Tombstone生存时间是由tombstoneLifetime属性值所决定的,如果我们希望修改这个默认值,可以按照以下步骤来完成:
1. 打开adsiedit.msc
2. 在控制台下双击Configuration [DomainControllerName],
CN=Configuration,DC=[ForestRootDomain], CN=Services, and CN=Windows NT
3. 右键单击 CN=Directory Service, 然后选择属性。
4. 在”Attribute” 列中,单击tombstoneLifetime。最小为2天。
注意如果该值没有设置,则默认生效的期限分为以下2种:
如果是在Windows Server 2003 SP1上,默认是180天
如果是在Windows Server 2000或者Windows Server 2003,默认是60天。
即使是在现有域控制器工作都正常的情况下,我们也不建议通过修改默认Tombstone生存时间来重新将一台过了Tombstone时间的域控制器连接到现有的域中。您可以通过修改以下注册表键值来使现有域控制器能够与超时的域控制器进行正常复制:
请在所有的域控制器上执行以下步骤:
a. Click Start, click Run, type regedit, and then click OK.
b. Navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
c. In the details pane, create or edit the registry entry "Allow
Replication With Divergent and Corrupt Partner" as follows:
如果注册表键值已经存在,请修改为下面的值:
a. In the details pane, right-click Allow Replication With Divergent and
Corrupt Partner, and then click Modify.
b. In the Value data box, type 1, and then click OK.
如果注册表键值不存在,请自行创建并修改为下列值:
a. Right-click Parameters, click New, and then click DWORD Value.
b. Type the name Allow Replication With Divergent and Corrupt Partner, and
then press ENTER.
c. Double-click the entry. In the Value data box, type 1, and then click OK.
当域控制器之间的复制成功以后,请务必将该值修改回到0。
posted @
2009-03-30 13:33 joyclear 阅读(643) |
评论 (0) |
编辑 收藏今天在设置ISA时,又发现以前疏忽的一个地方。
起因在测试访问内部Exchange OWA,客户端是采用web代理。发现无法访问。
但是明明已经在ISA网络设置中将内部的地址排除了,不通过ISA访问。
在ISA监控中检查,访问owa记录直接到默认最后一条阻止策略了。
通过在ISA策略中建立一条内部访问内部网站的策略,客户端可以正常访问OWA,但是我明明记得ISA是可以通过排除来实现这个功能的,不需要通过添加额外策略。
再仔细看了下ISA网络中的排除选项卡,终于发现了问题所在, “这些设置应用于客户端是采用自动配置脚本的模式”,当前客户的环境已经开启了自动发现,不过我这台测试机器上是配置手动代理的,更改为自动发现,问题解决。
posted @
2009-03-24 21:42 joyclear 阅读(525) |
评论 (0) |
编辑 收藏 看MCSE 70-293题库中,有道题目提到NLB服务器远程连接不能用,ICMP关闭,该如何来监控检查服务器的状态。
NLGMGR
/hostlist <file> 加载在<file>中指定的主机
/autorefresh [interval] 每个多少秒钟自动刷新
/noping 不使用ICMP ping
posted @
2009-03-23 19:00 joyclear 阅读(271) |
评论 (0) |
编辑 收藏 在ISA中URL集和域名集概念总是很混搅,
先来看看在ISA帮助文档中对于二者的定义:
URL集
当 ISA 服务器检查为规则配置的 URL 集时,问号 (?) 后面的文本将被忽略。URL 集中带问号 (?) 的 URL 将被忽略。 ISA 服务器不支持使用国际域名 (IDN) URL。 (国际化域名IDNs (Internationalized Domain Names)也称多语种域名,是指非英语国家为推广本国语言的域名系统的一个总称,例如含有日文的为日文域名,含有中文的域名为中文域名) 如果未正确配置域名系统 (DNS),则可能无法按预期应用使用 URL 集的规则。 URL 集仅适用于 HTTP 通讯。 (HTTP,HTTPS或HTTP上的FTP) 在详细信息窗格中单击“应用”后,策略将更新。新策略仅适用于新连接。
