[微軟] Exchange Cluster with iSCSI

Exchange Cluster 建置 2003 base

1. 四台電腦，一台DC，兩台Server，一台iSCSI target
2. 另外準備兩顆磁碟，仲裁和資料碟
3. 建立DC
4. 兩台Exchange Server基本設定完成後加入網域
    i.三張網卡，一與網域通，二監控對方server，三連接儲存媒介
   ii.請安裝iSCSI initiator
5. 建立儲存媒介，安裝WinTarget並設定
以上基本設定結束，以下為了怕被干擾，要確實關機

6. 請確定節點二關機，設定節點一與儲存媒介的連線
    發現、登入、格式化、給代號

7. 請確定節點一關機，設定節點二與儲存媒介的連線
    發現、登入、給代號(請勿格式化了)

8. 請確定節點二關機，開始設定叢集
    此時叢集要去DNS註冊一個IP，所以要稍微注意一下

9. 開啟節點二，加入叢集

10. 設定叢集內網路的資源。優先順序、網路型態

11. 測試叢集資源轉換是否正常，並分別在兩個節點安裝，Exchange必要原件

12. 在"叢集群組"內新增DTC(分散式交易協調器)，依存: 叢集名稱、仲裁磁碟

13. 開始安裝Exchange，請確認第一台安裝完畢再安裝第二台
      安裝完成後，Exchange服務都不會啟動，可以去確認一下

14. 創新叢集群組，並確認所有資源都在同一群組內
      資源: IP address、Network name、Physical disk、System Attendant
      IP address 和 Physical disk 沒有依存
      Network name 依存於 IP address
      Microsoft Exchange System Attendant 依存於 Network name 和 Physical disk
      其他Exchange相關的服務依存於 System Attendant

15. Network name 和 Physical disk先上線，Attendant 都確認後也上線

16. Finshed


PS 請先確認叢集安裝後再安裝服務
      如果先有服務，在設定叢集會怎麼樣，我也不知道
      想試，等有時間吧

[微軟] Exchange 部署方式

發送面
• 各自獨立
Exg1 → 雲雲雲雲雲雲
Exg2 → 雲雲雲雲雲雲
Exg3 → 雲雲雲雲雲雲雲
每一台伺服器各自獨立，直接面對外面的雲，所以受到攻擊的風險比較高
• 指向智慧主機
Exg1 ↘
Exg2 →SMTP Relay → 雲雲雲雲雲
Exg3 ↗
所以Exg對外發送的郵件都丟改SMTP代理去轉送，所以隔開了外部網路和內部網路
不過每一台Exg都要自行設定所指向的智慧主機，有三台就要設定三次

• 設立Bridgehead Server
Exg1 ↘
Exg2 → 雲雲雲
Exg3 ↗
Exg2是橋頭伺服器，一樣隔開了內外部的網路，但只要在Exg2設定一次所有機器都套用


接收面
• 各自獨立
Exg1 ← 雲雲雲雲雲雲
Exg2 ← 雲雲雲雲雲雲
Exg3 ← 雲雲雲雲雲雲雲
使用者會知道自己的信箱在哪一台伺服器上面，但MX隨便一台都可，AD會自動轉網址

• 由智慧主機接收
Exg1 ↖
Exg2 <-- SMTP Relay ← 雲雲雲雲雲
Exg3 ↙
透過SMTP代理去接收，隨透過哪一台都一樣，AD會去幫你找相對應的信箱，所以會有虛線

• 設定前端伺服器
Exg1 ↖
Exg2 ← 雲雲雲
Exg3 ↙
前端和橋頭伺服器是不一樣的，一旦設定為前端，
很多功能就不能用，EX:離線通訊清單不能由此發放。
外部透過http/https運用OWA的方式來收信，
前端會先去後端抓資料，再送給OWA使用者。
而前端與後端正常的溝通是用http就可以了，內部不用加密。
且網址統一為Exg2的FQDN，使用者在使用上比較不會納悶。
缺點是Outlook用這種方法會有問題

