Win2000Archived Posts from this Category

    经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时我所提到的：系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着；同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。

　　所以，安全配置服务器并不是安全工作的结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助您长期维护服务器的安全。

　　本文中所说的入侵检测指的是利用Win2000 Server自身的功能及系统管理员自己编写的软件/脚本进行的检测，使用防火墙（Firewall）或入侵监测系统（IDS）的技巧并不在本文的讨论范围之内。

　　现在假定：我们有一台Win2000 Server的服务器，并且经过了初步的安全配置（关于安全配置的详情可以参阅Win2000 Server安全配置入门<一>），在这种情况下，大部分的入侵者将被拒之门外。（哈哈，我管理员可以回家睡大觉去了）慢着，我说的是大部分，不是全部，经过初步安全配置的服务器虽然可以防御绝大多数的Script kid（脚本族-只会用别人写的程序入侵服务器的人），遇到了真正的高手，还是不堪一击的。虽然说真正的高手不会随便进入别人的服务器，但是也难保有几个品行不端的邪派高手看上了你的服务器。（我真的这么衰么？）而且，在漏洞的发现与补丁的发布之间往往有一段时间的真空，任何知道漏洞资料的人都可以乘虚而入，这时，入侵检测技术就显得非常的重要。

　　入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面：

　　1、 基于80端口入侵的检测

　　WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分（恨不得关了80端口），不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。（具体怎么配我不管你，不过你要是不详细记录，回头查不到入侵者的IP可不要哭）

　　现在我们再假设（怎么老是假设呀，烦不烦？）别急呀，我不能为了写这篇文章真的去黑掉一台主机，所以只好假设了，我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间（Time）、客户端IP（Client IP）、方法（Method）、URI资源(URI Stem)、URI查询(URI Query)，协议状态（Protocol Status)，我们用最近比较流行的Unicode漏洞来进行分析：打开IE的窗口，在地址栏输入：127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默认的情况下你可以看到目录列表（什么？你已经做过安全配置了，看不到？恢复默认安装，我们要做个实验），让我们来看看IIS的日志都记录了些什么，打开Ex010318.log（Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期）：07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58（就是北京时间23:42:58），有一个家伙（入侵者）从127.0.0.1的IP在你的机器上利用Unicode漏洞（%c1%1c被解码为”\”，实际的情况会因为Windows语言版本的不同而有略微的差别）运行了cmd.exe，参数是/c dir，运行结果成功（HTTP 200代表正确返回）。(哇，记录得可真够全的，以后不敢随便乱玩Unicode了)

　　大多数情况下，IIS的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击，这个我们以后再讨论），所以，一个优秀的系统管理员应该擅长利用这点来发现入侵的企图，从而保护自己的系统。但是，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言编写一个日志分析软件（其实就是文本过滤器）都非常简单，不过考虑到一些实际情况（比如管理员不会写程序，或者服务器上一时找不到日志分析软件），我可以告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global.asa文件，可以使用以下的CMD命令：find “Global.asa” ex010318.log /i这个命令使用的是NT自带的find.exe工具（所以不怕紧急情况找不着），可以轻松的从文本文件中找到你想过滤的字符串，”Global.asa”是需要查询的字符串，ex010318.log是待过滤的文本文件，/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文档，所以关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去查看Win2000的帮助文件。

　　无论是基于日志分析软件或者是Find命令，你都可以建立一张敏感字符串列表，包含已有的IIS漏洞（比如”+.htr”）以及未来将要出现的漏洞可能会调用的资源（比如Global.asa或者cmd.exe），通过过滤这张不断更新的字符串表，一定可以尽早了解入侵者的行动。

　　需要提醒的是，使用任何日志分析软件都会占用一定的系统资源，因此，对于IIS日志分析这样低优先级的任务，放在夜里空闲时自动执行会比较合适，如果再写一段脚本把过滤后的可疑文本发送给系统管理员，那就更加完美了。同时，如果敏感字符串表较大，过滤策略复杂，我建议还是用C写一个专用程序会比较合算。

　2、 基于安全日志的检测

　　通过基于IIS日志的入侵监测，我们能提前知道窥伺者的行踪（如果你处理失当，窥伺者随时会变成入侵者），但是IIS日志不是万能的，它在某种情况下甚至不能记录来自80端口的入侵，根据我对IIS日志系统的分析，IIS只有在一个请求完成后才会写入日志，换言之，如果一个请求中途失败，日志文件中是不会有它的踪影的（这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断），对于入侵者来说，就有可能绕过日志系统完成大量的活动。

　　而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

　　Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录事件与账户管理是我们最关心的事件，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。

　　设置了安全日志却不去检查跟没有设置安全日志几乎一样糟糕（唯一的优点是被黑了以后可以追查入侵者），所以，制定一个安全日志的检查机制也是非常重要的，作为安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动（速度快呀，要不你入侵到一半的时候连不上了，那可是哭都哭不出来）上午上班第一件事正好看看日志有没有异常，然后就可以放心去做其他的事了。如果你喜欢，也可以编写脚本每天把安全日志作为邮件发送给你（别太相信这个了，要是哪个高手上去改了你的脚本，每天发送”平安无事”……）

　　除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹（如果他拿到了Admin权限，那么他一定会去清除痕迹的），在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

　　3、文件访问日志与关键文件保护

　　除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对他们的访问。

　　文件访问有很多的选项：访问、修改、执行、新建、属性更改……一般来说，关注访问和修改就能起到很大的监视作用。

　　例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问（例如cmd.exe, net.exe，system32目录），那么，入侵者就很难安放后门而不引起我们的注意，要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作（哪个系统管理员有耐心每天看四、五千条垃圾日志？）

　　关键文件不仅仅指的是系统文件，还包括有可能对系统管理员/其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能用来窃取系统管理员资料/密码的。

　4、 进程监控

　　进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的（也有以其他形式存在的木马，参见《揭开木马的神秘面纱三》），作为系统管理员，了解服务器上运行的每个进程是职责之一（否则不要说安全，连系统优化都没有办法做），做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，DLL也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。

　　5、 注册表校验

　　一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值（比如Run、Runonce等等），查找起来是相对容易的，但是对于可以自己编写/改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。（注册表藏身千变万化，例如需要特别提出来的FakeGina技术，这种利用WINNT外嵌登录DLL（Ginadll）来获得用户密码的方法最近比较流行，一旦中招，登录用户的密码就会被记录无遗，具体的预防方法我这里就不介绍了。）应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

　　6、端口监控

　　虽然说不使用端口的木马已经出现，但是大部分的后门和木马还是使用TCP连接的，监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了，我们这里不谈使用NDIS网卡高级编程的IDS系统，对于系统管理员来说，了解自己服务器上开放的端口甚至比对进程的监控更加重要，常常使用netstat查看服务器的端口状况是一个良好的习惯，但是并不能24小时这样做，而且NT的安全日志有一个坏习惯，喜欢记录机器名而不是IP（不知道比尔盖子怎么想的），如果你既没有防火墙又没有入侵检测软件，倒是可以用脚本来进行IP日志记录的，看着这个命令：

netstat -n -p tcp 10>>Netstat.log,这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log 

　　这个脚本将会自动记录时间和TCP连接状态，需要注意的是：如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将越来越大，所以请慎之又慎。（要是做个脚本就完美无缺，谁去买防火墙？:）

　　一旦发现异常的端口，可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能，它可以发现服务器监听的端口并找出与该端口关联的文件，这样无论是使用TCP还是UDP的木马都无处藏身。

    7、终端服务的日志监控

　　单独将终端服务（Terminal Service）的日志监控分列出来是有原因的，微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议（RDP）的工具，它的速度非常快，也很稳定，可以成为一个很好的远程管理软件，但是因为这个软件功能强大而且只受到密码的保护，所以也非常的危险，一旦入侵者拥有了管理员密码，就能够象本机一样操作远程服务器（不需要高深的NT命令行技巧，不需要编写特殊的脚本和程序，只要会用鼠标就能进行一切系统管理操作，实在是太方便、也实在是太可怕了）。虽然很多人都在使用终端服务来进行远程管理，但是，并不是人人都知道如何对终端服务进行审核，大多数的终端服务器上并没有打开终端登录的日志，其实打开日志审核是很容易的，在管理工具中打开远程控制服务配置（Terminal Service Configration），点击”连接”，右击你想配置的RDP服务（比如 RDP-TCP(Microsoft RDP 5.0)，选中书签”权限”，点击左下角的”高级”，看见上面那个”审核”了么？我们来加入一个Everyone组，这代表所有的用户，然后审核他的”连接”、”断开”、”注销”的成功和”登录”的成功和失败就足够了，审核太多了反而不好，这个审核是记录在安全日志中的，可以从”管理工具”->”日志查看器”中查看。现在什么人什么时候登录我都一清二楚了，可是美中不足的是：这个破烂玩艺居然不记录客户端的IP（只能查看在线用户的IP），而是华而不实的记录什么机器名，倒！要是别人起个PIG的机器名你只好受他的嘲弄了，不知道微软是怎么想的，看来还是不能完全依赖微软呀，我们自己来吧？写个程序，一切搞定，你会C么？不会？VB呢？也不会？Delphi？……什么？你什么编程语言都不会？我倒，毕竟系统管理员不是程序员呀，别急别急，我给你想办法，我们来建立一个bat文件，叫做TSLog.bat，这个文件用来记录登录者的IP，内容如下：

time /t >>TSLog.log
netstat -n -p tcp | find “:3389″>>TSLog.log
start Explorer 

　　我来解释一下这个文件的含义：

　　第一行是记录用户登录的时间，time /t的意思是直接返回系统时间（如果不加/t，系统会等待你输入新的时间），然后我们用追加符号”>>”把这个时间记入TSLog.log作为日志的时间字段；

　　第二行是记录用户的IP地址，netstat是用来显示当前网络连接状况的命令，-n表示显示IP和端口而不是域名、协议，-ptcp是只显示tcp协议，然后我们用管道符号”|”把这个命令的结果输出给find命令，从输出结果中查找包含”:3389″的行（这就是我们要的客户的IP所在的行，如果你更改了终端服务的端口，这个数值也要作相应的更改），最后我们同样把这个结果重定向到日志文件TSLog.log中去，于是在SLog.log文件中，记录格式如下：

22:40
TCP　　192.168.12.28:3389　　192.168.10.123:4903　　　ESTABLISHED
22:54
TCP　　192.168.12.28:3389　　 192.168.12.29:1039　　　ESTABLISHED 

　　也就是说只要这个TSLog.bat文件一运行，所有连在3389端口上的IP都会被记录，那么如何让这个批处理文件自动运行呢？我们知道，终端服务允许我们为用户自定义起始的程序，在终端服务配置中，我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本（相当于shell环境）是Explorer（资源管理器），所以我在TSLog.bat的最后一行加上了启动Explorer的命令startExplorer，如果不加这一行命令，用户是没有办法进入桌面的！当然，如果你只需要给用户特定的Shell：

　　例如cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法，作为系统管理员，你完全可以自由发挥你的想象力、自由利用自己的资源，例如写一个脚本把每个登录用户的IP发送到自己的信箱对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限，所以他不会知道你对登录进行了IP审核，只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了，不过需要注意的是这只是一个简单的终端服务日志策略，并没有太多的安全保障措施和权限机制，如果服务器有更高的安全要求，那还是需要通过编程或购买入侵监测软件来完成的。

　　8、陷阱技术

　　早期的陷阱技术只是一个伪装的端口服务用来监测扫描，随着矛和盾的不断升级，现在的陷阱服务或者陷阱主机已经越来越完善，越来越象真正的服务，不仅能截获半开式扫描，还能伪装服务的回应并记录入侵者的行为，从而帮助判断入侵者的身份。

　　我本人对于陷阱技术并不是非常感兴趣，一来从技术人员角度来说，低调行事更符合安全的原则；二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在小说中，在现实生活中也屡见不鲜，如果架设了陷阱反而被用来入侵，那真是偷鸡不成了。

　　记得CoolFire说过一句话，可以用来作为对陷阱技术介绍的一个结束：在不了解情况时，不要随便进入别人的系统，因为你永远不能事先知道系统管理员是真的白痴或者伪装成白痴的天才……

　　入侵监测的初步介绍就到这里，在实际运用中，系统管理员对基础知识掌握的情况直接关系到他的安全敏感度，只有身经百战而又知识丰富、仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子，未雨绸缪，扼杀入侵的行动。

    RAID（Redundant Array of Inexpensive Disks）意思是廉价磁盘冗余阵列，它是一种容错方法，通过将大量磁盘在逻辑上串联起来提供高水平的可用性和冗余度。众所周知，硬件RAID解决方案是有效的方法，但其成本却非常高…… Windows NT/2000提供了内嵌的软件RAID，实现了RAID0、RAID1、RAID5。由于可以节省可观的资金，因而众多中小企业大多可以采用软件的方法来实现。

　　NT Server支持RAID1(磁盘镜像)和RAID5（带校验的Stripe set），NT也支持RAID0（不带校验的Stripe set），这种方式不提供数据冗余，但提供了性能的增益。NT Workstation 不支持容错的RAID（RAID1、RAID5），但支持RAID0。

　　1、在NT上管理RAID5

　　创建RAID5 stripe set with parity的目的是为了考虑磁盘在失败时不丢失数据，创建步骤如下：

　　运行”Disk Administrator”(Start→Programs →Administrative tools→Disk Administrator)；

　　在三个不同的物理磁盘上，至少选择三个自由空间区域；

　　从Fault Tolerance选单中选择Create Stripe Set with Parity；

　　输入希望的大小，然后单击OK。

　　【注意】当”Stripe set with parity”的一个成员失败时，用户得不到任何警告，系统继续运行。作为指示，当用户运行”Disk Administrator”时，将产生一个系统事件日志，在事件日志中记录分区所在的位置空间。可以执行以下步骤重新创建Stripe set：

　　替换容错磁盘并启动NT；

　　运行Disk Administrator；

　　选择需要的Stripe set，然后选择新物理磁盘上未分区的一个空间区域；

　　从Fault Tolerance选单中选择Regenerate。

　　通过以上步骤就可以重新创建一个损坏的Stripe set。

　　要想删除一个Stripe组，执行如下步骤（注意，这将丢失Stripe组上所有的数据信息）：

　　运行Disk Administrator；

　　选择希望删除的Stripe组；

　　从Partition下拉选单中选择Delete?