URL的格式
<protocol>://<host>:<port>/<path>
在host部分可以用通配符*来指定计算机集 *.microsoft.com
在path部分可以指定一个通配符*作为路径的一部分,但只能是在结尾处指定
www.microsoft.com/* 可接受
www.microsoft.com/*/sales 不可接受
不能将URL集指定为IP地址
在将请求与包含URL集的规则匹配时:
- 匹配是仅考虑请求中的主机名称和路径
- URL的协议部分将从请求中去除并忽略
- 指定的任何端口将从请求中去除并被忽略
- 对于HTTP和HTTP上的FTP,当请求中指定的URL不带路径时,它将匹配任何路径。 http://a.com或a.com 等同于http://a.com/*
- 对于HTTPS流量,仅当URL没有指定路径时才会处理URL集。例如http://a.com
对于 URL 集条目:
ftp://a.com:25/apath
针对 http://a.com 的请求将得到匹配,针对 http://a.com:55 的请求也会得到匹配,因为协议和端口被去除了。
•
对于 URL 集条目:
http://a.com
针对 http://a.com/abc 的请求将得到匹配,针对 http://a.com/abc/def 的请求也会得到匹配。换句话说,http://a.com 等价于 http://a.com/* 。例外情况是 HTTPS 请求,它们不会被处理,因为指定了路径。(这条描述我在ISA 2006中测试, URL 设定为 http://*.google.com/* , Https的请求https://mail.google.com也能访问,是否是版本问题不确定。)
•
对于 URL 集条目:
http://a.com/a
针对 http://a.com/a 的请求将得到匹配。但是针对 http://a.com/a/b 的请求不会得到匹配。在这样的条目中,请求与跟在“a”后面的树不匹配。
•
对于 URL 集条目:
http://www.a.com/apath?next=news
问号及其后面的所有内容从请求中去除了,因此如果在拒绝规则中指定该 URL 集,并且有一个针对 http://www.a.com/apath?next=news 的请求到达,该请求将被截断为 http://www.a.com/apath,并得到允许,因为它与拒绝规则中指定的 URL 集不匹配。为了阻止这样的请求,应该在 URL 集中指定 http://www.a.com/apath。
•
对于 URL 集条目:
“a.com”,HTTPS 请求将得到匹配,因为没有指定路径。
•
对于 URL 集条目:
“b.com/”,HTTPS 请求将不会得到匹配,因为指定了路径(“/”)。
域名集
- 指定域名时,可以使用星号 (*) 指定一组计算机。例如,要指定 microsoft.com 域中的所有计算机,请键入 *.microsoft.com 作为域名。请注意,星号只能出现在域名的开头,并且只能在名称中指定一个星号。
- 指定域名时,可以使用完全限定的域名 (FQDN) 指定计算机名称。例如,键入 computer_name.microsoft.com,而不是 //computer_name。
- 在创建具有通配符的域(比如:*.microsoft.com)时,这仅包括该域的主计算机,例如 www.microsoft.com、ftp.microsoft.com。注意,如果域名指向某个主机,*.microsoft.com 将不会影响 URL http://Microsoft.com。
- 如果未正确配置 DNS,则可能无法按预期应用使用 URL 集的规则。
- 在详细信息窗格中单击“应用”后,策略将更新。新策略仅适用于新连接。
由此看来URL设定的可管理性更强,但是URL只能针对HTTP通讯,而域名集可以针对所有通讯.
参考:
ISA Help
http://www.microsoft.com/china/technet/prodtechnol/isa/2004/plan/faq-urldomainnamesets.mspx
posted @
2009-03-23 18:58 joyclear 阅读(2621) |
评论 (0) |
编辑 收藏客户需要访问HTTPS 8888的通讯,在ISA中的HTTPS协议中,无法添加除443以外的其他端口.
google上搜索到以下的脚本,保存为.vbs格式,可以添加自定义端口
set isa=CreateObject("FPC.Root")
set tprange=isa.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set tmp=tprange.AddRange("SSL 8888", 8888, 8888)
tprange.Save
执行脚本后,需要重新启动ISA服务.