[微軟] 用IIS架設網站

Internet Information Services, IIS

以2003為基礎。IIS server最好為靜態IP，也請再DNS server建立相對應正解，網頁的根目錄最好存放在NTFS磁碟分割區。

Step1. 開始 --> 控制台 --> 新增或移除程式 --> 新增/移除 Windows 元件
Step2. 點選Application Server
Step3. 勾選IIS後安裝


預設的網站右鍵內容  先介紹一下裡面的幾種設定

主目錄 --> 這台電腦上的目錄
    這邊就是網頁在本機的目錄

主目錄 --> 另一台電腦上的共用位置
    請打上UNC，並點取右邊的使用者名稱，設定連結的帳號密碼，此時不管是否兩台電腦擁有相同帳號及密碼，還是請大家把勾勾拿掉，從新輸入擁有資料夾來源端相對權限的帳密。如下圖

主目錄 --> 某個URL重新導向
    使用時機是在網頁維修的時候，就自動導向某一特定網頁

主目錄 --> 應用程式設定值
    如果有要跑ASP的一些東西，執行權限請選擇 "僅指令碼"

文件 --> 啟用預設內容頁
    預設網頁會優先跑的檔案名稱，依個人喜好高興就好

文件 --> 啟用文件頁尾
    大家可以研究一下yahoo網頁的最後一段，每一頁都有，每一頁都一樣，這邊的文件頁尾有點類似，只是有點類似，不過網頁設計師並不會真的勾選這選項，不加贅述，有興趣的人可以問網頁強者。


實體目錄和虛擬目錄

實體目錄為主目錄下設定的路徑下的所有目錄都稱之，本機或另一台伺服器都算是實體目錄，只要是根目錄以下非虛擬目錄的都算之。
而虛擬目錄是運用連結的觀念，讓使用者可以透過這個目錄，去開啟不是存在根目錄之下的目錄，或者縮短根目錄底下複雜連結的對應，在做連結的時候，相對的權限也會被賦予，所以不會有權限不對的問題。
虛擬目錄的建置，他可以是本機任何一個地方的目錄，當然也可以是網頁根目錄裡的目錄；運用最廣的莫過於虛擬其他台伺服器的目錄，建置會要求輸入來源端的帳號密碼，也請拿掉勾勾乖乖輸入。


建立新網站

如何在同一台機器上面建立新網站，有三個判斷的值至少要一個不一樣

1. 主機標頭名稱
    請先在DNS伺服端再註冊一個FQDN。特別要注意如果使用主機標頭名稱來建立後，就無法使用IP連線，因為無法正常判斷要給哪個網頁，

2. IP
    利用IP的話要先在網卡上面多增加一組IP，如何增加，先到設定IP的地方點選進階，如下圖

3. TCP連接埠
    運用連接埠的方式是在設定上最輕鬆的，不過一些工作卻默默的轉嫁給使用者，因為在鍵入網址的時候必須一同帶上連接埠號碼，如1234那連結就要寫 http://nlb.ying.com:1234/，不寫預設就是80。


回來繼續介紹預設網站右鍵內容的設定

目錄安全設定 --> 驗證及存取控制 --> 編輯

匿名驗證
    勾選匿名存取就可以了，使用者名稱和密碼是在安裝IIS的時候就會自動在本機建置，密碼是什麼應該是沒有人知道，不過可以用使用者管理去強制修改，不用怕刪掉打不回去。

基本驗證
    明碼傳輸，請搭配SSL才能確保帳密有加密。

摘要式驗證
    經過MD5加密，IIS必須是網域內的伺服器或DC，使用者必須是與IIS同一網域或信任的網域，這邊比較麻煩的是，要去AD修改使用者密碼的屬性，如下圖。特別注意打勾勾後再重新設定密碼才會生效。

整合式Windows驗證
    一言難盡，安全性最高，好處多，限制也多。引用一篇有興趣的可以參考參考，http://ccie11440.blogspot.com/2008/07/windows-integrated-windows.html

[NAT] 用虛擬機器跑兩個網段

Virtual Server 2005 R2 建立兩個網段 (Server 2003 BASE)