　　确认该删除操作。

　　2、在NT上管理RAID1

　　要创建一个镜像分区（RAID1），首先要创建一个主分区，然后可以创建其镜像分区。

　　运行”Disk Administrator”；

　　单击构成主分区的现有分区，并按下Ctrl键；

　　单击磁盘空间的未分区区域（必须选择一个未分区的空间区域，而不选现有的分区）；

　　从”Fault Tolerance”选单中选择”Establish Mirror”；

　　从Partition选单中选择”Commit Changes Now”，复制开始；

完成后需要重新引导机器。 如果有一个镜像分区被损坏，可以采用以下步骤进行修复：

　　首先须保证有一个未分区的空间，大小至少和主分区相同；

　　运行”Disk Administrator”；

　　单击执行分区的工作区，按下Ctrl键，然后选择未分区的空间；

　　从Fault Tolerance选单中选择”Establish Mirror”。

　　这样，就将损坏的Morror组进行了修复。

　　如果丢失了容错集的成分（例如：硬件失败引起的丢失），将显示一条消息”A disk that is part of a fault-tolerant volume can no longer be accessed”（磁盘容错卷部分不再可以访问），这个驱动器仍然是可用的，但镜像被挂起，因为没有副盘可用。这时，应该先将Mirror组断开，然后进行修理。断开的步骤如下：

　　运行Disk Administrator；

　　当显示一条消息说明磁盘丢失时，单击Mirror；

　　从Fault Tolerance 选单中选择Break Mirror；

　　确认该操作。

　　3、在Windows 2000中管理RAID5

　　Windows 2000引进了动态磁盘机制，RAID卷集中的所有成员都必须在一个动态磁盘上。因此，要在2000上安装RAID，必须首先将一个磁盘转换为动态的，执行以下步骤，将一个基本磁盘转换为动态磁盘：
启动”Computer Manager MMC snap_in”(Start →Programs→Administrative Tools→Computer Manager)；
选择Expand Storage→Disk Management；

　　右击磁盘，选择Upgrade to Dynamic Disk；

　　选择要升级的磁盘，单击OK；

　　当显示概要时，单击Upgrade。

　　【注意】转换一个基本磁盘到动态磁盘不需要重新启动，但磁盘上的任何卷在转换后将弹出一段信息说明可以使用这些卷之前需要重新启动，笔者个人通过实验后认为没有必要，可以直到标识完所有的卷，并且弹出所有对话框后，再执行一次重新引导就可以了。

　　假设在三个分开的磁盘中需要有用来创建RAID5组的磁盘空间，执行以下步骤来创建RAID5组：

　　运行”Computer Management MMC”(Start→Programs→Administrative Tools→Computer Manager)；

　　将Storage分支展开，选择Disk Manage- ment；

　　在Unallocated Space(未分配磁盘空间)区域上单击鼠标右键，从弹出的选单中选择Create Volume；

　　在Volume Creation Wizard中单击Next；

　　选择弹出窗口中的”RAID5 VOLUME”项，单击Next；

　　在屏幕右侧，选择希望使用的磁盘（至少3个），单击Add；

　　选择每个磁盘要使用的空间大小，每个磁盘上使用的空间必须是相同的，所以可以使用的最大空间就是这些磁盘中具有最少空间的盘上的自由空间数；

　　当选择了磁盘空间大小以后，单击Next；

　　【注意】如果从每个磁盘上选择的磁盘空间为1000MB，那么总共只有2000MB，第三个磁盘的空间用于保存校验信息。

　　选择要使用的驱动器标识符，单击Next；

　　选择要使用的文件系统和标记（也可以选择是否使用文件和文件夹压缩），单击Next；

　　当Summary屏幕出现时，单击Finish；

　　现在磁盘区域应显示为RAID5,并且处于Regenerating mode。

　　【注意】使用时可能看到来自Logical Manager的一条消息：”The operating did not complete because the partition/volume is not enabled． Please reboot the computer to enable the partition/volume”由于partition/volume没有激活，所以操作没有完成，重新引导机器激活partition/volume?。对于这条消息，单击OK，不要重新引导机器，等到重建完成，并且卷显示工作正常后再重新引导。否则，必须在重新引导以后执行重新格式化。

　　另外，如果RAID5组的一部分硬件被损坏，那么这个卷将丢失所有数据，要想修复，必须替换坏盘以重新启用RAID5的容错功能，替换坏盘以后，执行以下步骤的操作：运行Computer Management MMC；

将Storage分支展开，选择Disk Management(注意，这时去除的磁盘仍显示为missing)；

　　右击RAID5卷的一个成员，然后从弹出选单中选择Repair Volume；

　　从列表中选择一个要使用的盘作为替换盘，然后单击OK。系统中可以作为该组成员但已不是该组成员（动态的或具有足够未分区空间）的盘会显示为DISK1、DISK2等；

　　RAID 5组作为 regenerating显示。

　　现在，又具有容错能力了，RAID5分组已经从”Missing”盘中去除。单击鼠标右键选中missing text ，然后从弹出选单中选择Remove Disk。

　　在实际工作中，可能要进行RAID5组的删除操作，这将导致其上所包含的所有数据信息的丢失，因此，在RAID 5组删除以前一定要先执行数据备份操作。执行以下步骤删除RAID5组：

　　运行Computer Management MMC；

　　将Storage分支展开，选择Disk Manage- ment；

　　右击RAID5卷的一个成员，然后从弹出选单中选择Delete Volume；

　　单击Yes确认。

　　现在，RAID5卷使用的所有空间都将作为Unpartitioned显示。

　　4、在Windows 2000中管理RAID1

　　同RAID5组一样，RAID1卷集的所有成员都必须位于动态磁盘上。创建RAID1步骤如下：

　　运行”Computer Management MMC”；

　　将Storage分支展开，选择”Disk Management”；

　　右击希望执行镜像的分区，然后从弹出选单中选择”Add Mirror”；

　　选择镜像的主盘，然后单击”Add Mirror”；

　　如果要镜像引导分区，则出现一个对话框，其中列出了激活镜像引导需要执行的修改细节，单击OK。

　　Mirror组将显示为regenerating。

　　要删除镜像，会导致数据丢失，因此应保留两个单独的卷作为数据备份。删除RAID1的步骤如下：

　　运行”Computer Management MMC”；

　　将Storage分支展开，选择Disk Management；

　　右击要删除的镜像卷，然后从弹出选单中选择Break Mirror；

　　单击Yes确认；

　　单击警告对话框中的Yes。

　　【注意】在保留两个卷时，可能希望删除以前保留的不需要的镜像，保留新的数据卷，在第3步中的弹出选单中，有一个Delete Mirror选项，单击该选项可以删除构成镜像的两个卷，但卷上的数据将全部丢失。

　　5、已安装了RAID的电脑能重新安装NT吗？

　　Windows NT在注册表的键：HKEY-LOCAL-MACHINE＼SYSTEM＼ DISK REGISTRY中保存了有关”卷/镜像/stripe set”的信息，如果重新安装NT，将丢失这些信息，而不再将这些卷识别为容错sets。要想避免出现这个问题，在重装NT前执行如下操作：

　　运行”Disk Administrator”；

　　从Partition选单中选择Configuration→save；

　　插入格式化的空白软盘，单击OK；

　　单击Success消息上的OK。

　　这样将在软盘上创建一个单独的文件System。保存这张软盘，将其标记上系统的名字以及创建的日期。重新安装NT后，首先运行”Disk Administrator”，从Partition选单中选择Configuration→Restore。插入所创建的软盘，那么原先的卷/RAID组将恢复，同时恢复驱动器标识符的分配。如果只是简单地在机器上增加安装另一个NT系统，并希望保留前一个版本的设置，则可以从Partition选单中选择Configuration→Search，它会查找NT的其他版本，然后给出覆盖其配置的选择。

    1、忘记Win2000管理员密码的解决办法

　　忘记Windows 2000密码该怎么办呢？不要急，我们可以用下面这两个办法来解决！大家知道，Windows 2000的密码存放在系统所在的Winnt＼System32＼Config下SAM文件中，SAM文件即帐号密码数据库文件。当我们登录系统的时候，系统会自动地和Config中的SAM自动校对，如发现此次密码和用户名全与SAM文件中的加密数据符合时，你就会顺利登录。如果错误则无法登录。知道了系统登录的原理之后，就可以着重想办法让SAM文件失效。让它失效有两种办法——改名或者删除。

　　具体方法是：在系统启动前，插入启动盘，进入C:＼WINNT＼System3＼Config＼，用ren命令将SAM文件改名，或用del命令将SAM文件删除，重启电脑即可。改名或删除SAM文件以后，试着用Administrator登录，密码为空！成功了！接下来到C:＼WINNT＼System32＼Config＼文件夹下看看，又多了一个名为SAM的文件，这是系统在你登录的时候自建的，目的就是为了记录你的密码，以便于以后登录时的密码校对。

　　但是，这两种方法只对Windows系统所在的盘为FAT情况下有效，不支持NTFS。所以，如果你的Win2000用的是NTFS格式，则不能使用上面的方法。此时，你可以使用NTFSDOS这个小工具。它是个可以从DOS下写NTFS分区的工具。用该软件制作一个DOS启动盘，然后用该软盘启动系统，然后到C:＼Winnt＼System32下将屏幕保护程序logon.scr改名，接着拷贝command.com到C:＼Winnt＼System32下(2000可以用cmd.exe)，这样启动机器后等待15分钟，本应该出现的屏幕保护现在变成了命令行模式，而且是具有Administrator权限的，通过它就可以修改密码或者添加新的管理员帐号了。

　　当然了，你也可以把winnt＼system32＼config＼SAM文件抓下来，接着用l0phtcrack这个黑客工具软件破解该密码，很快就可以得到你需要的东西了。

    2、在DOS下更改启动菜单选项

　　大家知道，我们可以在Windows2000的“启动和故障恢复”中调整启动菜单选项，除此以为，还可以在DOS下进行此项工作。用任意文本编辑器打开C盘根目录下的boot.ini文件，编辑前需要首先取消它的隐藏和系统属性，在DOS下用attrib -a -s -h boot.ini命令即可。该文件的内容结构如下(“//”后边的文字是我加的注释)：

　　[boot loader]

　　timeout=30 //显示操作系统菜单的时间，单位为秒)

　　default=C:＼//指定Windows2000操作系统文件所在硬盘分区)

　　[operating systems]

　　//以下指定多重启动菜单将要显示的操作系统，其中排在第一行的就是默认的操作系统)

　　multi(0)dis(0)rdisk(0)partition(1)＼WINNT=”Microsoft Windows 2000 Profwssional”/fastdetect

　　C:＼=”Microsoft Windows”

　　你可以根据需要进行修改调整，然后存盘重启即可。如果系统不能进入Windows 2000，可以用此方法修复系统，非常实用。不过要提醒大家注意的是，用这种方法调整和修改多重系统启动菜单很容易出错，导致多重引导失败，因此不到迫不得已不要轻易采用！

　　3、巧用注册表收藏夹

　　Windows2000的注册表编辑器Regedit为用户准备了一个收藏菜单，利用它可以将经常访问的主键放到收藏菜单中，这对于那些经常需要修改注册表某个键值的朋友非常方便。使用方法非常简单，只要先找到并定位这个主键下的任意一个值，然后选择收藏菜单中的“添加到收藏夹”，就会弹出一对话框，提示输入主键放在收藏夹里的名字，取系统默认的主键名字或者方便记忆的名字即可。然后单击确定，这个主键就放到收藏菜单里了！你可以用这种方法把经常要访问的主键统统放到收藏夹里，以后用起来就方便多了。

　　4、关闭光驱自动运行功能

　　大家知道，光驱具有AutoRun功能，插入的光盘可以自动播放。但是某些时候我们并不需要该功能，那么该怎样禁止该功能呢？在Windows 9x/Me下只需打开“控制面板→系统→设备管理器→CDROM”，选择“CDROM”下你的光驱，选光驱属性中的“设置”标签，将“选项”中“自动插入通告”前面的“√”去掉就可以了。但Windows 2000与Windows 9x/Me不同，在“设备管理器”中打开DVD/CDROM属性后，并不能找到“自动插入通告”选项。其实，通过修改注册表就能取消光驱的自动运行，打开“注册表编辑器”，找到HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼Cdrom下，把Autorun的键值从默认1更改为0即可。

　　5、禁止死网关监测技术

　　如果在Win2000中你设置了多个网关，那么你的机器在处理多个连接有困难时就会自动改用备份网关，有时候这并不是一项好主意，建议禁止死网关监测。这一步可以在注册表中来实现。运行注册表编辑器，展开注册表到HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services:＼Tcpip＼Parameters下，在右边窗口中双击DWORD值EnableDeadGWDetect，在弹出窗口中将其键值改为0即可(系统默认值为1)。

 

    现在新买的品牌机大多预装了Windows XP，也许你还怀念以前的Windows 2000，或者由于一些需要，你必需安装Windows XP和Windows 2000的双系统。虽然一台电脑上可以安 装多个操作系统，不过别人一般都会告诉你，你要从低版本的开始安装，也就是说，如果你要安装Windows XP和Windows 2000的双系统，你必须先装2000，然后再安装Windows XP。如果你不想这样做，那么看看本文吧，教给你一个好方法，让你可以直接安装。

　　你首先要做一些准备工作：

　　第一就是Windows 2000的安装光盘。还需要有至少两个硬盘分区，安装双系统的时候，很不建议你把两个系统安装到同一个分区中，这样可能会对以后的使用造成很多麻烦。如果以上的工作你全部做好了，那么就继续我们的安装吧。

　　假设你的Windows XP安装在C盘，你想安装Windows 2000到D盘，那么只要用Windows 2000的光盘启动系统，直接运行安装程序并安装到D盘就可以，只不过这样安装后双启动菜单会失效，只能进入Windows 2000。原因是这样的：

　　在Windows NT系统的启动中，用到了很多重要的系统文件，而在安装了XP的机器上再装2000的时候会把XP的NTLDR和NTDETECT.COM两个文件替换为Windows 2000中版本较低的同名文件，而Windows 2000中的这两个文件是不能引导Windows XP的。因此我们的修复也就是用Windows XP中的文件替换被Windows 2000覆盖的该文件。

　　这两个文件都保存在C盘的根目录下，不过他们有默认的隐含、系统和只读属性，因此你不能用一般的方法替换，而首先要解除他们的隐含、系统和只读属性。方法是这样的：

　　进入到Windows 2000中，在运行中分别输入

　　attrib c:\ntldr ?s ?r ?h
　　attrib c:\ ntdetect.com ?s ?r ?h

　　每行输入完成后按下回车键。这时你已经完全的解除了这两个文件的系统、隐含和只读属性。现在从Windows XP的安装光盘的I386文件夹中复制这两个同名的文件出来到C盘根目录，并覆盖原文件。这时你的双启动菜单就已经恢复了。不过安全起见我们可以把那两个文件隐藏起来，方法是，在运行中分别输入：

　　attrib c:\ntldr +s +r +h
　　attrib c:\ ntdetect.com +s +r +h

　　这样会重新赋予那两个文件系统、隐含和只读属性。

　　重启动一下看看吧，你的双启动菜单已经完全正常了。

    进程在每个系统中实现的方法是不一样的，在 win 98 中，系统提供 TOOLHELP32 API 接口，在 win NT 中，系统提供 PSAPI 函数， 2000而 win 2000 既支持 TOOLHELP 又支持 PSAPI，NT 系统还提供了 NATIVE API （NtQuerySystemInformation），这个函数功能十分强大，几乎可以查询所有的系统信息，调用此函数必须有SE_TCB_NAME特权。下面给出函数原型：
NTSTATUS
WINAPI
NtQuerySystemInformation（
int SystemInfoClass
PVOID SystemInfoBuffer,
ULONG SystemInfoBufferSize,
PULONG BytesReturned
）；

　　当 SystemInfoClass 等于5时便可获取进程信息了。

　　关于 NT 系统下的特权（Privilege）及其描述见下表：

Privilege Constant Description
SE_ASSIGNPRIMARYTOKEN_NAME Required to assign the primary token of a process.
SE_AUDIT_NAME Required to generate audit-log entries. Give this privilege to secure servers.
SE_BACKUP_NAME Required to perform backup operations.
SE_CHANGE_NOTIFY_NAME Required to receive notifications of changes to files or directories. This privilege also causes the system to skip all traversal access checks. It is enabled by default for all users.
SE_CREATE_PAGEFILE_NAME Required to create a paging file.
SE_CREATE_PERMANENT_NAME Required to create a permanent object.
SE_CREATE_TOKEN_NAME Required to create a primary token.
SE_DEBUG_NAME Required to debug a process.
SE_INC_BASE_PRIORITY_NAME Required to increase the base priority of a process.
SE_INCREASE_QUOTA_NAME Required to increase the quota assigned to a process.
SE_LOAD_DRIVER_NAME Required to load or unload a device driver.
SE_LOCK_MEMORY_NAME Required to lock physical pages in memory.
SE_PROF_SINGLE_PROCESS_NAME Required to gather profiling information for a single process.
SE_REMOTE_SHUTDOWN_NAME Required to shut down a system using a network request.
SE_RESTORE_NAME Required to perform restore operations. This privilege enables you to set any valid user or group SID as the owner of an object.
SE_SECURITY_NAME Required to perform a number of security-related functions, such as controlling and viewing audit messages. This privilege identifies its holder as a security operator.
SE_SHUTDOWN_NAME Required to shut down a local system.
SE_SYSTEM_ENVIRONMENT_NAME Required to modify the nonvolatile RAM of systems that use this type of memory to store configuration information.
SE_SYSTEM_PROFILE_NAME Required to gather profiling information for the entire system.
SE_SYSTEMTIME_NAME Required to modify the system time.
SE_TAKE_OWNERSHIP_NAME Required to take ownership of an object without being granted discretionary access. This privilege allows the owner value to be set only to those values that the holder may legitimately assign as the owner of an object.
SE_TCB_NAME This privilege identifies its holder as part of the trusted computer base. Some trusted protected subsystems are granted this privilege. This privilege is required to call the LogonUser function.
SE_UNSOLICITED_INPUT_NAME Required to read unsolicited input from a terminal device.
SE_MACHINE_ACCOUNT_NAME Required to create a machine account.

