最近论坛有个帖子问到,搭建AD会在DNS中创建哪些SRV记录?
一般来说AD在下列文件夹下创建其 SRV 记录:
_msdcs/dc/_sites/default-first-site-name/_tcp _msdcs/dc/_tcp 在上述位置处,显示的是下列服务的 SRV 记录:
_kerberos _ldap 二、使用EFS的条件:
1、EFS(加密文件系统)是依赖用NTFS文件系统来工作的。也就是说要想使用EFS功能我们的分区必须是NTFS类型。其实,EFS也是NTFS文件系统安全性的一个实例体现。
2、大家都知道NTFS的两大特点:加密和压缩。我要强调的一点是NTFS加密和压缩功能不能同时使用,我们只能取二者其一。(正所谓鱼和熊掌不可兼得)
三、EFS原理及说明:
1、如果一个用户对文件或文件夹进行了加密,那么只有这个用户可以访问这个文件夹,我们目前还没有办法可以使第二个普通用户来访问这个已加密的数据。
2、对数据进行加密的用户可以像平时一样使用已被加密数据(如打开、修改等操作),而其它没有访问权限的用户是不对访问这个被加密数据的。也就是说,EFS对于加密数据的用户来说是透明的。
3、对于已加密的数据进行移动或传输时,在移动或传输过程中数据是被解密的,待移动到相应的位置后再次被加密。如果加密数据被移动到了非NTFS分区,数据会被自动解密。
4、EFS同时使用了私钥和公钥的加密方案。在加密数据时,EFS会根据其算法随机地生成一个EFS密钥。这个密钥会用来加密当前数据,并在用户需要时用于解密数据。当EFS密钥一旦用于加密了某个数据,那么这个密钥本生也将被加密保存在这个公钥里。要想解密这个公钥就必须拥有用户私钥,这样,我们就只有访问私钥来得到EFS的加密密钥。基于这个原理,用户必须拥有私钥的访问权才能获得对加密数据的访问权。
5、为了保障EFS的正常工作,它被内置了一个恢复方案。在用户丢失了私钥时,密码恢复代理用户可以给已加密的数据解密。这样就极大的保障了加密数据的安全性。
四、怎样加密一个文件或文件夹?
1、在须要加密的文件或文件夹上单击鼠标右键选择“属性”
2、在打开的快捷菜单上找到“常规”选项卡中单击“高级”
3、在“高级属性”对话框中选中“加密内容以便保护数据”单击“确定”便完成的对数据的加密(如图1所示)
图1
五、如何解密一个已加密的数据?
根据对数据加密的方法,取消“加密内容以便保护数据”前面的钩即可。
六、恢复代理是什么?
由于意外原因用户一旦丢失自己的私钥就会行失去对加密数据的访问权,这里我们就需要使用Windows内置的恢复代理功能。简单地说,恢复代理就是可以不提供加密用户的私钥或EFS公钥就可以对加密数据进行解密。
七、恢复代理添加要求:
1、要获得恢复代理仅限就必须拥有一个恢复代理证书。
2、你必须拥有Administrator权限,并且还要知道恢复代理证书存储的位置。
3、如果是域环境,你可以向Domain Admin获取恢复代理证书的存储位置。
4、我们只需导出证书的.cer文件就可以对证书进行的备份,这里我们就创建好了一个恢复代理。
八、证书备份过程
1、单击“开始”菜单,选择“运行”。输入“MMC /A”后回车,打开“控制台”
2、单击“文件”菜单,选择“添加/删除管理单元”,在弹出的窗口中选择“添加”按钮
3、在弹出的“添加独立管理单元”窗口中选择“证书”并单击“添加”按钮(如图2所示)
图2
4、这里会弹出一个“证书管理单元”窗口(如图3),我们选择适合使用的类型后单击“完成”便做好了添加
图3
5、这里我们只需要在控制台中单击右键根据向导导出所需要备份的恢复代理证书即可。
总结:在此我们详诉了EFS的功能和工作原理,希望能帮助大家更好的了解和使用EFS。
概述
在过去的几年,TCP/IP 协议已经为很少的一部分人使用。由于因特网的广泛使用,让TCP/IP能够成为一个普遍的协议让每个用户都能够使用。TCP/IP协议数十年的经历使其成为,可靠,成熟的协议。TCP/IP协议出现的问题多数时间与计算机的主机和网络配置有关。 在这篇文章里,我将带你浏览一些TCP/IP协议的排错过程。
检查配置
在排错的过程中首先是检查TCP/IP协议配置,这样做最快速的方法就是在命令行中输入ipconfig /all ,这里Windows将给我们返回结果。在这里,我们可以看到详细的网络配置,如有几个网上等等。值得说明的是,Windows有可能把网络防火墙端口当作网络转接器的可能,因此你必须仔细看给实际存在连接网络的接口边界的构造。
如果返回的配置是空的, 接口没被分配IP 地址。 IP 地址可能被手工,或者通过一台DHCP服务器分配。 如果你的组织使用一台DHCP服务器分配IP 地址,请输入以下命令来获得IP:
ipcomfig /release
ipconfig /renew
如果机器仍然不能获得IP 地址,有可能是如下情况引起的:
1、DHCP服务器不能发布它的地址池
2、网络接口或网络电缆有问题
这时,你得保证DHCP服务器的正常运行,并能为其它机器提供IP。也可以找其它的机器测试网络接口和电缆的问题,并一一排除。
3、还有个问题是网卡没有被正确安装或没通过Windows识别。多数情况下,Windows会自动识别并为它安装驱动程序,但错误的识别也不是不可能的。而相反,被错误识别的可能性很大。如果你在这个方面遇到问题,你可以打开机箱,判定网卡可以被Windows识别,并为它安装正确的驱动程序。
通讯失败
如果你的网卡和IP地址配置没有问题,但还是不能和网络通讯,这里你就得用一点特殊的办法。你首先得考虑IP地址的来源,你得查看IP地址是手工添加还是从一台DHCP服务器租赁?
1、如果IP来自一台DHCP服务器,这就可以排除很多问题的诱因。如果机器可以租到IP地址,说明网卡的网线是好的。计算机从DHCP服务器租一个地址,租约对具体的时期有效。机器过去已经成功租赁地址,但是租约还没有终止, 然后它以为机器已经获得一张租约,实际上机器正拉住它一个以前的会议期间获得的IP 地址,显然这个地址是不能和网络通讯的。这时我们只需用ipconfig /release释放IP,然后用ipconfig /renew来获得一个新的IP就可以排除故障了。
2、如果网卡手工分配一个IP地址,这时就需要做一些基本的连接测试。最好的办法就是找一个好的PC连进行测试,以保证网络可用。确认网卡驱动是正确加载的。
3、你得做一些基本的硬件测试,打开命令行并且测试算机拥有IP 地址的pinging。如果连接测试程序是成功的, 则表明这个TCP/IP协议堆至少起作用。如果你得到错误消息,则表明机器建立的方式出毛病了。这有可能是网卡或者其它驱动程序造成的,也可能是系统文件丢失造成的。我们可以从这方面下手来解决问题。
总结
在这篇文章里,我已经解释配置问题可能防止TCP/IP协议正确地起作用。 我然后接着讨论TCP/IP协议排错过程。旨在帮助管理员快速完成TCP/IP协议的排错工作,由于写作时间仓促,如有错误请来信指正。
最近评论