假設還是以不增加HOST的負擔為原則，先用差異化硬碟準備三台虛擬機器，名稱分別為，LAN1_Server、LAN2_Server、Router。(每台NewSID記得跑一下)

接著再準備三個網路，這邊大家要注意一下網路和網卡的分別，Virtual Server裡面 虛擬網路 的選項，我們所建立的是一個網路，而不是網卡，這三段網路名稱分別為 WAN、LAN1、LAN2，如下圖

這邊請大家注意一下WAN這個網路請指向實體網路的那張網卡，我這邊是用MS Loopback Adapter，所以記得要去開HOST的網路分享，虛擬機器才能透過這張卡連出去，網路是用預設192.168.0.0/24這個網段的，大家的VM都是跑這段的現在都是跑這段而已，但是我們有些實驗要兩個不同的網段，然後LAN1、LAN2網路請指向 無(只適用虛擬)，接著請依下圖分別把每一台電腦設定上網卡，這邊請注意Router這台機器連接三個網路，且每個網路會自動配發一張網卡

LAN1_Server、LAN2_Server請分別連上網路LAN1和LAN2，並且自動配上一張網卡
前置作業大概就是這樣，接著先我們打開LAN1_Server、LAN2_Server，分別設定一下網路環境，


LAN1_Server

IP 192.168.111.1
子網路遮罩 255.255.255.0
預設閘道 192.168.111.254
DNS 192.168.111.254
LAN2_Server

IP 192.168.222.1
子網路遮罩 255.255.255.0
預設閘道 192.168.222.254
DNS 192.168.222.254


LAN1_Server使用192.168.111.0/24這個網路；LAN2_Server使用192.168.222.0/24這個網路，這邊順便說一下那個IP我是隨便選的，大家高興用哪個就用哪個，不要跟預設閘道衝就好，DNS伺服器由於這個網路裡面還沒存在，都先只到預設閘道吧，統一一下，下圖大家參考一下

接著我們做一次ping對方的動作來看看這樣設定網路會不會對通，答案是不通的，所以LAN1和LAN2是無法對連的，那是否可以對外連出去呢?我們來試試看 #ping 168.95.1.1 當然是不行的，我不擷圖了，省省板面。
問題我就就一個一個來解決。首先是兩個網路如何互聯，請大家打開第三台Router那台，要開始做一些簡單的安裝和設定，用2003當個簡單的Router

打開電腦網路設定看到的是三張網卡，看到沒有驚嘆號的那張就是連到WAN這個網路的網卡，為什麼會是可以通的狀態，因為ICS會開DHCP

那我要如何知道剩下兩張卡，哪張是對應到LAN1? 哪張是對應到LAN2?

這不能搞混，搞混會弄不出來，所以請大家看回去Router的編輯組態，網卡的部分有卡號，那就請大家#ipconfig /all 比對一下然後順便改個名字，未來好區分。設定一下LAN1和LAN2這兩張網卡，IP請填上兩個網路的預設閘道，注意一下，這邊的預設閘道不用填，如下圖，

請大家確認一下LAN1_Server可以ping到自己網路的預設閘道，LAN2_Server也可以ping到自己網路的預設閘道，大家如果有閒的話可以再確認一次LAN1_Server和LAN2_Server是無法互聯的，但是卻可以Ping到Router所有網卡，不過就是過不去另外一個網段連到彼此。

接下要讓這兩個網路彼此可以互通，我們先在Router這台機器安裝遠端存取隔離服務，新增/移除windows元件 --> Networking Services --> 遠端存取隔離服務
安裝完成後，請開啟系統管理工具 -->遠端及路由存取

會出現下面警告視窗，因為是2003的關係才會出現

請到 服務 停用且停止Windows Firewall/Internet Connection Sharing(ISC)，再來一次重複上面的動作，接著會出現可愛小精靈，他會導引一切，這邊請大家選自訂設定，接著下一步後，請勾選第五個 LAN路由，最後成功的畫面，會有綠綠的箭頭。192.168.111.1可以是ping到192.168.222.1，兩個網路這樣就通了。