    关于定义可见下表，或察看 WINNT.H：

SE_CREATE_TOKEN_NAME SeCreateTokenPrivilege
SE_ASSIGNPRIMARYTOKEN_NAME SeAssignPrimaryTokenPrivilege
SE_LOCK_MEMORY_NAME SeLockMemoryPrivilege
SE_INCREASE_QUOTA_NAME SeIncreaseQuotaPrivilege
SE_UNSOLICITED_INPUT_NAME SeUnsolicitedInputPrivilege
SE_MACHINE_ACCOUNT_NAME SeMachineAccountPrivilege
SE_TCB_NAME SeTcbPrivilege
SE_SECURITY_NAME SeSecurityPrivilege
SE_TAKE_OWNERSHIP_NAME SeTakeOwnershipPrivilege
SE_LOAD_DRIVER_NAME SeLoadDriverPrivilege
SE_SYSTEM_PROFILE_NAME SeSystemProfilePrivilege
SE_SYSTEMTIME_NAME SeSystemtimePrivilege
SE_PROF_SINGLE_PROCESS_NAME SeProfileSingleProcessPrivilege
SE_INC_BASE_PRIORITY_NAME SeIncreaseBasePriorityPrivilege
SE_CREATE_PAGEFILE_NAME SeCreatePagefilePrivilege
SE_CREATE_PERMANENT_NAME SeCreatePermanentPrivilege
SE_BACKUP_NAME SeBackupPrivilege
SE_RESTORE_NAME SeRestorePrivilege
SE_SHUTDOWN_NAME SeShutdownPrivilege
SE_DEBUG_NAME SeDebugPrivilege
SE_AUDIT_NAME SeAuditPrivilege
SE_SYSTEM_ENVIRONMENT_NAME SeSystemEnvironmentPrivilege
SE_CHANGE_NOTIFY_NAME SeChangeNotifyPrivilege
SE_REMOTE_SHUTDOWN_NAME SeRemoteShutdownPrivilege

    ADMINISTRATOR 被默认授于以下这16个权限：

SeChangeNotifyPrivilege
SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeSystemtimePrivilege
SeShutdownPrivilege
SeRemoteShutdownPrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeSystemProfilePrivilege
SeProfileSingleProcessPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege
SeCreatePagefilePrivilege
SeIncreaseQuotaPrivilege

    可以用 OpenProcessToken 和 AdjustTokenPrivileges 这两个函数来提升进程的特权。

　　讲了那么多，现在回到主题上来。到底使用哪个方法比较好呢？在 win 2000 下有3个方法可供选择，我比较喜欢简单的方法。NtQuerySystemInformation 功能固然强大，但使用比较麻烦。而 win 2000 的 TOOLHELP32 API 其本质还是调用了 NtQuerySystemInformation 函数，由于它发生错误时，可能不能正确返回返回值，所以不是很稳定，使用起来也是很麻烦的，不符合我的懒人本性。还是采用 PSAPI 比较好，简单又方便，只需要三个函数，且没有复杂的结构体参数。

　　函数原型：

BOOL
WINAPI
EnumProcesses（
DWORD * lpidProcess,//指针指向存放进程ID的数组
DWORD cb, //数组大小
DWORD * cbNeeded //返回的实际大小
）；

BOOL
WINAPI
EnumProcessModules（
HANDLE hProcess, //进程句柄
HMODULE *lphModule, //指针指向存放模块句柄的数组
DWORD cb, //数组大小
LPDWORD lpcbNeeded //返回的实际大小
）；

DWORD
WINAPI
GetModuleFileNameEx（
HANDLE hProcess, //进程句柄
HMODULE hModule, //模块句柄
LPSTR lpFilename, //存放模块文件名的字符串
DWORD nSize //字符串大小
）；

　他们的作用分别是：枚举进程，枚举进程模块，获取模块文件名（包含路径）。详细的源代码如下：

// EnumProcess.cpp : Defines the entry point for the console application.
// Code By : tabris17

#include “stdafx.h”
#include “Psapi.h”

#pragma comment （lib,”Psapi.lib”）

void PrintFileName（DWORD processID）
{
char fn[MAX_PATH]；
HANDLE hProcess=OpenProcess（PROCESS_QUERY_INFORMATION|PROCESS_VM_READ,FALSE,processID）；
if （hProcess）
{
HMODULE hMod[1024]；
DWORD cbNeeded,size；
unsigned int i；
if （EnumProcessModules（hProcess,hMod,sizeof（hMod）,&cbNeeded））
{
size=cbNeeded/sizeof（HMODULE）；
GetModuleFileNameEx（hProcess,hMod[0],fn,sizeof（fn））；
printf（”\n（%u）\t%s\n”,processID,fn）；
for（i=1；i＜size；i++）
{
GetModuleFileNameEx（hProcess,hMod[i],fn,sizeof（fn））；
printf（”\t%s\n”,fn）；
}
}
}
CloseHandle（hProcess）；
}

int plist（）
{
DWORD Processesid[1024], cbNeeded,size；
unsigned int i；
if （!EnumProcesses（Processesid,sizeof（Processesid）,&cbNeeded））
return 0；

size=cbNeeded/sizeof（DWORD）；

for （i=0；i＜size；i++）
PrintFileName（Processesid[i]）；
return 0；
}

int main（int argc, char* argv[]）
{
plist（）；
return 0；
}

    事实上，Windows 2000的引导过程是从安装时候就已经开始的。

　　那我们首先从Windows 2000的安装说起。

　　当Windows 2000 setup运行时，它向硬盘上写入MBR（主引导记录），同时在这个磁盘驱动器的第一个可引导 分区（就是我们在fdisk后激活的分区）写入引导扇区，引导扇区的内容根据不同的文件系统格式而变化（FAT或者是NTFS）。如果你的机器上曾装有MS操作系统并建立了引导扇区的话，Windows 2000 setup将检测它要覆盖的引导扇区是否有效，如果有效的话，Windows 2000 setup安装程序将把引导扇区的内容复制到这个分区的根目录中的文件bootsect.dos中。Setup程序在写完引导扇区后，将把Windows 2000所用的文件拷贝到硬盘，包括两个引导文件Ntldr和Ntdetect.com。另外，setup还会在引导分区的根目录中建立引导菜单文件boot.ini。

　　例：

　　[boot loader]
　　timeout=3
　　default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
　　[operating systems]
　　multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft Windows “
　　multi(0)disk(0)rdisk(0)partition(2)\WINDOWS=”Windows Server 　　2000″ /fastdetect

　　这是我的机器上的boot.ini文件，该内容显示装了两个操作系统，Win98和Win2000，后面的那个参数/fastdetect最常见，是安装系统时默认的，它的作用是使ntdetect忽略秉性和串行设备的枚举。Boot.ini文件中的相关参数还有很多，各有不同的功能，因为与本文没太大关系，所以不作具体介绍，有兴趣的朋友可以到网上找找有关资料。

　　Windows 2000的启动：

　　当你按下机器上的power键，计算机就开始启动了，首先是上电自检，通过后bios引导计算机去读取硬盘上的MBR，根据MBR中的信息，找到引导分区，将引导分区内的引导扇区的代码读入内存并把控制权交给该代码。引导扇区代码的作用是向Windows 2000提供磁盘驱动器（硬盘）的结构和格式信息并且从磁盘根目录中读取Ntldr文件，在引导扇区代码将Ntldr加载到内存后，它把控制权交给Ntldr的入口点。如果引导扇区代码在根目录中没有找到Ntldr文件的话，若文件系统为FAT格式，则显示：“Boot：无法找到Ntldr”，若引导文件系统是NTFS格式，则显示：“NTLDR丢失”。然后，Ntldr使用内建的文件系统代码从根目录读取boot.ini文件（Ntldr内建代码与引导扇区文件系统代码不同的是，Ntldr文件系统代码可以读取子目录）。此时，Ntldr清除屏幕，如果boot.ini中存在不止一种引导选项，则显示引导选择菜单，如果在boot.ini制定的超时范围内未有任何动作的话，Ntldr会选择默认的选项。引导选项确定后，Ntldr加载和执行Ntdetect.com（这是一个使用系统bios进行查询计算机基本设备和设置信息的16位实模式程序）。然后，Ntldr开始清除屏幕并显示：“Starting Windows……”进度栏。这个进度栏保持空白，直到Ntldr开始加载引导驱动程序（假如有100个引导驱动程序，则每加载一个文件，进度条增加1%）。在进度条的下面是信息：“For troubleshooting and advanced startup options for windows 2000 , press F8 .”如果此时按下F8键，会出现高级启动菜单，包括：已知的最近正确模式（last known good），安全模式（safe mode），调试模式（debug mode）等等等等。

　　此后，Ntldr加载合适的内核和HAL映像文件（缺省为Ntoskrnl.exe和HAL.dll），读入SYSTEM注册表hive文件（hive文件是一种包含注册表子树的文件）以确定该加载哪些引导驱动程序，加载引导驱动程序，为Ntoskrnl.exe的执行准备CPU寄存器。之后，Ntldr调用Ntoskrnl.exe并由它开始初始化执行程序子系统并引导系统-启动（system-start）设备驱动程序，在一系列的初始化工作完成后Ntoskrnl.exe为系统本机应用程序作准备并运行smss.exe。

　　Smss的主要任务是：初始化注册表，创建系统环境变量，加载Win32子系统（Win32k.sys）的内核模式部分，启动子系统进程Crss，启动登陆进程Winlogon。然后，Winlogon开始执行其启动步骤，如创建初始的窗口和桌面对象等等。然后它创建服务控制管理器（SCM）进程（Winnt\System32\Services.exe），它加载所有的标记为自动启动（auto-start）的服务程序和设备驱动程序和本机安全验证子系统（Lsass）进程（Winnt\system32\Lsass.exe）。当一切加载成功且用户在控制台成功登陆后，SCM则认为系统引导成功，注册表中 已知最近正确配置（HKLM\SYSTEM\select\LastKnownGood）由\CurrentControlSet替代。反之，如果用户在引导的时候选择高级菜单中的已知最近正确模式（LastKnownGood）或者加载时驱动程序返回一个严重的或者关键的错误，系统会以LastKnownGood的值作为CurrentControlSet 的值。

　　之后，我们便看到了熟悉的桌面。至此，Windows 2000的引导过程结束。

    一、终端服务概述

　　如果现在有人告诉你，Windows 2000在他32M内存的老爷机上一样跑得很欢的话，你信吗？但这的确是事实！只因为它使用了 Windows 2000 Advanced Server 的终端服务，不换硬件，就能将你的Win95升级到Win2K。

　　终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。它架设了一座从旧式桌面迁移到 Windows 2000 Professional 的桥梁，为非计算机桌面以及需要进行硬件升级才能在本地完全运行 Windows 2000 操作系统的计算机提供了一种虚拟的 Windows 2000 桌面环境；还可以使你从网络上的任何地方虚拟地管理你的服务器。 　　怎么实现？很简单！你首先得要有至少两台已连成局域网的机器，其中一台（配置越高越好）应装有 Windows 2000 Advanced Server ，至于另一台嘛，呵呵，Win95/98/ME/NT…随你便了。

    二、终端服务的安装

　　1.准备工作

　　需要 Windows 2000 Advanced Server 的安装光盘及两张空白的软盘。

　　2.服务器端的安装

　　⑴添加终端服务组件：选“控制面板→添加/删除程序→添加/删除Windows组件”，把“终端服务”和“终端服务授权”两项均选中，再选“确定”则开始安装所选组件，对于所有的提示，均选其默认选项即可。 　　⑵安装成功后，按提示重新启动后，则可在“开始→程序→管理工具”中看到相关组件，包括“终端服务授权”、“终端服务管理器”、“终端服务客户端生成器”及“终端服务配置”四项。

　　⑶制作客户端安装盘：选“终端服务客户端生成器”，则出现“创建安装盘”的窗口，保持默认选项不变，随着提示依次把两张软盘（注意作好顺序标记）插进软驱以完成客户端安装盘的制作。

　　3.客户端的安装

　　⑴运行第一张安装软盘中的“setup.exe”，各项均选默认选项即可根据提示利用两张软盘完成安装。

　　⑵安装完成后，不需重新启动，直接在“开始→程序→终端服务客户端”中看到相关组件，包括“客户端连接管理器”、“卸载”和“终端服务客户端”三项。

    三、终端服务的设置

　　1、服务器端–赋予终端登录的权限

　　打开“终端服务配置”窗口，依次选“连接→右边面板→RDP-Tcp→右键→属性→权限”，再将目标用户（或组）名“添加”进列表中。（注：默认的，“Administrator”自动具有终端登录的权限。）

　　2.客户端–建立登录连接

　　⑴打开“客户端连接管理器”，选“文件→新建连接”，再输入连接名（任意）、服务器名或IP地址。

　　⑵选中“用此信息自动登录”，并输入相应的用户名、密码及域名。
　　
　　⑶屏幕区域一般选“800×600”，并选中“全屏”。

    四、终端服务的使用

　　1.双击所建立的登录连接，即可自动完成终端登录。看看你现在的屏幕，和2K的桌面有什么区别吗？简直可以说是从同一个模子里铸出来的——只有那列“Windows 2000 Terminal”在提醒着你：这只是神奇的终端服务！