客户可以正常访问HTTPS 8888的通讯,不过在HTTPS协议中,仍然是只能看到443端口,刚才添加的8888无法看到。
可以在网上下载isa_tpr.js脚本或者ISAtrpe工具,通过这些工具可以查看相应的SSL端口。
参考:
http://www.isaserver.org/articles/2004tunnelportrange.html
http://www.isatools.org/
posted @
2009-03-21 23:31 joyclear 阅读(2275) |
评论 (0) |
编辑 收藏
ISA2006自动发布设置后,在DNS里面添加WPAD cname记录,发现客户端web无法自动发现isa代理.
nslookup 中查询wpad记录也显示失败。
查阅windows 2008文档后发现,在2008 DNS中添加了一个新的功能 Global Query Block List区域,将WPAD(Web Proxy Automatic Discovery Protocol),ISATAP(Intra-site Tunnel Addressing Protocol)加入了阻止查询区域。
使用命令 dnscmd /config /GlobalQueryBlockList ISATAP将 WPAD记录移除
使用命令 dnscmd /info /GlobalQueryBlockList 检查现在列表记录
通过Nslookup能正常查询wpad记录。
这个设定要在每台windows 2008DNS服务器上执行。
查阅Global Query Block List白皮书,找了些资料。
1.WPAD的查询顺序,客户端浏览程序首先查询DHCP配置,如果失败,再查询DNS记录。
The browser locates this server by querying a DHCP server for the uniform resource locator (URL) of the network's WPAD server. If this query is unsuccessful, the browser attempts to locate the WPAD server by using standard DNS name-resolution queries.2. 因为恶意的用户可以通过注册名字为WPAD的DNS记录来实现发布网路中的伪装代理服务器,所以windows 2008提供了GQBL功能。
3. Global Query Block List 可以针对所有的记录,A, Cname,MX, SRV,但是不针对区域,例如我们创建 wpad.contoso.com的区域,它不会对这个区域组织。
4.dnscmd的一些相关命令
|
Command
|
Description
|
|
dnscmd /info /enableglobalqueryblocklist
|
Displays whether the global query block list is enabled. If the block list is enabled, this command returns the value 1. If the block list is not enabled, this command returns the value 0.
|
|
dnscmd /info /globalqueryblocklist
|
Displays the host names in the current block list, if any.
|
|
dnscmd /config /enableglobalqueryblocklist [0 | 1]
|
Enables or disables the block list. If you want the DNS Server service to ignore queries for the names in the block list, you set the value of this command to 1. If you want to disable the block list, you set the value of this command to 0. With a value of 0, the DNS Server service does not ignore queries for names in the block list.
|
|
dnscmd /config /globalqueryblocklist
|
Removes all names from the block list.
|
|
dnscmd /config /globalqueryblocklist name [name]…
|
Replaces the current block list with a list of the names that you specify. By default, the global query block list contains the following names:
· isatap
· wpad
The DNS Server service can remove either or both of these names when the DNS Server service starts the first time. For more information, see Installation Scenarios for the DNS server role.
|
5.GlobalQueryBlockList相关注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\EnableGlobaQueryBlockList
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList
posted @
2009-03-18 16:48 joyclear 阅读(2126) |
评论 (0) |
编辑 收藏 OCS std 2007安装完成后,视频会议不能共享PPT,检查服务器,发现不知什么原因,IIS里面的默认网站没有了(可能是安装OCS web访问后造成),准备重新卸载ocs web组件服务,结果在删除的时候提示报错
事件类型: 错误
事件来源: MsiInstaller
事件种类: 无
事件 ID: 10005
日期: 2009-3-13
事件: 12:12:50
用户: CHANGFA\administrator
计算机: CF-OCS-01
描述:
产品: Microsoft Office Communications Server 2007 Web 组件服务器 -- 错误 29028。 绑定到 IIS 元数据库路径 IIS://localhost/W3SVC/1 时出现错误 0x80070003 (系统找不到指定的路径。)。确保该网站存在。
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
根据微软KB 961943
在IIS中新建一个默认网站站点
在C:\windows\system32\inetsrv\metabase.xml文件中,
检索“默认网站站点”, 查找 Location=/LM/W3SVC/indentity
复制indentity
在cmd命令下,路径 C:\inetpub\adminscripts
执行cscript adsutil.vbs move w3svc/ identity w3svc/ 1
卸载ocs web组件成功
IIS卸载/重新安装,ocs web组件重新安装,问题解决,ocs客户端视频会议能正常共享PPT,白板。
posted @
2009-03-16 11:15 joyclear 阅读(795) |
评论 (1) |
编辑 收藏Dell 2950 安装windows 2008 x64 ent, 在服务器上安装virtual pc 2007后,远程登录经常提示"数据加密错误", 连接中断。
卸载vitual pc 后,又能正常连接。
在网上搜索到资料后,发现通过更改网卡的设定后,可以实现windows 2008 + virtual pc的共存。
To resolve it open the Broadcom Advanced Control Suite and disable IPv4 Large Send Offload and your problem will be solved.