大家可以參考IIS那本的第十一章，那是寫給2008的，跟2003沒有相差太遠，差最大的就在那個警告要關閉Firewall和ICS的視窗，這篇的重點在於網卡的配置，可能有些人會把網路和網卡搞混了，因為在VM的環境有時候真的比較難去想像。至於那張WAN，請大家參考IIS那本的第十二章，NAT的設定，因為這兩個網路還是沒辦法連到Internet的，所以需要開啟NAT就由這張WAN這張網卡對外連線，不過兩個網路通了就可以做很多事情，


像是DHCP Relay Agent、WINS proxy、SMTP to SMTP等等。



不同的虛擬軟體之間的差異
順便補上為什麼Virtual Server 2005 R2會比較不好想像，因為他是建立網路，可是沒跟你講是哪一段，所以進去亂設自己高興選取的就可以了，很自由的發揮，不過同一網段的基本要一樣的就要一樣，要不然也不能通

VMware的架構就比較嚴謹，因為你要先切好網段，電腦才能去選擇網段並建立網卡

在資策會的一些心得

我們所學的知識是片斷的，而串聯這些片段的知識那才是智慧，

靜下心來看，資策會的課程是很有條理的，

乍看之下只有三個不相關階段，其實不然，

光是微軟作業系統的階段裡卻都有著循序漸進觀念在裡面，

劉老師細心的教學，環境適應的練習，奠定的是知識的基礎，

我們是踩著這些基礎一躍而入戴老師的教學，

戴老師所授課的各類似服器，就有點像是片斷的知識，

但知識貴不在學，而是在運用的淋淋盡致，

最後的MS Lab，那就是考驗著我們是如何去運用智慧串聯這些知識，

這智慧是老師所教不來的，是要用心去體會、去感受、去學習的，

用"熬"這個字或許太辛苦，但成敗與否其實真的不是重點，

應當把焦點落在自我邏輯的昇華和錯誤的修正，

所以

中油為大家加油  請大家幫台灣加油

不小心幫中油打廣告了。沒有啦! 主要是"大家加油"這四個字

PS 只講了一個階段  等到linux我在掰下去 
      為什麼MSLab會和linux有著循序漸進的關係

[DHCP] DHCP Relay Agent, DHCP轉接代理

環境設定
Router(MS bulid-in)
network1 192.168.2.0/24
  MAC address: 00-0C-29-32-38-2D
  IP address: 192.168.2.2
network2 192.168.3.0/24
  MAC address: 00-0C-29-32-38-37
  IP address: 192.168.3.2


2003sub1: DHCP Server
  MAC address: 00-0C-29-7F-11-CD
  IP address: 192.168.2.10

2003sub2: DHCP Relay Agent
  MAC address: 00-0C-29-DA-1D-A6
  IP address: 192.168.3.10

XPsub2:    Test machine for gaining the DHCP IP
  MAC address: 00-0C-29-D1-09-F0
  IP DHCP yes

下面分別是對兩個網段DG所監測的封包，長這樣

network1

network2

從網路1可以很明顯的看到DHCP的標準四個封包

接著網路2可以看到代理的功能

會發現相同性質的封包基本上都會有兩個

一個會先跟網路1的DHCP Server聯絡

一個會跟自已網段的聯絡

就像老師說的房屋仲介的感覺

詳情我就不贅述  看IP不是很準  中間經過router了

MAC比較容易看出流程

多看封包吧  troubleshooting會快些

[DHCP] DHCP運作原理與封包

全名: Dynamic Host Configuration Protocol
課本所寫的四個封包  打開來看就是這樣，大家點小圖可以看大圖

1. DHCPDISCOVER

2. DHCPOFFER

3.DHCPREQUEST

4.DHCPACK

這邊我就沒有抓續約的封包了  有空大家自己試試看應該只會抓到一組

Automatic Private IP Addressing, APIPA的封包在DHCP還沒起來的情況下會特別多

這邊要特別註明，如果沒有DHCP伺服器，大家都會被配到APIPA，不管是XP或者2003都一樣會被配置到，不要誤會只有2008和VISTA會被配置到APIPA，下面那張圖是網段內的2003