　　2.好了，现在你就可以像运行自己机器上的软件一样使用2K服务器里的内容了！

　　3.按“Ctrl+Alt+Break”的组合键，可以在窗口和全屏幕间进行转换；在终端窗口中选“开始→关机→注销“即可退出。

 

    在网络环境下应用的工具：对从事维护人的员来说用处较大。并需要注意：有些工具需要另一个工具作为基础才好用，即某个工具在工作时，作为基础的另一个工具必须先被执行。这些工具有：

　　远程文件储存诊断
　　远程文件储存分析
　　分布式文件系统实用工具

　　由于网络越来越普及，分布式文件系统应用越来越多，其应用也越来越广，基于网络来排除故障的工具的使用价值也在不断上升。对需要经常与网络打交道的朋友，这部分不可不看。

　　基于网络的工具，也不是仅仅这些。Windows2000的资源工具中配备了相当多的此类软件??也就是下面将介绍的“网络管理工具”。这一系列的工具有16个，分别是：

工具名称 　　　　　　　　　　　对应的可执行文件名称
ADSI Edit 　　　　　　　　　　　　　操作控制台
DNS Server Troubleshooting Tool 　　(Dnscmd.exe)
DsAcls　　　　　　　　　　　　　　　(Dsacls.exe)
DsaStat　　　　　　　　　　　　　　 (Dsastat.exe)
Kerberos Setup　　　　　　　　　　　(Ksetup.exe)
Kerberos Keytab Setup　　　　　　　 (Ktpass.exe)
Active Directory Administration Tool (Ldp.exe)
Active Directory Object Manager 　　(Movetree.exe)
Windows 2000 Domain Manager　　　　 (Netdom.exe)
NlTest　　　　　　　　　　　　　　　(Nltest.exe)
Remote Command Line　　　　　　　　 (Remote.exe)
Replication Diagnostics Tool　　　　(Repadmin.exe)
Active Directory Replication Monitor (Replmon.exe)
Security Descriptor Check Utility 　(Sdcheck.exe)
Active Directory Search Tool　　　　(Search.vbs)
Winsock Remote Console　　　　　　　(Wsremote.exe)

　　正因这些工具都是基于网络的、或是应用于网络环境之下的，所以真正有机会动手实践的人，与个人计算机环境相比，是少之又少了。但任何一项技术能发展与否，都取决于其生命力。现在网络之普及，给网络技术的普及带来了巨大的生命力，保持于这种普及同步的技术优势，是将来决胜之策。

    我所以整理出来这些资料，一为学习，二为与诸位共勉。话都说到这样诚恳的地步了，所以，尤其希望各位发现有不当之处，一定要批评指正，方不负我一片诚意。

DNS服务器故障排除工具

　　这个工具的英文全名是：DNS Server Troubleshooting Tool，作用是排除域名服务系统的故障，缩写为：DNScmd。这是供系统管理员在域名服务系统（DNS）中使用的一个工具，工具运行的形式是基于命令行的。利用该工具，系统管理员可以观察域名服务系统的属性、范围、资源记录。此外，这个工具也允许以手工形式修改上述的属性，也就是可以建立、删除资源记录，或者在域名服务器的物理内存和域名服务数据库及数据文件之间强行进行事件复制的操作。

　　在Windows NT中，原有与此相关的一个工具，称为：Dnsstat.exe（可以在Windows NT Resource Kit中找到），而DNScmd.exe，就是前者的强化版本。

　　前面已经述及：这是一个命令行的工具，凡是命令行程序，都需要先运行命令控制台CMD。由于前面的文章中已经介绍过CMD的用法，所以，此处不再多加解释。以下的部分，假设你已经打开了命令控制台。

DNScmd.exe的用法

　　如果想获得DNScmd.exe的帮助，可以使用DNScmd/?的命令形式来取得帮助的详细信息；DNScmd.exe包含有很多条命令，如果想得到一个指定的命令的应用帮助，可以采用这种形式：Dnscmd command /?，其中，command是所指定的一条命令的名称（具体参看下面介绍），command前面的空格不能省去。

    我在自己的机器上进行了验证，运行CMD之后，在系统提示符之后键入dnscmd/?，然后回车，其显示如下，考虑到篇幅限制，中间有省略号的地方，是被省略了的项目：

Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.

C:\>dnscmd/?

USAGE: DnsCmd []

　　:
　　　　. 　　　　　　　　　– local machine using LPC
　　　　IP address　　　　　– RPC over TCP/IP
　　　　DNS name　　　　　　– RPC over TCP/IP
　　　　other server name　 — RPC over named pipes
　　:
　　　　/Info 　　　　　　　– Get server information
……
　　　　　/ResetForwarders　– Set DNS servers to forward recursive queries to

　　　　/ZoneInfo　　　　　 — View zone information
……
　　　　/ZoneResetMasters　 — Reset secondary zone’s master servers
　　　　/EnumRecords 　　　 — Enumerate records at a name
　　　　/RecordAdd　　　　　– Create a record in zone or RootHints
　　　　/RecordDelete 　　　– Delete a record from zone, RootHints or Cache d
ata
　　　　/NodeDelete 　　　　– Delete all records at a name
　　　　/AgeAllRecords　　　– Force aging on node(s) in zone
　　:
　　　　– parameters specific to each Command
　　　　dnscmd /? — For help info on specific Command

C:\>

    与正式的帮助文档相比，这里的帮助提示很简略。但最重要的发现，还是两者所提供的命令总数不相同。这种正式帮助文档和在线提示中不一致的情况已经不是第一次了。究竟何处不同，在介绍相关命令的时候，会给各位提醒的。

　　由于Windows2000很重视安全问题，所以，像这类涉及修改重要属性的工具，也必须对工具的使用者进行权限验证，没有通过正确登录系统的使用者，也不可能使用这个工具。也就是说，这个工具只能由经过正确登录的、已经得到信任的用户来使用。说起来似乎很复杂，其实，你只要能以系统管理员的身份登录Windows2000,就可以进入命令控制台中使用它。

命令使用形式：

　　所有Dnscmd.exe的命令使用都有统一的形式，请看下一行：

　　dnscmd ServerName Command [Command Parameters]

　　完整的命令语法共分四个部分：dnscmd是工具名称，不能省略。

　　ServerName是服务器名称，不能省略。
　　Command所指定的命令，不能省略。
　　Command Parameters命令参数，是可选的项目。

这四个部分中：

    A ：工具（程序）名称没有可多说的，直接使用就是了；

    B：服务器名称是由系统管理员规划设计的一个用于管理的机器名称，在此处，服务器名称是作为一个变量来使用的，既然是变量，当真正执行的时候，肯定要被具体的“值”所取代。取代服务器名称的是以下各项目：
　　1. 指定的本地计算机，利用本地连接访问来工作。本地连接访问在英文中被缩写为：LPC
　　2. 使用IP地址，IP地址的格式是：xx.xx.xx.xx。指定DNS服务器，工作时需要经由TCP/IP，利用远程连接访问方式。远程连接访问在英文中被缩写为：RPC。
　　3. 指定的DNS名称：这个名称必须是完整的、有资格的（经过身份验证的）DNS服务器名称（即FQDN），工作也需要经由TCP/IP，利用远程连接访问方式。
　　4. NetBIOS 名称：类似于上一个，只是依据的是NetBIOS而不是经由TCP/IP，工作也需要利用远程连接访问方式。

C ：命令 command
　　Command是命令的名字，本工具有很多个命令，不同的命令功能不同。具体可以参看以下的介绍。

D：命令参数
　　这时可选项目，有些命令可能并没有参数。

　　到此，我们已经将使用这个工具的所有前期准备工作都作完了。从下一篇开始，将介绍每个命令的语法、使用方法和例子分析。

 

 

    本文开始介绍命令的使用方法：

　　前面在介绍命令格式的时候，已经指出：完整的命令格式是：先是Dnscmd，随后是服务器名称变量，然后才是命令和参数。这里为了节省篇幅，直接从命令开始分析。

　　命令： /Info

　　用途：利用/Info 命令，可以列出指定的DNS服务器的指定属性。显然，这需要在命令参数中指定要显示的属性。如果不指定属性，执行这一命令后列出的将是所有的属性。

　　用法：
　　dnscmd ServerName /Info [Property]

　　参数：
　　ServerName
　　服务器名称在上一篇中已经介绍过，此处省略。

　　[Property] 方括号中参数是可选的，这里是指定的、需要显示的属性。如果不指定属性，则命令执行之后将显示全部属性。

　　下面是该命令使用的一个比较完整的例子：

　　在执行相应的命令后，系统会输出英文的显示信息。在下面输出的文本中的中文是由本人加入的解释，并不是原输出所带。DNS服务器的IP地址假设为172.16.12.1：

dnscmd 172.16.12.1 /info 只使用命令而不使用参数
输出的信息：
DNS Server 172.16.12.1 Information:
C:\>dnscmd 172.16.12.1 /info
Query result: 查询结果
Server info:　　　　　　　　　　　　　服务器信息
　　　　ptr　　　　　　　= 00074718　　端口
　　　　server name　　　= myserver.microsoft.com　　服务器名称
　　　　version　　　　　= C2000005　　　版本
　　　　DS container　　　= c　　　　DS“容器”
　Configuration:　　　　　　　　　　　配置信息 这些信息的含义请参考有关资料
　　　　dwLogLevel = 00000000
　　　　dwDebugLevel = 00000000
　　　　dwRpcProtocol = FFFFFFFF
　　　　dwNameCheckFlag = 00000002
　　　　cAddressAnswerLimit = 0
　　　　dwRecursionRetry = 3
　　　　dwRecursionTimeout = 15
　　　　dwDsPollingInterval = 300
　Configuration Flags:　　　配置标志 这些标志值就是目前该标志所处的状态。其含义请参考有关资料

fBootMethod = 3
fAdminConfigured = 1
fAllowUpdate = 1
fDsAvailable = 1
fAutoReverseZones = 1
fAutoCacheUpdate = 0
fSlave = 0
fNoRecursion = 0
fRoundRobin = 1
fLocalNetPriority = 1
fStrictFileParsing = 0
fLooseWildcarding = 0
fBindSecondaries = 1
fWriteAuthorityNs = 0
Aging Configuration: 
ScavengingInterval = 0
DefaultAgingState = 0
DefaultRefreshInterval = 168
DefaultNoRefreshInterval = 168

　ServerAddresses:
　　　　Addr Count = 1
　　　　　　　　Addr[0] => 172.16.12.1
　ListenAddresses:
　　　　NULL IP Array.
　Forwarders:
　　　　Addr Count = 1
　　　　　　　　Addr[0] => 172.16.4.3
　　　　forward timeout = 5
　　　　slave　　　　　　= 0
Command completed successfully.命令顺利执行完毕

　　笔者所以将此例子完整地放置在本文中，并不为完整地解释每条输出信息的含义，而是为朋友们提供一个观察该命令输出的范本，借以获得感性认识。若你已经对上述例子有了印象，待到自己执行这个命令获得输出信息之后，肯定有“这个我曾经见过”的感觉。因为，在排除故障的过程中，哪怕仅有间接的经验，也比完全陌生强很多。

　　命令：/Config

　　如果服务器的zone没有指定，使用命令 /Config 可以重置DNS服务器的属性。如果已经指定了zone的名称，则该命令只重置zone的属性。zone的含义是区域或范围的意思。

　　用法：
　　dnscmd ServerName /Config [ZoneName |..AllZones] Property Value

　　参数
　　ServerName ：服务器名称，意义同上

　　ZoneName：
　　这个参数指定所配置的区域zone的名字，如果使用..AllZones ，则重置所有zone的属性。如果不指定zone名字，只能重置服务器属性。

　　Property：
　　这个参数是属性。这里所说的属性有：
　　与服务器有关的属性：例如：
/EnableRegistryBoot
/RpcProtocol
/LogLevel
/EventlogLevel 等等 （限于篇幅未能全部列出）
与Zone 有关的属性，例如：
　　　　　　　　/SecureSecondaries
　　　　　　　　/AllowUpdate
　　　　　　　　/Aging
　　　　　　　　/RefreshInterval Value
　　　　　　　　/NoRefreshInterval Value
    属性值：

　　属性值都是一个双字长的值，即类型为 DWORD ;以0x 打头的十六进制形式 。
从命令的参数结构来看，这个命令的用途是重置、实际上也可以理解为修改服务器的zone，因为命令语句的最后可以指定要重置的属性值。指定的值不同，重置的结果也就不同。

　　命令： /Statistics

　　作用：利用这个命令可以显示或删除服务器的统计数据或信息。在命令的可选择项目中，有两个每次仅能采用其一的参数，或显示或删除由你自己确定。

　　用法：
　　dnscmd ServerName /Statistics [Filter|/Clear]

　　参数：
ServerName
服务器名称，含义同上。
可选参数介绍：
共有两个参数，每次只能使用其中的一个。

　　1.过滤（Filter）

　　使用该参数，可关联或过滤渴望得到的统计信息，如果不使用果料指定，则默认显示所有的统计信息。
可以使用以下的数据来指定过滤的信息，由于大部分的含义都比较容易懂，故此处不再加中文注释。不过应当注意：指定的过滤参数只能是下列之一，不可自己杜撰:
　　　　　　　　00000001 — Time
　　　　　　　　00000002 — Query
　　　　　　　　00000004 — Query2
　　　　　　　　00000008 — Recurse
　　　　　　　　00000010 — Master
　　　　　　　　00000020 — Secondary
　　　　　　　　00000040 — Wins
　　　　　　　　00000100 — Update
　　　　　　　　00000200 — SkwanSec
　　　　　　　　00000400 — Ds
　　　　　　　　00010000 — Memory
　　　　　　　　00100000 — PacketMem
　　　　　　　　00040000 — Dbase
　　　　　　　　00080000 — Records
　　　　　　　　00200000 — NbstatMem
    2.清除 /Clear

　　这个参数用来清除统计信息。

　　本来，这个命令有一个非常详细的例子，其间有各种统计信息的显示情况和格式。由于篇幅太大，无法附加在本文中。如果你有兴趣研究，请参看支持工具的帮助文档（不是windows2000的帮助文档）。
 

    Win2000也许可以说得上是一个划时代的操作系统，但是它仍然不能够避免蓝屏死机（Blue Screen of Death）问题。本文的目的是解刨BSOD问题，同时给出如何处理一般的蓝屏问题的解决步骤。

　　简介

　　什么是蓝屏死机（BSOD）问题？
　　BSOD就是显示在蓝色屏幕背景下的出错信息。一般这种出错信息严重到你的整个操作系统当机，你只有重新冷启动的选择。

　　停止消息和硬件消息

　　Win2000的BSOD和NT4以前的BSOD消息是完全不同的。最大的不同就是NT中的BSOD只包含一个通用的停止消息类型(就是实际的出错代码), 但是Win2000的BSOD包含有两种消息类型：停止消息和硬件消息。停止消息是指，当win2000的内核发现一个它不能够恢复的软件错误时候产生的错误消息。硬件消息是指，当Win2000发现一个严重的硬件冲突时产生的错误消息。

　　刨析BSOD

　　BSOD可以分成独立的几部分，每部分包含有有价值的错误处理信息。这几部分包括：

　　1、bug检查部分：这是BSOD中包含实际出错消息的位置。在这部分中，你应该注意的是出错代码（就是在单词“Stop”后面的十六进制数字）和错误符号（就是紧跟在出错代码后的单词）

　　2、推荐用户采取行动部分：这部分经常包含一些一般的指导你如何纠正错误的步骤
的消息。

　　3、调试端口信息部分：这部分包含有你应该如何设置你的内核调试器的信息。内核调试器是让你可以通过手工连接到计算机并对进程进行调试的工具。

　　停止信息的四种类型

　　当程序或则驱动程序发生了一个不能够控制的错误消息或则试图执行一个非法指令时，系统就会发生停止出错信息。而这种信息通常由四种类型组成。

　　1、常规停止消息：在正常的使用win2000时发生的停止消息

　　2、安装停止消息：在安装win2000过程中的停止消息，通常由你的系统中存在和2000不兼容的硬件设备引起的。

　　3、可执行程序安装停止消息：表示发生在2000安装过程中第4个阶段（执行程序部分）的停止消息。

　　4、软件陷阱停止消息：由于软件中的错误陷阱并且当程序试图执行一个非法指令的时候发生的停止消息。

　　不管win2000是否迄今为止最伟大的操作系统与否，它不可能是没有错误的。至少我们知道在2000中，BSOD还是存在的。下面是有关它的更详细的描述：

　　下面是一个具体的BSOD例子：

    *** Stop: 0×0000001E (0xF24A447A, 0X00000001, 0X0000000)
    KMODE_EXCEPTION_NOT_HANDLED
    *** Address F24A447A base at f24A0000, DateStamp 35825ef8d - wdmaud.sys

    If this is the first time you’ve seen this Stop error screen, restart your computer.
    If this screen appears again, follow these steps:

    Check to be sure you have adequate disk space. If a driver is identified in the
Stop message, disable the driver or check with the manufacturer for driver updates.
Try changing video adapters.

