤捕获了它的角色，请按照以下 Microsoft 知识库文章中概括的步骤将其从 Active Directory 中删除：
216498 (http://support.microsoft.com/kb/216498/) 域控制器降级失败后如何删除 Active Directory 中的数据  
• 使用 Windows 2000 或 Windows Server 2003 内部版本 3790 的 ntdsutil /metadata cleanup 命令删除域控制器元数据时，不会重定位已分配给活动域控制器的 FSMO 角色。Windows Server 2003 Service Pack 1 (SP1) 的 Ntdsutil 实用工具会自动完成此任务，删除域控制器元数据的其他元素。 
• 由于备份后 FSMO 角色可能曾被重新分配过，有些客户不愿恢复 FSMO 角色担任者的系统状态备份。 
• 不要将结构主机角色放置在同时也是全局编录服务器的域控制器上。如果结构主机在全局编录服务器上运行，它将会停止更新对象信息，因为它不包含对它不保存的对象的任何引用。而全局编录服务器持有林中每个对象的部分副本。 

要测试域控制器是否也是全局编录服务器，请按照下列步骤操作： 
1. 单击“开始”，指向“程序”，指向“管理工具”，然后单击“Active Directory 站点和服务”。 
2. 双击左侧窗格中的“站点”，然后找到合适的站点，如果没有其他站点可用，则单击“Default-first-site-name”。 
3. 打开“服务器”文件夹，然后单击域控制器。 
4. 在域控制器的文件夹中，双击“NTDS 设置”。 
5. 在“操作”菜单上，单击“属性”。 
6. 在“常规”选项卡上，查看“全局编录”复选框是否选中。

    目前，Windows sever 2008的激活方法主要有三种：1。自动激活。毫无疑问这是最正规的，当属首选。2。电话激活。也在微软允许范围之内，无非就是费点事。3。替换激活。替换文件虽可激活，但个别之处因有“Vista”痕迹终觉不爽。下面，提供几个源于国外网站的最新“自动激活”和“电话激活”CD-KEY，供有兴趣的网友使用——

1。自动激活CD-KEY

V8Q62-M4QBV-MTR8F-PCJH9-47FXW

BVFRH-VQ3KY-34XV8-DCR7P-MHGPV

(企业版和标准版通用VOL序列号)

W62DT-PMMYR-GDPQB-8V7TG-B422H

(WEB版序列号)

2。电话激活CD-KEY

GXTY4-JQBV8-2MT9C-KJX9V-YVKFM

(企业版和标准版通用VOL序列号)

重要提示：

     1。自从Windows sever 2008发布以来，每个CD-KEY都有“自动激活”和“电话激活”最高激活次数限制。微软激活机制为：激活一个用户，就记录一个相关信息，逐步累加直至达到“高限”，CD-KEY随之失效完成使命。以上这些CD-KEY有一定的流传面，不清楚(也不可能清楚)目前激活次数到底达到了多少？

     2。但是可以肯定，目前至少可以通过电话方式予以激活。鉴于在Windows sever 2008发布的第一时间，我就用CD-KEY实现自动激活，因此不可能再对这些CD-KEY目前是“自动激活”还是“电话激活”逐一进行测试，万望大家见谅。大家如欲安装Windows sever 2008，望从速使用以上CD-KEY，并祝好运、成功！

     3。成功激活后，注意将以下两个激活文件备份好：  
      \Windows\System32\licensing\pkeyconfig\pkeyconfig.xrm-ms
       \Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareLicensing\tokens.dat
     以后再重装Windows sever 2008时，先别联网，替换相应文件后，重启计算机，输入相应的CD-KEY就OK了。

        ——大家如果发现有更新的“自动激活”和“电话激活”CD-KEY，请提供大家分享。