DHCP的服務定義是只要在相同網段內都會接受此服務，所以那天和家福學長疑問的地方補充一下。課本有寫得很清楚，整個網段如果沒有DHCP伺服器，那網域外架的DHCP伺服器依然可以服務網域內的，既使未經授權也可(網域外要怎麼授權)；而網域內如果有的DHCP伺服器，那網域外的伺服器就會停擺，在此子網段中由網域內的DHCP伺服器接手，不過簡單來說網域外的client也可以享有DHCP的服務，因為是用相同網段區分的，封包打開來看就很容易了解，因為廣播包的關係，簡單來說的話當然有進階設定啦。

DHCP轉接代理就留在下一篇.........

[微軟] 解NTFS Permissions

1. 用管理等級帳號改人家的密碼
    鳥招，一定會被發現

2. 拿擁有權
    好招，2000以前不是好招  因為還不回去

3. LC5
    神招，沒用過

4. 運用2003以前的backup系統
    賊招，還原到FAT32磁碟就解開了，或者還原時改掉安全性的選項

主要是提醒第四個，運用還原的技術去處理，所以備份的東西要小心保管
流露出去就是沒救，權限設定在漂亮也徒然，反正一解就破

最後提醒一下，遠端備份是無法備份EFS加密文件的，
所以想破EFS還是請拿Administrator的鑰匙去本機開吧。

[微軟] Distributed File System, DFS 分散式檔案系統

最沒心得的章節，第一卡在2003防火牆很煩，
至少現在我的能力只知道全關後會通，書上有寫可以單通就好，
試了N次根本沒這回事

系統要求太多，架設不困難，但環境讓他很難
有空再練練吧
因為DFS有運用價值，主要還是load balance的出發點

[微軟] 磁碟管理

What's the difference between MBR and GPT?

MBR is the standard partitioning scheme that's been used on hard disks since the PC first came out. It supports 4 primary partitions per hard drive, and a maximum partition size of 2TB.

GPT disks are new, and are readable only by Windows Server 2003 SP1, Windows Vista (all versions), and Windows XP x64 Edition. The GPT disk itself can support a volume up to 2^64 blocks in length. (For 512-byte blocks, this is 9.44 ZB - zettabytes. 1 ZB is 1 billion terabytes). It can also support theoretically unlimited partitions.

quote from  http://www.tomshardware.com/forum/233291-32-what-difference


Primary, Extended and Logical Partitions

一個硬碟最多就只能切出四個primary partitions剩下沒切完的空間就不能再切了，如果切出不只四個partitions就請用使用extended partitions，在extended partitions裡面可以切n個logical partitions 
在2008磁碟管理內建只要切完三個primary partitions剩下的空間會被自動切進去extended partition
而2003是可以自由選取要在第幾個partition去切割extended partitions，就結果論來說MBR最小切割不是8MB而是16MB，GPT最小切割才是8MB，下面補一張有趣的圖，

 142個就懶得建了，不知道還能建立幾個，不過只是建立，mount也好，給他磁碟機代號也好，我不知道可用的有幾個，我好像有印象老師上課是說最多只能切primary partitions和logical partitions總共64個，記錯請原諒我，不過真的可以切超多個的。用diskpart切