    Check with your hardware vendor for any BIOS updates. Disable BIOS memory options
such as caching or shadowing. If you need to use Safe Mode to remove or disable
components, restart your computer, press F8 to select Advanced Startup Options,
and then select Safe Mode.

    Refer to your Getting Started manual for more information on troubleshooting Stop errors.

    Kernel Debugger Using: COM2 (Port 0×2f8, Baud Rate 19200)
Beginning dump of physical memory
Physical memory dump complete. Contact your system administrator or technical support group.

　　根据这个具体的例子，按照上面刨析的BSOD四个部分，下面一一介绍：

    bug检查部分：

　　这是BSOD中包含实际出错消息的位置。它看上去就是下面的代码：
*** Stop: 0×0000001E (0xF24A447A, 0X00000001, 0X0000000)
KMODE_EXCEPTION_NOT_HANDLED *** Address F24A447A base at f24A0000, DateStamp 35825ef8d - wdmaud.sys

　　其中错误代码是一个紧跟在Stop后面的十六进制数，在这里面它由其它四个数字组成。

　　而错误符号是指紧随其后的KMODE_EXCEPTION_NOT_HANDLED.

　　在一些BSOD出错信息中，一个内存位置和文件名出现在错误符号的后面。这个信息告诉了当错误发生的时候在内存中的位置和哪个文件导致了错误的发生。当然你是否能够看到该信息是由哪种停止消息类型来决定的。在一些实际运用中，你只能够看到上面的第一行。而这里通常是表示由显示服务中导致的问题。 推荐用户采取行动部分：

　　在上面的例子中推荐用户采取行动部分如下：

    If this is the first time you’ve seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:
Check to be sure you have adequate disk space. If a driver is identified in the Stop message, disable the driver or check with the manufacturer for driver updates. Try changing video adapters.
Check with your hardware vendor for any BIOS updates. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.
Refer to your Getting Started manual for more information on troubleshooting Stop errors.

　　推荐用户采取行动部分通常是推荐用户在遇到了出错信息后应该采取的解决步骤。在消息中可以看到，解决一个BSOD也许只要重新启动或则整理出足够大的剩余空间就能够解决了。尽管这样的方法偶尔会起到作用，但是实际上要解决BSOD经常要远远复杂得多。

　　调试端口信息部分：

　　这部分包含有你应该如何设置你的内核调试器的信息。我会在以后的网站里面详细介绍什么是2000的内核调试器。在上面的例子中，这部分内容是：

    Kernel Debugger Using: COM2 (Port 0×2f8, Baud Rate 19200)
Beginning dump of physical memory Physical memory dump complete. Contact your system administrator or technical support group.

　　停止信息的四种类型

　　常规停止消息：

　　常规停止消息通常是最难解决的出错信息，因为有可能有无数的原因能够导致错误的发生。

　　安装停止消息：

　　在安装win2000过程中的停止消息，通常由你的系统中存在有没有列在2000硬件兼容列表中的设备。

　　解决办法是你查看系统中的硬件设备，找到没有列出在2000兼容列表中的设备。然后和你的硬件设备厂商联系看他们是否能够给你提供该设备的驱动程序。如果他们不能，那你只好从你的系统中删除该设备，并用其它的可以兼容的设备替换掉。

　　如果你的所有硬件都是兼容的，你也许是存在有两个互相冲突的硬件设备。要解决这个问题，先移走任何不是必要的硬件设备，然后重新装载2000，一旦2000装载成功后，把所有移走的设备全部重新加入到系统中。这样做，通常能够解决这个问题，至少能够告诉你哪些硬件是有冲突的。

　　可执行程序安装停止消息：

　　安装2000在可执行程序的安装过程中有两个阶段。第一个阶段是禁止硬件中断同时装载一些基本的组件，例如硬件提取层。第二个阶段是初始化你系统中所有的硬件。如果你在安装程序到了这个阶段的时候收到了停止消息错误。需要再次运行诊断程序，来判断你的硬件是否都工作正常。然后重新安装2000。如果你仍然遇到这个出错消息，那么就需要和微软技术支持部打交道了。

　　软件陷阱停止消息：

　　由于软件中的错误陷阱并且当程序试图执行一个非法指令的时候发生的停止消息。例如，程序试图向一个本来是保存数字的变量写字符串的时候，这个错误就有可能发生。如果你遇到了这种类型的错误，需要记下出错信息，是什么软件导致了错误，一般这些软件都有新的版本来纠正这些错误的。

　　解决问题的技巧下面是当你遇到了停止消息时候可能需要的解决步骤：

　　首先判断你最近是不是在系统中有任何的变动。如果你有，那么这些变动经常是问题产生的根源。试图删除或者移走新的硬件或软件，看是否能够解决问题。检查系统中的硬件，最好如果有硬件检测程序的话，可以运行该程序进行检测，同时重新插放你的内存卡和扩展卡。

　　如果你的停止信息是发生在启动中或刚启动的过程中，那么这有可能是你的某个服务或则设备驱动程序中的问题。可以尝试将机器启动到安全模式。如果你的2000系统能够启动成功安全模式，那么表示你的猜测是正确的。

　　同时要确保你的防病毒程序是设计成和win2000兼容的，并且随时保持更新。如果错误仍然发生，那么进入你的CMOS设置，禁止掉BIOS中的象缓存或则shadow之类的选项，然后重新启动。

 

    从理论上讲，纯32位的Windows 2000是不会出现死机的，但是这仅仅是理论上。病毒或硬件和硬件驱动程序不匹配等原因将造成Windows2000的崩溃，当Windows 2000出现死机时，显示器屏幕将变为蓝色，然后出现STOP故障提示信息。下面我们分别介绍通用的STOP故障处理方法和特殊的STOP故障排除。

　　通用STOP故障处理

　　1.首先使用新版杀毒软件检查计算机上是否有病毒。

　　2.如果Windows 2000可以启动，请检查“事件查看器”中的信息，以确定导致故障的设备或驱动程序。启动“事件查看器”的方法是：“开始”\“设置”\“控制面板”\“管理工具”\“事件查看器”\“系统日志”。

　　3.如果不能启动计算机，试着用“安全模式”或“最后一次正确的配置”启动计算机，然后删除或禁用新安装的附加程序或驱动程序。如果用“安全模式”启动不了计算机，可使用修复控制台。修复控制台可以禁用一些服务、重新命名设备驱动程序、检修引导扇区或主引导记录。

　　4.拆下新安装的硬件设备（RAM、适配卡、硬盘、调制解调器等等）。

　　5.确保已经更新了硬件设备的驱动程序，以及系统有最新的BIOS。

　　6.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。

　　7.检查Microsoft兼容硬件列表（HCL），确保所有的硬件和驱动程序都与Windows2000兼容。Hcl.txt在Windows 2000 CD-ROM的\Support文件夹中。

　　8.在BIOS中禁用内存缓存功能。

　　9.重新启动计算机，在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。(注:使用“最后一次正确的配置”的方式启动计算机，计算机的所有设置被重置为最后一次成功启动时的配置。)

　　Knowledge Base”，在“Type your keywords here”处，输入“stop”和相应的号码（如出现STOP消息“stop:0×0000000A”，可在此输入“stop0×0000000A”），按Enter键，就可以找出所出现的STOP问题的解决方法。

　　特殊排除

　　STOP消息 0×0000000A故障（设备已经安装）

　　通常原因 驱动程序使用了不正常的内存地址。

　　1.如果Windows 2000还可以启动，检查“事件查看器”中显示的信息，确定引起问题的设备或驱动程序。

　　2.关掉或禁用一些新安装的驱动程序，并删除新安装的附加程序。

　　3.拆下一些新安装的硬件（RAM、适配器、硬盘、调制解调器等等）。

　　4.确保已经更新了硬件设备的驱动程序，以及系统有最新的BIOS。

　　5.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。

　　6.检查Microsoft兼容硬件列表（HCL），确保所有的硬件和驱动程序都与Windows2000兼容。

　　7.在BIOS中禁用内存缓存功能。

　　8.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

    STOP消息 0×0000000A故障(刚加入新设备时)

　　通常原因 驱动程序使用了不正常的内存地址。

　　1.在安装过程中，屏幕上提示“安装程序正在检查计算机硬件配置”时，按F5,根据提示选择合适的计算机类型。例如，如果计算机是单处理器，请选择“标准PC”。

　　2.在BIOS中禁用内存缓存功能。

　　3.拆下所有适配卡，并断开所有不是启动计算机所必需的硬件设备，再重新安装Windows2000。

　　4.如果系统配有SCSI适配卡，请向适配卡销售商索取最新的Windows2000驱动程序，禁用同步协商功能，检查终结头和设备的SCSI ID号。

　　5.如果系统配有IDE设备，设IDE端口为Primary。检查IDE设备的Master/Slave/Only设置。除了硬盘，拆下其它所有的IDE设备。

　　6.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。

　　7.检查Microsoft兼容硬件列表（HCL），确保所有的硬件和驱动程序都与Windows2000兼容。

　　8.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

　　STOP消息 0×0000001E故障

　　1.检查是否有充分的磁盘空间，尤其是新安装。

　　2.禁用STOP消息中显示的驱动程序和所有新安装的驱动程序。

　　3.如果所使用的视频驱动程序不是Microsoft提供的，试着切换到标准VGA驱动程序或者由Windows2000支持的合适的驱动程序。

　　4.确保系统有最新的BIOS。

　　5.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

　　STOP消息 0×00000023和0×00000024故障

　　通常原因 严重的驱动器碎片、超载的文件I/O、第三方的驱动器镜像软件或者一些防病毒软件出错。

　　1.禁用一些防病毒软件或者备份程序，禁用所有碎片整理应用程序。

　　2.运行CHKDSK /f 检修硬盘驱动器，然后重新启动计算机。

　　3.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

　　STOP消息 0×0000002E故障

　　通常原因 系统内存中的奇偶校验错误。

　　1.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。

　　2.在BIOS中禁用内存缓存功能。

　　3.试着用“安全模式”启动。如果“安全模式”可启动计算机，试着更改为标准VGA驱动程序。如果这不能解决问题，可能须要用另外的视频适配卡。“兼容硬件列表”中列出了兼容的视频适配卡。

　　4.确保已经更新了硬件设备的驱动程序，以及系统有最新的BIOS。

　　5.拆下一些新安装的硬件（RAM、适配器、硬盘、调制解调器等等）。

　　6.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

　　STOP消息 0×0000003F故障

　　通常原因 驱动程序没有被完全清除。

　　1.删除一些新安装的软件，包括备份工具或磁盘工具，例如碎片整理和防病毒软件。

　STOP消息 0×00000058故障

　　通常原因 在容错集的主驱动器中发生错误。

　　1.用Windows 2000引导软盘，从镜像（第二个）系统驱动器启动计算机。

　　2.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

　　STOP消息 0×0000007B故障

　　通常原因 在I/O系统的初始化过程中出现问题（通常是引导驱动器或文件系统）。

　　1.检查计算机上是否有病毒。这个STOP消息通常在引导扇区有病毒时出现。

　　2.使用“修复控制台”来修复驱动器。

　　3.拆下新安装的硬盘驱动器或控制卡。

　　4.如果系统配有SCSI适配卡，请向适配卡销售商索取最新的Windows2000驱动程序，禁用同步协商功能，检查终结头和设备的SCSI ID号。

　　5.如果系统配有IDE设备，设IDE端口为Primary。检查IDE设备的Master/Slave/Only设置。除了硬盘，拆下其它所有的IDE设备。

　　6.运行CHKDSK。如果Windows 2000不能启动CHKDSK，则必须把硬盘拆下并连接到另一个Windows2000系统上，然后用CHKDSK命令检查该硬盘。

　　7.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

　　STOP消息 0×0000007F故障

　　通常原因 硬件或软件问题;常见的原因是硬件失效。

　　1.运行由计算机制造商提供的系统诊断工具，尤其是内存检查。这个STOP消息经常出现在错误或误配内存的情况下。

　　2.在BIOS中禁用内存缓存功能。

　　3.试着拆下或替换硬件:RAM、控制器、适配器、调制解调器和其它外围设备。

　　4.检查Microsoft兼容硬件列表（HCL），确保所有的硬件和驱动程序都与Windows2000兼容。这个问题可能是由于不兼容的主板引起的。

　　5.重新启动计算机。在启动屏幕处，按F8进入“高级启动选项”，然后选择“最后一次正确的配置”。

 

 

　　一、安装 Win2000 服务器
　　1、请在您的服务器上安装 Win2000 ADVANCED SERVER 或Win2000 SERVER。注意一点在安装服务器之前将日期向后调整10年或更长（2010年），等我们把下面所有设置完毕后，再调回到正确日期，这样就可以解决终端用户的日期限制问题。

　　2、假设服务器名 GCSERVER，必须为系统添加 TCP/IP、IPX/SPX、NETBEUI、DLC 协议，其中 IP 地址 指定为: 192.168.10.1，子网掩码统一为: 255.255.255.0。注意此服务器必须成为主域。