不知道是不是又是Dell硬件的bug.
http://social.technet.microsoft.com/forums/en-US/winserverhyperv/thread/9a6a45a9-76c2-4067-8fd0-73b5254681d5/
posted @
2009-03-12 15:20 joyclear 阅读(1615) |
评论 (0) |
编辑 收藏
根据您的描述,我理解为您想在Word中输入国际音标。如果我的理解有误,请告诉我。
>
>
> 我想向您解释,要能在Word中输入国际音标,我们需要在系统上安装相应的国际音标字体。由于Word程序没有自带的国际音标字体,我们需要下载安装三方提供的字体。请您参考以下建议:
>
> 1、潘悟云教授开发的IpaPanADD字体
>
> 2、国际音标标准化组织研制的SILDoulos IPA93字体
>
> 以上字体都可以在以下网站下载:
>
>
http://www.eastling.org/resource.htm。
>
> 3、当安装了金山词霸后,在系统的Fonts目录下便会有Ksphonet.ttf(KingSoft
> phonetic)这样一个文件,这就是金山公司开发的国际音标字体,该字库仅有24KB。如果您安装了金山词霸,请您参考以下步骤:
>
> 我以Word 2003为例,打开Word 文件后,选择菜单栏中的“插入→符号”选项,弹出“符号”对话框,单击“符号”标签,从字体下拉列表框中选择“KingSoft phonetic”字体,选择需要插入的音标符号,按[插
> 入]按钮就可以了。您也可以按[快捷键]按钮为要插入的符号设置快捷键,以便以后用键盘快速输入。
>
> 如果机器上没有安装金山词霸,我们也可以通过移动存储设备来复制并安装Ksphonet.ttf文件到系统的Fonts目录下。
>
> 希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。
>
> 感谢您选择微软产品并使用微软合作伙伴在线技术支持!
>
> 杜樑
> 在线合作伙伴支持工程师
> 合作伙伴支持部
> 微软全球技术支持中心
posted @
2008-12-09 12:22 joyclear 阅读(910) |
评论 (0) |
编辑 收藏Isinteg.exe (Information Store Integrity)
信息存储完整性检查程序 (Isinteg.exe) 在应用程序级别查找并消除公用文件夹数据库和邮箱数据库中的错误。Isinteg 并非作为日常信息存储维护的一部分使用;提供该工具是为了帮助进行灾难恢复。由于 Isinteg 工具在逻辑架构级别工作,所以它能够恢复 Exchange Server 数据库实用程序 (Eseutil.exe) 无法恢复的数据。这是因为在物理架构级别对 Eseutil 工具有效的数据在逻辑架构级别的语义可能是无效的。
Isinteg 通常在运行 Eseutil 修复操作后使用。Isinteg 工具执行以下两项主要任务:
- 从脱机备份还原后修补信息存储。
- 测试信息存储中的错误,并有选择地进行修复。
Isinteg 可以在应用程序级别修复信息以及邮箱、文件夹、邮件和附件之间的关系。
Common mistake... which i use to see on most of the customer environment who use to run hard repair... may be this could be causing...
When we run hard repair major 3 steps procedure
eseutil /p
eseutil /d
isinteg -fix
Once we do eseutil /p run eseutil /mh and confirm your database status should be clean shutdown..
Then run eseutil /d and then run eseutil /mh and confirm the status...
Now it's a time to mount the database (where the major mistake happen)
Client use to forget that then need only keep the .edb and stm and rest of the files like log files, chk, temp etc need to moved out because those log file have old signature and our database will new signature.
Second think before you mount the database make sure you check the option "this database can be overwritten with the previous version"
Then dismount the database and run isinteg -fix
posted @
2008-12-08 14:41 joyclear 阅读(771) |
评论 (0) |
编辑 收藏