Shrink & Extend disk
Shrink是2008新的功能  2003只能做extend   系統分割區也可以shrink


動態磁碟的管理

1.Spanned volume
   作跨距的時候最讓人納悶的是，儲存方式明明就是要先將第一個硬碟配發的空間用完，才會存到下一個硬碟所配發的空間，但是如果損壞一顆就整個spanned volume全毀，沒容錯就夠悶了，還會因為壞一顆其他顆也不能抓資料；另外spanned volume不能做 raid 0 1 5，所以現在硬碟夠大世界裡spanned volume實用價值等於0。
2.Striped  volume
   RAID 0的概念，換個名詞而已，存取速度可大大提升，FTP用這個超好的，大型的網頁伺服器這也不錯用，但是因為沒有容錯功能，所以技術上會搭配上RAID 1形成 RAID 0+1，最好使用屬性相同的硬碟，屬於高成本的磁碟管理策略
3.Mirrored volume
  RAID 1的觀念，從名詞也顯而易見，可以包含boot volume和system volume，讀取效率可大幅提升，但儲存就還好。整體感覺mirrored volume跟distributed file system很像
4.RAID-5 volume (Stripe Set With Parity)
  不多介紹，就是RAID 5，可用容量n-1/n，和RAID 1的50%有所不同，但同時兼具容錯，所以算是比較低成本的磁碟管理策略

[微軟] Roaming User Profile 漫遊使用者

Roaming & Mandatory User Profile

之前一直想不到要用什麼方法去解釋Roaming
後來昨天被問突然想到可以用租屋子的角度去解釋

假設今天我到中壢讀書  打包打包行李然後到宿舍打開
宿舍就有點像是大環境  電腦硬體和軟體
然後自己的牙膏牙刷等生活用品  就是自己的設定檔
床罩就有點像是桌面  鋪上去就是自己床了  開心
然後我今天在中壢所學有成  去台北工作
打包打包 這些生活用品阿  然後checkout
當然在中壢住宿的過程中間 
有可能多些衣服之類可以打包的東西
也有可能丟了一些鞋子之類的
不過全部能帶走的都帶走
到台北的宿舍打開來又是熟悉的環境
最後功成身退  衣錦還鄉  打包打包回家去
包包打開又是自己熟悉的環境

自己的環境跟著自己的行李跑
漫遊使用者的設定檔跟著使用者跑

以上是我的淺見  說不定有人有更好的比喻  懇請賜教

技術設定的部分

漫遊使用者
網域中指定使用者設定檔為Profile伺服器
漫遊使用者的部分就結束了

強制使用者
主要還是在NTUSER.DAT改成NTUSER.MAN
兩種方法  可能不只
但是都是有關權限的問題

這邊補上一個常犯的錯誤  如果是用戴老師書上作法是絕對沒問題的
用劉老師的作法  在奪取擁有權的時候會有點問題
要做強制使用者的資料夾右鍵 --> 安全性 --> 進階  --> 擁有者
    取代子容器與物件的擁有者(R)
這個選項請不要打勾  勾了等於白做了
權限問題  大家自己可以想一想為什麼

正常沒勾選址奪取資料夾的擁有權  也就是只多了permission指派的權利

但mtest還是在名單內且full control  如下圖

如果不幸勾選了  結果如下圖

mtest連最基本的read權限都被沒收了 

NTFS與共用資料夾取最嚴格   所以自然而然就白做工了

最後提一下  簡單來說登入後一定會在本機留下檔案
所以通常會搭配使用者的主資料夾
檔案都存在網路磁碟  而非使用者設定檔的資料夾

我在想有沒有辦法可以在登出後自動刪除本機的檔案
.....
在學習一陣子看看吧  先留一個問題給自己

[微軟] 印表機

Server端

2008
新增角色 --> 列印服務 --> 網際網路列印順便勾 --> 下一步到安裝
2003
新增元件 --> Management and Monitoring Tools --> 列印管理元件(要有R2)
新增元件 --> Application Server --> IIS 點進去 --> 網際網路列印

實體新增 2008 必須屬於administrators 2003Power Users以上就可
安裝實體時 如有要共用 2008的共用名稱會是印表機的型號
2003則是取印表機型號的前8碼 為了相容DOS等早期產物
USB的不用他會自動驅動 所以不用怕沒有驅動程式 沒有會自動上網抓

網路介面印表機
因為是連上網際網路的
所以可以不用透過server也可以使用 比如直接從網咖打IP

一般來說 誰建的擁有者就是誰 可是2008的擁有者是system
\\hostname\print$ --> C:\windows\system32\spool\drivers 共用隱藏
上述是比較特別的資料夾  有空去看看
 