　　由于Win2000 SERVER 不再提供RPL 服务，所以我们必需借用专用软件来为Win2000 SERVER 添加远程启动服务，现在国内已有多个这类的工具，我向大家推荐凌心远程启动工具，它的最新版v 3.0。安全稳定而且它是免费的。当然在条件允许的情况下我见意您使用一台WinNT4 远程启动服务器，专用于无盘工作站的启动，Windows 2000 Server 服务器则专用于终端服务，这样安排会使整个网络更稳定快速。不过一般用户很少有这个经济能力。我以一台Windows2000 Server 服务器为例安装过程如下：

　　二、安装 RPL 远程启动服务

　　1、将下载的文件拷贝到服务器上，把 NT40 Server 光盘放入服务器光驱中。参考提示正确填写路径。

　　2、重新启动Windows2000 后。可以在安装目录中找到一个 MgrPatch.exe 文件。它是远程启动管理器监控程序，为它建立一个快捷方式到桌面，并且以后必须通过它来启动“远程启动管理器”。进入WINDOWS2000的命令行模式，CD \RPL（即你上面添加远程启动服务时的目标路径）。执行RPLCMD ，按照在 NT4 中添加网卡参数的相同方法（详见无盘WIN95安装全传）为你的工作站添加配置。设置好无盘DOS622  保证其可以正常登陆。

  
　　关于METAFARM V1.8的强大功能。

　　1.安装系统组件，选中终端服务，不要终端授权。程序运行方式选： 应用程序模式。兼容方式选：和 TERMINAL 4.0 兼容的模式。系统告诉OFFICE 2000可能无法正常使用时，不管它肯定能用。

　　2、开始安装METAFARM V1.8，装好后，从添加/删除里安装 METAFARM V1.8 的补丁，直接安装不了，好多程序都要这样装，比如：WPS2000、、等等。重启动。

　　3、运行注册机，如果有别的协议，就都删了它（REMOVE按钮），添加（ADD按钮）如下几个协议就够了，添加时注意用户数量（USER），然后再激活来（ACTIVE）。

主协议(文件柜型): OEM METAFRAME 1.8 FOR WIN2000 用户数量：100
　　扩展协议(用户型): CITRIX USER LICENSE PACK 用户数量：100
　　分扩展协议(钥匙型): CITRIX LOAD BALANCING SERVICES 用户数量：不可改！
　　分扩展协议(钥匙型): CITRIX INSTALLATION MANAGEMENT SERVICES 用户数量：不可改！
　　分扩展协议(钥匙型): WINFRAME SERVER OPTION PACK 用户数量：不可改！
　　分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK1 用户数量：不可改！
　　分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK2 用户数量：不可改！
　　分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK3 用户数量：不可改！
　　分扩展协议(钥匙型): METAFRAME RESERVED OPTION PACK4 用户数量：不可改！
　　分扩展协议(钥匙型): METAFRAME 1.8 FEATURE RELEASE 1 用户数量：不可改！
　　分扩展协议(钥匙型): METAFRAME 1.8 FEATURE RELEASE - UPDATE 用户数量：不可改！
　　说明：主协议和扩展协议只能各有一个，分扩展协议可以有多个。

　　4、启用程序菜单下的MetaFrame Tools \ ICA Client Creator 项目,将于(DOS 286处理器)的客户端程序解压到一张软盘，拷贝到C:\WINNT\rpl\RPLFILES\PROFILES\目录下建立CLIENT目录。启动一台工作站，用ADMINISTRATOR身分登录，进入无盘DOS，进入CLIENT目录，开始安装。INSTALL+回车，F1，回车.

src="http://www.it.com.cn/f/edu/0411/29/110539.jpg">

　　5、安装完后，再进入C:\WFCLIENT目录，运行WFCLIENT 配置好参数
　　Description: 随便填，如win2000
　　Transport:按三角，选NETBIOS
　　Server 前的（）里就多了个*号。下面的方扩号里就多了个名称，那就应该是你服务器的名称。
　　Username:        填一个用户帐号名
　　Password:        相应密码
　　Domain:
　　Command line:
　　Working Directory: 
　　[ x] Use data compression
　　[ x] Enable Sound

　　然后进入主界面，选OPTIONS下的Preferenc… 设置相应颜色，别忘了启用本地的鼠标。
　　回到主界面，选CONNET就可以登录了。

　　6、再到服务器上的C:\WINNT\rpl\RPLFILES\PROFILES\目录里加一个MOUSE.COM，再把AUTOEXEC.BAT文件打开，末尾添上如下三行

　　@MOUSE
　　@cd \WFCLIENT
　　@WFCLIENT     win2000   /BATCH

　　7、重启动各台工作站，就可看到各个工作站可以同时用同一个USER权限的用户帐号登录。

 

    在安装Windows 2000的时候，用户需要作出的一个选择是采用FAT32文件系统还是NTFS文件系统呢？这其实是一个很简单的问题，不选择NTFS文件系统的理由只有一个，那就是你还需要用到一个不能读取N TFS分区的操作系统，例如Win9x、MS-DOS等。

    一、NTFS简介

　　NTFS是”新技术文件系统”的缩写。微软推出NTFS文件系统就是为了弥补FAT文件系统的一些不足，其中最大的改进是容错性和安全性能。

　　容错性

　　NTFS可以自动地修复磁盘错误而不会显示出错信息。Windows 2000向NTFS分区中写文件时，会在内在中保留文件的一份拷贝，然后检查向磁盘中所写的文件是否与内存中的一致。如果两者不一致，Wi ndows就把相应的扇区标为坏扇区而不再使用它（簇重映射），然后用内存中保留的文件拷贝重新向磁盘上写文件。如果在读文件时出现错误，NTFS则返回一个读错误信息，并告知相应的应用程序数据已经丢失。

　　安全性

　　NTFS有许多安全性能方面的选项，可以在本机上和通过远程的方法保护文件、目录。NTFS还支持加密文件系统（EFS），可以阻止没有授权的用户访问文件。

　　文件压缩

　　NTFS文件系统带来的另一个好处是支持文件压缩功能，用户可以选择压缩单个文件或整个文件夹。

　　磁盘限额

　　磁盘限额功能允许系统管理员管理分配给各个用户的磁盘空间，合法用户只能访问属于自己的文件，Windows 2000中的磁盘限额功能是基于用户和卷的。

    二、优化NTFS的性能

　　用户可以决定许多影响NTFS卷性能的因素，比较重要的有NTFS卷的类型（SCSI或IDE）、速度（磁盘的RPM）、卷包含的磁盘数量等。除上述因素外，下面的因素也可以影响N TFS卷的性能：

　　·簇和空间分配单位的大小。

　　·该卷是直接创建的还是由一个FAT卷转换来的。

　　·该卷是否使用了NTFS的压缩功能。

　　·经常访问的文件中的碎片和位置。例如主文件表（MFT）、目录、包含NTFS频繁使用的数据的文件、缓冲文件和频繁使用的用户文件。

　　簇的大小

　　根据NTFS卷要存储的文件的平均大小和类型来选择簇的大小。理想情况下，簇的大小要能整除文件大小（最接近的数值），理想的簇大小可以将I /O时间降至最低，并最大限度地利用磁盘的空间。应该注意的是，无论在任何情况下使用大于4KB的簇都会有下述的负面影响：

　　·磁盘碎片整理工具不能整理这个卷

　　·不能使用NTFS的文件压缩功能

　　·浪费的磁盘空间增加

　　有几种方法都可以判断文件的平均大小，一种方法是从”开始”按钮，选择”运行”，在”打开”框中键入cmd，点击OK，然后在命令行方式下执行c hkdsk，用这个卷上的文件数去除已经使用的磁盘空间。另一种方法是使用性能监视器。方法是开始->设置->控制面板->管理工具- >性能，然后跟踪逻辑磁盘对象的平均磁盘字节/传输，使用这种方法可以得到更为精确的文件大小的和存储在这个卷上的数据类型。

    由FAT转换而来的NTFS

　　从FAT转换到NTFS的卷将失去NTFS的一些性能优点。MFT可能出现碎片，而且不能在根卷上设置NTFS的文件访问权限。

　　要检查MFT上是否有碎片，可以用如下的方法：开始->程序->附件->系统工具->磁盘碎片整理，对一个驱动器进行分析，然后点击”查看报告”，用鼠标滚动到M FT碎片。

　　把一个FAT卷转换成NTFS后，簇的大小是512字节，增加了出现碎片的可能性，而且在整理碎片时需要花费更多的时间。基于上述原因，最好在最初的格式化时就把硬盘格式化成N TFS文件系统。

    NTFS文件压缩功能

　　NTFS压缩功能可以对单个文件、整个文件夹或NTFS卷上的整个目录树进行压缩。使用压缩功能将会引起NTFS卷的性能下降，原因是每次访问被压缩的文件时，都需要对它进行解压缩。如果要拷贝一个压缩文件，其过程是：解压缩、拷贝、重新对拷贝的文件进行压缩，大大增加了C PU的处理时间。需要说明的是，NTFS压缩功能在Windows 2000专业版上的效率要高于在Windows 2000服务器版上运行的效率。

　　可以在浏览器窗口的属性对话框中对文件、文件夹、NTFS卷进行压缩。

    碎片整理

　　当磁盘上出现碎片时，访问一个文件时就需要磁头作更多的运动，它对性能有极大的不良影响。使磁盘上的碎片维持在一个较低的水平是提高N TFS卷性能的最重要的因素。可以经常地运行碎片整理工具来完成这一工作。

　　Windows 2000的磁盘碎片整理工具使你可以快速对一个卷进行分析，并向你提出是否需要对这个卷进行整理的建议。

    禁止非必需的NTFS功能

　　·禁止创建短文件名。NTFS为了保持与MS-DOS和Windows 3.x的兼容,也支持8.3格式的文件名。如果你不想支持这些系统，到注册表中的HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem，将NtfsDisable8dot3NameCreation的值由0改为1。

　　·禁止最近访问更新。在各个目录之间来回切换时，NTFS将更新最近访问的目录的日期/时间标签，在容量比较大的NTFS卷上，它会降低N TFS卷的性能。在HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem中把NtfsDisableLastAccessUpdate的值由0改为1，就可以禁止自动更新功能，如果没有这个条目，就在注册表中加上它好了。

　　为主文件表（MFT）保留适当的空间。MFT在NTFS卷中扮演着重要的角色，对其性能的影响很大，系统空间分配、读写磁盘时会频繁地访问M FT，因此MFT对NTFS的卷的性能有着至关重要的影响。NTFS文件系统的开发者在MFT附近预留着一个特定区域，用来减少MFT中的碎片，缺省状态下，这一区域占整个卷大小的1 2.5%，尽管这个区域能使得MFT中的碎片最少，但它并非总是合适的。要对MFT的空间进行管理，可以在HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control FileSystem中增加一个类型为REG_DWORD的NtfsMftZoneReservation，它的缺省值是1，其范围是1-4（1表示MFT占整个卷的12.5%，2表示2 5%，3表示37.5%，4表示50%）。

　　必须在创建NTFS卷之前改变注册表。对注册表的修改只影响此后建立的NTFS卷，对目前现有的卷没有影响，这些卷还会保持原来的MF T的设置。为MFT分配更多的空间不会影响正常的存储空间，因为一旦正常的文件存储空间满后，NTFS将使用MFT区，有时这也是导致MFT区更容易有碎片的原因。因此我们必须注意用户文件已经占用的存储空间，在卷上保留一定的可用空间，这样M FT就可以有足够的保留空间。

　　关于NtfsMftZoneReservation的设置，其缺省的12.5%的设置对大多数用户而言已经足够了。以我的使用情况为例，MFT的大小为74,3 31KB，这个卷上有大约73000个文件，平均的文件大小为111KB。由于卷的大小为9GB，因此MFT的保留空间为1152MB，已经足够用了。

 

    谈到虚拟内存，不能不涉及到页面文件(pagefile.sys)，所谓页面文件，它的功能是将一部分硬盘空间设置为虚拟内存，从而扩大了可用”内存”空间，以此来满足程序的运行要求。

 　　尽管由于硬盘的读取、传输速率等远远低于内存的速率，容易导致系统工作效率的降低和系统反应的延迟，但相对于花钱买硬件提高系统性能来说，这种以时间和效率来换取性能的做法还是非常不错的：你可以一分钱不花的拥有1G的虚拟内存，如果真正去买这么1G的内存，你要花多少钱？而且问题的关键是：你的主板能不能支持1G的物理内存？

　　Win9x通常是利用安装目录中的Win386.swp这个交换文件来实现虚拟内存的创建。但Win2000采用页面文件的方式来实现虚拟内存的创建。通常情况下，大家在使用时都是按照系统默认的设置让Windows管理虚拟内存，这样做比较方便，但Windows为了兼容绝大部分计算机配置，缺省设置的管理方式通常比较保守，因此它的工作效率有时偏低。熟练用户可以对Windows的虚拟内存管理进行优化处理（如自行定义交换文件的大小、位置等），来尽量获得比较高的工作效率。

　　Win2000中关于页面文件的管理项目在控制面板中，进入”控制面板”后选”系统”，然后在”高级／性能选项”中选择”更改”，就进入”虚拟内存”的设置。页面中显示着当前系统所设置的页面文件的大小、所在位置、磁盘可用空间以及Windows的推荐设置值等，可以结合页面文件的这些属性来优化设置。

    一、 页面文件的大小

　　Windows建议页面文件的最小值（就是初始大小），应该是当前系统内存容量再加上12MB，若计算机系统拥有256MB内存的，就要将页面文件的最小值设置为268MB，这样才能让操作系统在崩溃或死机前将内存中全部的内容复制到硬盘上。对于内存容量小于256MB的用户，则建议将页面文件的最小值设得更大些，应该大于内存容量加12MB的数值：

　　① 使用128MB或者更少内存的计算机用户，应该将当前系统内存容量的1.75倍设置为页面文件的最小值；

　　②那些内存容量在128MB和256MB之间的用户，可以将当前系统容量的1.5倍设置为页面文件的最小值。

　　当然，将页面文件的最小值设置为大于这些理论值，对于整个系统的运行是没有什么影响的，而且应该会更好些，唯一的损失也许也就是硬盘可用空间会相应的减少。假如你的硬盘空间比较紧张的话，在设置页面文件时，可以让它不小于系统内存的3/4，这样就可以保证系统比较稳定地运行了。如果你需要经常装卸大软件，开很多任务，那你还是用回缺省值比较安全，否则将经常性地引起系统崩溃。

　　至于页面文件的最大值，则可以设置得越大越好，通常建议将它设置为最小值的2到3倍。你不用在意它的具体设置值。和Win9X系统的页面文件管理相比，Win2000要”智能”得多，它的页面文件是可以自己动态设置的。它仅在系统需要时才会自动扩充页面的大小，这样可以避免页面文件占用太多的硬盘空间，并避免在复杂操作中因内存不足而出现错误。

    二、 页面文件的存放位置

　　Win2000允许通过将页面文件分布到各个不同的物理硬盘上（注意是硬盘而不是分区）的方法来提高系统的执行性能。从理论上讲这样做的确是可行的，但要注意的是由于各硬盘间可能存在的寻道时间、传输速度等方面的差异而导致的系统性能的下降，因此应该尽量选择速度最快的硬盘来存放页面文件。

　　另外要注意的是，尽管Win2k也支持在同一硬盘多分区上分别建立页面文件，但这样做非但不能提高系统的性能，反而将明显地降低整个系统的工作效率，这是由于当操作系统需要读写页面文件时，如果需要读取的内容不在同一个分区的页面文件中时，硬盘磁头将频繁地在各个分区间移动，这将大大降低系统的运行效率。从实际的使用效果来看，这样做还不如将页面文件只集中存放到一个分区中来的好，因此，建议拥有多硬盘的人应该考虑以下的一些方案：

　　①多硬盘之间的速度差异不大，可以将页面文件分布到各硬盘上去；

　　②多硬盘之间的速度差异比较大，则应该将页面文件尽量存放到另外的速度较快的一个（或多个）硬盘上去。对于单硬盘的用户，如果硬盘可用空间允许的话，则应该尽量将页面文件的位置设置在同一个分区中。

    三、 页面文件的连续性

　　页面文件的连续性在Win2000的相关设置中并没有相应的显示，但其实很有必要单独”拎”出来谈一谈。连续的页面文件的工作效率将比不连续的高很多，其中的原因和上面所说的不要将页面文件设置在同一硬盘多个分区的道理是一样的，也是由于硬盘磁头的移动问题，不连续的页面文件也将导致系统在使用虚拟内存时硬盘磁头频繁地在不连续的扇区间”跳”动，因此应该尽量保证页面文件的连续。

　　大家可以运行Win2000自带的”磁盘碎片整理程序”并选择其中的”分析”功能来查看页面文件在硬盘上的相应位置，其中”绿色”区域（系统文件）就是页面文件所在位置。也许有些人对于页面文件会出现不连续的情况表示怀疑，那么可以试试下面的操作：

　　如果你是双系统的话，可以先进入Win9X，将Win2000的页面文件Pagefile.sys剪切到其他分区或者硬盘中，然后再马上粘贴回去，重新启动系统到Win2000下，运行”磁盘碎片整理程序”分析一下，绿色的区域将被分割为大大小小不同的好几个区域，页面文件这时就是零碎不连续的。

　　尽管Win2000提供的”磁盘碎片整理程序”要比Win9X下的好用得多，但是对于不连续的页面文件它还是无法进行整理。要进行页面文件碎片整理的话，需要第三方的相应工具，如Speed Disk等。另外，如果你没有这些工具而且页面文件所在分区或者硬盘不是NTFS格式的话，可以参照测试页面文件不连续情况下的操作方法：

　　首先从双系统进入Win9X，然后将页面文件剪切到其他分区或者硬盘中，再用Win9X下的磁盘整理工具对相应的分区或者硬盘进行整理，等整理完毕后再将页面文件重新粘贴回去，就可以保证页面文件的连续性了。

 

    如果你的网络已经运行了一段，毫无疑问，你的服务器硬盘会装满，通常这说明是时候清除用户不再使用的文件了。你可以将极少使用的文件移至离线存储器，而在Windows 2000中，你还有另外的选择，当服务器硬盘可是填满：你可以建立分布式文件系统（DFS）树结构。建立DFS树结构不仅可以解决硬盘填满的问题，事实上DFS还可以增强网络安全性，效率以及性能。

　　DFS结构使得分散在多服务器的文件和目录看起来就好像它们在同一服务器上。例如，假设你的用户需要从两台不同的服务器的共享节点读取文件。你可以通过建立包含两个不同共享节点的DFS树结构使他们的操作变得简单。在此基础之上，用户能够读取单一共享节点的DFS树结构，而且无须知道文件实际寄存在哪个服务器或共享节点之中。

　　实行DFS树结构确实可以使大型组织的成员工作更加便捷。然而，在许多的组织中，成员工作的便捷性是没有发音权的。大部分时间里，除非是实行新的事物有利于网络的性能和安全性，否则管理员总是简单地以太忙为理由不这样做。如果你了解：构建DFS树结构可以增强网络的安全性，可靠性和本身的表现性能。那么，DFS可能是解决这些问题的最好办法之一。

　　一、 安全性加强

　　首先，我们来看看安全性。我在前面提过，DFS树结构将单一的共享节点并入树型结构，使得用户好像在单机服务器上存在的共享资源中操作。这些共享节点仅仅是逻辑上结合－同时，每一共享节点都在各自的服务器上作为独立的共享节点保留。DFS要求任何你用来构造DFS树结构部分的共享节点使用NTFS安全属性。因此，无论共享节点是独立还是经过DFS树结构读取，任何你通过NTFS指定的独立共享节点的安全属性同时起作用。

　　那么，既然现存的安全属性依然适用，DFS如何增强安全性呢？记得从用户端看来在DFS树结构中所有的文件和文件夹看似存在于单机服务器吗？这一伪装使得黑客更难追踪一个文件的实际位置。当然，黑客还是会继续探究网络并查找所需文件夹或文件，但是，他完成该项的时间越长，被捕获的风险也就越高。许多的黑客从公司的某个成员处获取了内部信息。既然你的用户不会了解共享节点的文件确实操作与哪一台服务器，不满的雇员就不可能告诉组织外部的人员文件和文件夹实际的存储位置。

　　二、 可靠性

　　现在，让我们查看安全性和容错性的问题。实行DFS的Windows 2000允许你使用复制品。DFS树结构中，复制品即为存在于原定和源服务器保持同步的分散服务器上的文件夹拷贝。所以，不同的服务器上有可能拥有两个可识别的文件夹。

　　一旦你拷贝了文件夹，你就可以在服务器离线时使用它们。假定有一个用户经常读取的文件夹，而该文件夹在一台你想要下线做日常维护的服务器上。在断开服务器连接之前，你可以将本来指向DFS树结构的源文件夹改为指向文件夹拷贝。这样做使得用户得到一个服务器依然在线的假相，因为文件夹中的文件像以往一样还是能够在同一位置获得。当离线的服务器恢复可用状态，拷贝保持同步，然后你就可以将DFS树结构指回源文件夹了。

    三、 性能

　　拷贝还可以用来加强服务器性能。你可能知道，如果太多人试图读取一个单一的共享节点会是服务器的性能受损。为了补偿，你可以同时应用频繁使用的文件夹和拷贝，这样就可以实现一系列的网络装载平衡。用户还是通过DFS树结构读取该文件夹，但是DFS树结构会将他们连接到离文件夹最近的拷贝，因此在分散的服务器上交叉分布负荷并增强性能。对于非常繁忙的共享节点，你可以将符合交叉分布在多达32个分散的服务器上。

　　如果我已经为你展示完了DFS的长处，那么是时间开始配置DFS树结构了。

　　四、 安装DFS

　　在你开始设置DFS以前你还需要了解有关DFS的一些事情。首先，Windows 2000版的DFS可以按照两种不同的方式实现。你可以在单击版服务器或属于活动目录域的服务器群上安装DFS。单击版的DFS操作有一些限制，比如不能读取活动目录（很明显）因此就不能制作拷贝，虽然一些组织可能这样操作加强存储能力。所以，我强烈推荐构造一活动目录基础的DFS树结构。本文的余下部分会假定你安装活动目录基础的DFS树结构。
在客户端读取DFS之前，必须运行DFS客户端软件。如果你的客户端是Windows 2000专业版或Windows NT 4.0工作站（服务包3以上），那么你无须其他特殊软件。据说Windows Me也包含此功能，但我不能确定。Windows 98SE（第二版）包含一个DFS客户端程序，该程序可以和Windows NT 4版本的DFS或单机版的DFS树结构一起使用。你还可以为Windows 95和Windows 98的用户下载活动目录DFS（也叫做域客户端）。再无其他操作系统支持客户端的DFS结构了。

　　五、 配置DFS

　　叙述完以上内容，现在我们进入配置过程。从开始菜单点击：程序>管理工具>分布式文件系统开始，装载微软的管理控制台和分布式文件系统控制台。下一步，从操作菜单选择新建DFS根节点命令。如果你计划使用以前存在的DFS根节点，你可以使用显示现存DFS根节点选项。

　　Windows进入新建DFS根节点向导。介绍界面之后的第一个画面供你选择是新建域DFS根节点还是单机版DFS根节点。因为我们在活动目录环境下工作，选择新建域DFS根结点选项。

　　下一画面要求给出DFS根节点使用的域名，寄存DFS根节点的服务器DNS名称，以及你是否想为DFS根节点新建一个共享节点还是使用已经存在的共享节点。然后，你输入DFS根节点的名字，并可以选择添加一个描述DFS根节点功能的提示。点击下一步出现完成画面，结束向导。

    六、 添加共享根节点

　　祝贺你－你已经建立好了一个DFS根节点。你现在可以开始给DFS添加共享节点。当然，除非你添加了附加的共享节点，DFS根节点只是另一个共享节点而已。

　　选择DFS根节点添加共享节点，然后从操作菜单选择新建FS链接命令，弹出新建DFS链接对话框。填写链接名称，共享节点以及可选注释。你还可以设置客户端缓存推迟时间，这样能够控制客户看到有效的时间，而不必查看该链接是否实际有效。设置的时间越长，发生的可能性越小。但是，当你可能需要维护关闭服务器时你应该切换链接指向的位置，这样设置长时间可能导致服务中断。

　　既然你知道了如何配置一个基本的DFS树结构，你就可以开始扩展你的知识了。例如，你完全可能在DFS系统中实现负载平衡。

 

    首先，拿出你的Win2K CD并复制所有的文件到你硬盘的一个目录中(这里我将复制所有的文件到C:\win2k)。

　　其实你只需要i386目录里的文件，但如果你希望烧录完全功能的CD，那么复制所有的文件是最好的选择。

　　如果你有sp2.exe，你需要用WinZip打开它。解压缩文件到一个目录(我使用C:\sp2)。

　　它建立一个目录i386。如果你有微软的SP2 CD，你的文件已经解压缩好了，这里是你应该做的(再次确认你已经把SP2解压缩到C:\sp2并已经复制整个Win2K CD到C:\win2k)

　　进入命令提示符窗口(注意此时你必须在Win2K下集成SP2)。键入”c:\sp2\i386\update\update /s:c:\win2k”并核对无误。

　　一个窗口将弹出，显示当前进度，直至完成。

　　就这样!你现在能从C:\win2k下安装Win2K，并且它已经集成了SP2。

    计算机安全不仅包括保护计算机的本地数据，还要保护网络上的数据安全。优秀的操作系统可以对试图访问计算机资源的人员进行身份识别，防止特定资源被用户不适当地访问，并且提供用户简单有效的方法来设置和维护计算机的安全。

　　目前PC用户常用的还是Windows，比较以前的版本，基于NT平台技术的 Windows 2000在稳定性和安全性上有很大的改善。下面以Windows 2000 Professional 为例进行说明，并顺便介绍一个应用问题的解决。

    一、 Windows 2000安全功能

　　1．用户帐户和帐户组功能

　　确保只有有权用户才能访问计算机，同时有效地管理用户的特定任务权利和权限，如文件夹访问权限等。系统内置组可以使大多数用户获得执行各自任务所需的全部用户权利和权限。管理界面在“控制面板”中的“用户和密码”。

　　2．共享文件夹权限

　　通过给任何文件夹赋予共享文件夹权限，您可以限制或允许通过网络访问这些文件夹。通过项目的属性菜单设置。默认情况下，在Windows 2000中新增一个共享目录时，操作系统会自动将EveryOne这个用户组添加到权限模块当中，由于这个组的默认权限是完全控制，结果使得任何人都可以对共享目录进行读写。因此，在新建共享目录之后，要立刻删除EveryOne组或者将该组的权限调整为读取。

    3． 比FAT和FAT32更安全的NTFS文件系统的功能：

　　磁盘限额服务，可以控制每个用户允许使用的磁盘空间大小；

　　支持设置文件或文件夹的权限，限制或允许用户或组的访问，规定访问类型，就是说可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内。如果要共享位于 NTFS 驱动器的文件夹无需特别设置，NTFS 文件夹访问权限在本机和网络上均有效；

　　NTFS还支持所有者加密文件和文件夹，更好地保护信息。

　　推荐使用NTFS磁盘分区。

　　4．打印机权限

　　通过指派打印机权限来限制用户访问。分打印文档、管理文档、管理打印机三种权限。通过项目的属性菜单设置。

　　5．审核

　　可以使用审核跟踪用于访问文件或其他对象的帐户，以及用户登录尝试、关闭或重新启动系统及其它指定的事件。在审核发生之前，您必须使用“组策略”指定要审核的事件类型。例如，要审核文件夹，首先要启用“组策略”中“审核策略”的“审核对象访问”。下一步，您可以象设置权限那样来设置审核：选择对象（例如文件或文件夹），然后选择要审核其操作的用户和组。最后，选择想要审核的操作，例如，试图打开或删除受限制的文件夹。可以审核成功和失败的尝试。通过使用“事件查看器”来查看“安全”日志可以跟踪审核活动。对于磁盘访问的审核机制只能应用在NTFS文件系统之上。应对所有需要审核的用户使用审核机制。

　　6．用户权利

　　用户权利是确定用户可以在计算机上所执行操作的规则。此外，用户权利控制用户是否可以直接（在本地）或通过网络登录到计算机、将用户添加到本地组、删除用户，等等。内置组具有已指派的用户权利集合。通常情况下，管理员通过向一个内置组添加用户帐户，或者通过创建新组并为该组指派特定用户权利来指派用户权利。随后添加到组中的用户自动获得指派给组帐户的所有用户权利。用户权利是通过“组策略”管理的。

    7．其它本地安全设置

　　允许安全管理员配置指派给“组策略”对象或本地计算机策略的安全等级。本地安全策略是用于配置本地计算机的安全设置。这些设置包括密码策略、账户锁定策略、审核策略、IP 安全策略、用户权限指派、加密数据的恢复代理以及其他安全选项。由于本地安全策略主要是针对本地用户设置的，因此只有在不是域控制器的 Windows 2000 计算机上才可用。

　　以上前四点功能常用且易于设置，而审核与用户权利等安全设置使用较为复杂，但是功能确实非常强大，用户可对系统的操作参数进行深入细致的微调，直至完全满足个人需求。比如：

　　* 防止来自局域网内部的恶意攻击，用户可以得到某账户被人远程尝试登录的机器位置和次数的记录，取消某账号远程登录的权利等，这非常有用。

　　* 可以在策略上控制你所拥有的资源，比如禁止从网络访问本地的软驱或光驱，无论是否被设置为共享权限。

　　* 使用安全策略保护数据，让攻击者破解困难或根本不可能。算法和密钥的组合用于保护信息。Windows 2000通过使用基于加密的算法和密钥获得高安全级。

　　Windows 2000的安全设置主要在“本地安全策略”中进行。使用时单击“开始”，指向“程序”，指向“管理工具”，然后单击“本地安全策略”就行了。 它的设置包括：

　　* 帐户策略：密码和帐户锁定策略

　　* 本地策略：审核、用户权利和安全选项策略

　　* 公钥策略（IP 安全策略）： Internet 协议安全性 (IPSec) 管理。IPSec 策略为与别的计算机进行安全通讯的管理策略。

　　使用它最好有高级管理员的指导。

    二、本地安全策略设置出错一例解决及进一步建议

　　1．本地安全策略设置过程中不注意的话，会产生比较大的麻烦。一个例子：

　　单位一台运行 Windows 2000 Professional的机器，用户设置时出错，在“本地策略”中，把“用户权利分配”的“拒绝本地登录”项目设为“Users,Guests,EveryOne”。导致注销后用户无法再次登录，系统提示“无法进行交互式会话”。设置项包含“EveryOne”使得所有账号都被禁止登录。 