 
 
Client端
 
1. 群組原則將共用印表機部屬
    卡了  會這麼說  是因為驅動程式的問題........(一言難盡) 

2. 網路(2008)/網芳(2003)連結
    打開網路/網芳 --> 右鍵 --> 連線 印表機裡面就找得到了

3. 新增印表機精靈(喔喔 小精靈)
     i. 用AD找
    ii. 鍵入  UNC file://server_name/printer_name
4. 網頁瀏覽器
    * 這個要在Server上弄上IIS網路印表機服務
    http://server.sys.com/printers/ 會看到所有該Server的共用印表機

5. 最懶的方法  列印的時候再做選取的動作就好


附註
印表機的進階設定
    1. Priority (by user's promission)
    2. Time for work
    3. Printer Pool  (型號要相同ex:彩色和黑白擺在一起就.....)
        *這要特別注意Printer Pool是無法指定哪台印表機的

有通則的大概就這些東西

[微軟] NTFS不同於FAT的幾個點

NTFS Permission  (cumulative & deny has highest priority)
  1. Traverse folder/Execute file
  2. List folder/Read data
  3. Read attributes
  4. Read extended attributes
  5. Creat files/Write data
  6. Create folder/Append data
  7. Write attributes
  8. Write extended attributes
  9. Delete subfolders and files
  10. Delete
  11. Read permissions
  12. Change permissions
  13. Take ownership

Inheritable permission or not
  到可以去進階編輯
  除了 
  C:\Windows  C:\ Program files  C:\ Documents & Settings
  其他從C:\建立的資料夾都會繼承C:\

Copy it or Move(cut then paste)
  在同一個磁區裡面的移動  NTFS權限才不會改變
  其他的像是移到不同磁區或複製都會改變

Zipped v.s Encrypting File System(EFS)
  兩者擇一  都是NTFS磁碟內的功能
  Zipped的搬移和拷貝原理和權限的概念相同
  EFS則是本機端的動作都是維持加密的動作

EFS only for localhost
  分享檔案是傳不出去的  一但加密了就不能分享
  雖然回復代理是預設指定給Domain的Administrator
  但是本機用Administrator登入還是無法打開或編輯此檔案
  還是要從PDC那邊拿到administrator的憑證
  安裝在本機才能用administrator的帳號開啟

Disk Quota
  1. 簡單來說是by owner的
  2. 磁碟配額的計算是不考慮壓縮因素的
  3. By partition 也就是說不同的磁碟可以獨立運作
  4. administrators 不會受限(2008以前都很漂亮)

上述功能都是NT時代FAT32格式所沒有  當然還有  遇到補上

補述FAT
  1. FAT一個磁碟大約2G  FAT32一個磁碟大約32G
  2. 5G的FAT是只有微軟認得的格式
  3. FAT格式的單一檔案不可超過4G

[微軟] Virtual Server 2005 R2 關於虛擬機器的正常刪除程序

相信不少人遇過下面這張照片

那就煩請大家到

C:\Documents and Settings\All Users\Application Data\Microsoft\Virtual Server\Virtual Machines

裡面刪除你有同樣命名的的檔案

但是但是  如果不想要這麼麻煩的去找這個資料夾

那請遵從以下步驟   請大家不要在虛擬機器的資料夾急著刪除

step1 請先到管理網站點移除

當然Virtual Machine是還沒有被刪除了  警告就有說明了

step2 接著直接到儲存VM的資料夾刪除掉

--

這樣下次命名同樣的名稱就不會產生圖一的訊息 不給新增

這邊也簡單講一下為什麼  如果直接去刪除資料夾的東西

雖然從新整理後  在管理網頁會消失看不到

但是其實他在管理網頁有個小小的捷徑檔  存在

C:\Documents and Settings\All Users\Application Data\Microsoft\Virtual Server\Virtual Machines