解决办法：Windows 2000将当前本地安全设置的数据记录存放在Windows系统目录system32下的config目录中，文件名SECURITY，只有将它修改正确才能正常登录。为简单起见，用系统初始配置覆盖它。由于机器使用FAT32格式，采用干净的Win98软盘启动，将Windows目录repair子目录下的SECURITY文件拷贝到config下覆盖出错文件。登录正常。正确设置如下图：

src="http://www.it.com.cn/f/edu/0411/28/110539.jpg">

 

　　如果机器使用了NTFS格式，就必须用Windows 2000 安装软盘或者安装光盘启动。为了防止类似故障发生后一时找不到启动盘，难以快速解决问题，可以应用Windows 2000 故障恢复控制台特性。

　　2．Windows 2000故障恢复控制台

　　Windows 2000 故障恢复控制台是命令行控制台，可以从 Windows 2000 安装程序启动。使用故障恢复控制台，无需从硬盘启动 Windows 2000 就可以执行许多任务，可以启动和停止服务，格式化驱动器，在本地驱动器上读写数据（包括被格式化为 NTFS的驱动器），执行许多其他管理任务。如果需要通过从软盘或 CD-ROM 复制一个文件到硬盘来修复系统，或者需要对一个阻止计算机正常启动的服务进行重新配置，故障恢复控制台将特别有用。由于故障恢复控制台非常强大，只有通晓 Windows 2000 的高级用户才能使用。此外必须是管理员才有权使用故障恢复控制台。 

可以从 Windows 2000 安装磁盘或者 Windows 2000 Professional CD 运行故障恢复控制台。作为备用选择，可以在计算机上安装故障恢复控制台，以便在不能重新启动 Windows 2000 时解决问题。这时只需从引导菜单上选中 Windows 2000 故障恢复控制台选项即可。在启动故障恢复控制台后，必须选择要登录的驱动器（如果有双重引导或者多重引导系统）且必须用管理员密码登录。

　　故障恢复控制台提供了一个命令行，这样在 Windows 2000 不启动时，就可以更改系统。一旦运行故障恢复控制台，在命令提示符下键入“help”可获得关于可用命令的帮助。要重新启动计算机，键入 exit 关闭命令提示符窗口。

　　将故障恢复控制台安装为一个启动选项，以便在计算机无法重新启动时，可以运行。安装为启动选项的方法：以管理员或具有管理员权限的用户登录 Windows 2000。将 Windows 2000 Professional 光盘插入 CD-ROM 驱动器。如果提示升级到 Windows 2000，单击“否”。 从命令提示符下（或从 Windows 2000 的“运行”命令框内）键入指向相应 Winnt32.exe 文件（在Windows 2000 光盘内）的路径，后跟一个空格和 /cmdcons 开关选项。例如：

　　　　e:\\i386\winnt32.exe /cmdcons

　　遵循出现的提示操作。

　　故障恢复控制台安装在根文件夹下 \Cmdcons 文件夹内，包括根文件夹中的Cmldr 文件。Boot.ini 文件内包含故障恢复控制台的启动条目。

　　在Windows 2000的安全性无疑很高，但是，如果日常使用中不加注意的话，漏洞仍然存在，比如那些源自用户自己的问题。对于一般用户，笔者建议将控制面板的管理工具中的本地安全策略隐去，以免发生使用不当的问题。确实需要时可以从命令行[命令格式：c:\winnt\system32\secpol.msc /s]启动本地安全策略设置。


 
 

     微软的 Windows 2000 是一个界面漂亮、稳定、快速的系统平台，并且随着微软 .NET 战略的实施，用户也是越来越多。众所周知 Windows 对系统资源的消耗巨大,内存少了更是跑不动。从各种内存整理、系统优化工具的普遍流行便可见一斑。本文从另外的方法和角度优化 Windows 2000 。旨在抛砖引玉，希望多提供一种方法供大家应用。也希望大家能谨慎地应用本文提供的方法，作者对可能造成的任何不良后果不承担任何责任。但也不用过于担心，文中提到的修改基本都不会引起太大的麻烦，只要小心谨慎即可。下面要谈论的就是通过关闭一些不必要的后台运行的服务程序来释放系统占用的内存，以提高系统运行的效率。

　　关于服务程序

　　本文涉及的系统服务是指一些运行在后台的 Windows 2000 应用程序，其中一些随 Windows 启动而自动运行以便在需要到时候提供系统服务支持（Windows 2000 基于NT构架）。它们和其他一些后台应用程序非常相似,例如病毒防火墙等。其中最主要的区别就是它们随着 Windows 2000 一起安装并作为系统的一部分提供单机或网络服务的。通常，即便在我们做过一些系统优化或清理工作之后，仍然有许多系统服务程序已经在默认的情况下在后台运行。我们就先来了解一下微软的“计算机管理”，然后看看那些有服务程序在后台运行。

　　计算机管理

　　W2K 带来了一个可以访问所有重要系统效能的工具，叫做微软管理控制台（Microsoft Management Console，MMC）。你可以多种方式启动管理工具：

　　1. 可以从 “开始－设置－控制面板－管理工具－计算机管理－服务和应用程序－服务” 来启功；
　　2. 或者右键单击桌面 “我得电脑” 图标，选择“管理”。接着，选择“服务和应用程序－服务”下拉菜单可以看到系统服务列表；
　　3. 另外也可以通过“开始－设置－控制面板－管理工具－服务”查看。

通过上面介绍的方法启动系统服务管理，你便可以看到一个长长的系统服务列表。仔细观察就会发现并非这些所有服务都已经启动。在“启动类别”可以看到服务是否已经激活，是“手动”启动还是当进入 Windows 2000 时“自动”启动。在任一个服务上双击鼠标（或鼠标右键单击，选择“属性”），就可以看到服务属性窗口，里面有关于此项服务的更多的细节，例如 “名称”、“描述”、“登陆类型”、“依存关系”“执行路径”等等。

　　如果不希望某项服务运行，你可以有两个选择：彻底禁用它，使它不能够再访问；或者你可以在属性的“启功类型”中设置为“手动”，之后就不会在每次进入 Windows 时自动启动并且在万一需要的时候还能通过手动启动激活。这样，我们可以简单的使用 MMC 管理服务并改变“自动”为“手动”模式。现在，我们就来看一下通常有那些服务项目，并且我们应该让它不在进入 Windows 时自动启动了。

　　如果你查看列表后发现有些提到的服务并没有出现在列表当中，也不用担心，因为不同的版本、安装方式，结果都会有些细微的不同。同样，如果列表中的服务在这里没有提及，你可以双击并通过属性窗口查看更多的信息。但是要小心！我们并不想破坏系统的功能或稳定。如果你不能确定或者认为系统也许还需要此项服务，就把它放到一边吧。为了一点额外的内存冒风险是不值得的。同时如果你发现你已经禁用了一个你需要的服务，你随时都可以按照同样的步骤重新激活服务。

　　下面就列出了其中的一些系统服务项目：

　　Alerter：通知所选用户和计算机有关系统管理级警报。如果你的电脑是单独的平台（未联网使用），就可以关闭它；如果你的机器在局域网联网，询问系统或网络管理员是否应该使用或关闭。

　　DHCP Client：通过注册和更改 IP 地址以及 DNS 名称来管理网络配置。如果你的机器不需要联结本地局域网的 DNS 服务器，例如 Cable Modem 或办公局域网，你可以关闭它。好像，如果关闭无法上网了……？

　　Indexing Service：本地和远程计算机上文件的索引内容和属性；通过灵活查询语言提供文件快速访问。这项服务缺省并没有激活，你可以激活它。这将会创建你硬盘上文件和文件夹的索引文件，尤其是硬盘上的文件又多又乱的时候，可以加快每次搜索的速度。如果你并不是经常的使用搜索，你可以让它保持缺省状态。

　　IPSEC Policy Agent：管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。这项服务是关于 IP 安全的。除非你打算在你的电脑上建立虚拟个人网络（VPN，Virtual Private Network），否则你可以关闭它。

　Messenger：发送和接收系统管理员或者“警报器”服务传递的消息。如果你关闭了前面提到的 Alerter 服务，同样可以关闭 Messenger 服务了。

　　Print Spooler：将文件加载到内存中以便迟后打印。如果你没有打印机和者根本不从本机器打印文件，别客气，关闭吧。也许，有些应用程序需要它，那你就再使它自动激活。

　　Remote Registry Service：允许远程注册表操作。如果你不想远程访问或修改注册表，就关闭吧。

　　Removable Storage（Manager）：管理可移动媒体、驱动程序和库。如果你不使用如磁带、Jaz、Zip、SyQuest 或其他可移动驱动器，你可以关闭它。

　　RunAs Service：在不同凭据下启用启动过程。如果你不使用别名（例如一个不同的用户）运行程序，你可以关闭它。

　　Telephony：提供 TAPI 的支持，以便程序控制本地计算机，服务器以及 LAN 上的电话设备和基于 IP 的语音连接。如果你不使用任何程序建立语音连接，例如 Netmeeting，或者网络电话等，你可以关闭它。

　　总结：

　　笔者在自己的机子上，将上面所有的服务改为“手动”后分别重新启动电脑测试，记录改动前后的内存变化，大概可以多5－6MB内存（注：使用的是系统任务管理器观察可用内存，结果可能并不准确）。当你禁用某项服务时要小心。如果你不能确定，就别动它。最好是能够记录每次的改动，以便顺利恢复。同时最好一次只改动一项服务，并且运行系统一段时间看看是否和以前一样，这样都会有助于及早发现和解决问题。

 

 

    第一：怎么装

　　一、 版本的选择

　　笔者强烈建议：在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以”漏洞加补丁（Bug & Patch）”而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的服务器还会有半个月处于无保护状态）。

　　二、 组件的定制

　　WIN2K在默认情况下会安装一些常用的组件，但是正是这个默认安装是非常危险的，根据安全原则”最少的服务+最小的权限=最大的安全” ，只安装确实需要的服务即可。这里特别提醒注意的是：”Indexing Service”、”FrontPage 2000 Server Extensions”、” Internet Service Manager”这几个危险服务。

　　三、 管理应用程序的选择

　　选择一个好的远程管理软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。WIN2K的Terminal Service是基于RDP（远程桌面协议）的远程控制软件，它的速度快，操作方便，比较适合用来进行常规操作。但是，Terminal Service也有其不足之处，由于它使用的是虚拟桌面，再加上微软编程的不严谨，当你使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现哭笑不得的现象，例如：使用Terminal Service重启微软的认证服务器（Compaq, IBM等）可能会直接关机。所以，为了安全起见，建议再配备一个远程控制软件作为辅助，和Terminal Service互补，如PcAnyWhere就是一个不错的选择。

　　四、 分区和逻辑盘的分配

　　至少建立两个分区，一个系统分区，一个应用程序分区。这是因为，微软的IIS（Internet Ihformation Server）经常会有漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏，甚至让入侵者远程获取管理权。

　　推荐建立三个逻辑驱动器，第一个用来装系统和重要的日志文件；第二个放IIS；第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。

　　五、 安装顺序的选择

　　不要觉得只要能装上系统，就算完事了，其实WIN2K的安装顺序是非常重要的。

　　首先，要注意接入网络的时间。WIN2K在安装时有一个漏洞，就是在输入Administrator的密码后，系统会建立”$ADMIN”的共享，但是并没有用刚输入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过”$ADMIN”进入系统；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。因此，在完全安装并配置好WIN2K Server之前，一定不要把主机接入网络。

　　其次，注意补丁的安装。补丁应该在所有应用程序安装完之后再安装，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁的话可能无法起到应有的效果。

    第二：怎么设

　　即使正确地安装了WIN2K Server，系统也有很多漏洞，还需要进一步进行细致的配置。

　　一、 端口

　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。

    二、 IIS

　　IIS是微软的组件中问题最多的一个，平均两三个月就要出一个漏洞，而微软的IIS默认安装又实在不敢恭维，所以IIS的配置是我们的重点。

　　首先，删除C盘下的Inetpub目录，在D盘建一个Inetpub，在IIS管理器中将主目录指向D:\Inetpub。
　　其次，把IIS安装时默认的scripts等虚拟目录也一概删除，如果你需要什么权限的目录可以以后再建（特别注意写权限和执行程序的权限）。

　　然后是应用程序的配置。在IIS管理器中把无用映射都统统删除（当然必须保留如ASP、ASA等）。在IIS管理器中”主机→属性→WWW服务编辑→主目录配置→应用程序映射”，然后开始一个个删吧。接着再在应用程序调试书签内，?quot;脚本错误消息”改为”发送文本”。点击”确定”退出时别忘了让虚拟站点继承刚才设定好的属性。
　　最后，为了保险起见，可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果怕IIS负荷过高导致服务器死机，也可以在性能中打开CPU限制，如将IIS的最大CPU使用率限制在70%。

　　三、 账号安全

　　首先，WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到你的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接，实际上WIN2K的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有这样的选项RestrictAnonymous（匿名连接的额外限制），其中有三个值：

　　”0″：None， Rely on default permissions（无，取决于默认的权限）

　　”1″：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM账号和共享）

　　”2″：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）

　　”0″这个值是系统默认的，没有任何限制，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等，对服务器来说这样的设置非常危险。”1″这个值是只允许非NULL用户存取SAM账号信息和共享信息。”2″这个值只有WIN2K才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为”1″比较好。

    四、 安全日志

　　这里需要注意：WIN2K的默认安装是不开任何安全审核的！那么就应该到”本地安全策略→审核策略”中打开相应的审核，这里需要说明的是，审核项目如果太少的话，你万一想查看的时候发现没有记录那就一点办法都没有，但是审核项目如果太多，不仅会占用大量的系统资源，而且你也可能根本没空去全部看完，这样就失去了审核的意义。推荐的审核如下：

　　”账户管理”、”登录事件”、”策略更改”、”系统事件”、”账户登录事件”需要把”成功”和”失败”都打开；”对象访问”、”特权使用”、”目录服务访问”就只打开”失败”。

　　与之相关的还有，在”账户策略→密码策略”中设定：”密码复杂性要求启用”，”密码长度最小值6位”，”强制密码历史5次”，”最长存留期 30天”；在”账户策略→账户锁定策略”中设定：”账户锁定3次错误登录”，”锁定时间20分钟”，”复位锁定计数20分钟”等。

　　Terminal Service的安全日志默认也是不启用的，可以在”Terminal Service Configration（远程服务配置）→权限→高级”中配置安全审核，一般来说只要记录登录、注销事件就可以了。

　　五、 目录和文件权限

　　为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全敞开的（Full Control），你需要根据应用的需要进行权限重设。在进行权限控制时，请记住以下几个原则：

　　1. 权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。

　　2. 拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。

　　3. 文件权限比文件夹权限高。

　　4. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。

　　5. 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。

　　6. 预防ICMP攻击：ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，WIN2K自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

    第三：要注意

　　实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。

　　网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这里有个误区，我们只能说一台主机在一定的情况下一定的时间内是安全的，随着网络结构的变化、新的漏洞的发现、管理员和用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。