所以在管理網頁看不到  但卻又有讓你不能新增相同名稱的阻礙

還是要去那資料夾刪除

如果一開始就有先做step1的動作

那捷徑就會在step1的時候先被刪除

再去刪除儲存VM的資料夾  這樣就是乾乾淨淨的刪除了

[微軟] Domain Controller 和 Member Server 的差別

Domain Controller
  1.只能登入到Domain
  2.電腦名稱(完整) 可用DCPormo降級
  3.沒有本機使用者和群組 都直接升級為Domain使用者或群組
  4.一般使用者預設無法登入
  5.管理工具多了一些
  6.DNS指向自己

Member Server
  1.可以登入到本機和Domain
  2.電腦名稱(完整) 可退出網域
  3.保留本機使用者和群組
  4.一般可登入Domain
  5.用MMC等可以解決  安裝Adminpak.msi  2008 安裝系統管理
  6.DNS指向DC的IP

變成DC後本機安全原則已經無法增加權力指派
全部都合併到群組管理原則做設定 有所變更後
樹系 --> 網域 --> (ABC.XXX) --> Default Domain Policy 右鍵 --> 編輯
#gpupdate 會馬上更新
MS改變IP後 DNS會有動態更新 一般五分鐘
如果不想等 可以在MS用
# ipconfig /registerdns 告訴DNS已經換IP了
 
Default Doamin Policy
  這是在講整個Domain 所以密碼原則是在這邊
  整個Domain使用者密碼參照原則 改密碼 密碼有效天數 最少字元等等
  強制關閉者個網域的防火牆或者強制關閉User Account Control

Default Domain Controller Policy
  這是在說明本機這台伺服器 也就是DC這台的原則
  所以允不允許本機其他使用者帳號登入 要在此做修改

[微軟] 建置 Domain Controller

命令提示字元 ---> #dcpromo
他主要是在建立並開啟 Active Directory, AD
接著會有精靈跑出來 喔喔 真希望她是正妹 可惜是微軟的安裝精靈
勾選 "在新樹繫內建立新網域"
輸入FQDN 她會自動尋找有無重複的 有找到你就只能當人家的slave
NetBIOS會取你網域最左邊點名稱 最多15個字元
樹系等級和網域等級就選2000的
因為選了2008後會出現其他之前的作業系統無法加入網域的情形
DNS一定要勾選 因為要加入網域一定要有DNServer
DNS有可以是別台 不一定要DC
(給他跑........................超久) ....finish

NT的架構 NT的DC是一台且唯一
其他的就是backup用的 最多就可供查詢不行寫入
而NT以後的作業系統 DC是可多台運行 他們彼此會同步化 synchronize
上面我是用slave的字樣 其實很難界定啦 感覺比較像是 parallel
不過這邊要特別附註  其實PDC的觀念還是存在的
一旦PDC shutdown很多動作在整個網域內是不能做的
ex: 修改網域原則  他會連不到

操作主機也不是說要搶就可以搶的

RID就不給搶 所以要是PDC真的死了就沒RID的操作主機了

這邊值得一提的是基礎結構的操作主機  老師上課沒做

如果PDC又活過來的話  之前有搶就死定了

整個網域會不同步  帳號也好 原則也好 都不會同步了

永遠保持兩台基礎結構的操作主機  改都改不掉

可以看一下上圖這台操作主機的說明就知道為什麼會不同步了

[微軟] NAT 和 ICS 的分別

內部網路對外連線 可透過兩個方法
一是Network Address Translation，簡稱 NAT
二是Internet Conection Share，簡稱 ICS

NAT 內部可多個網段
  日後課程學習會另外補上NAT相關技術文章
 
ICS 簡單版NAT
  也就是說很多東西是被預設好的
  內部只能一個 預設192.168.0.0 官方說法就只有這組
  內外部網斷不可相同 否則無法開啟
  如有IP分享器(他就是NAT的用) 改分享器LAN的設定 192.168.1.x
  只要不要和192.168.0.0衝到就好

  但不一定ICS要用192.168.0.x  (不是微軟說的就要相信)
  可以偷吃步 啟動ICS後就可以亂改 ex:192.168.2.x

以下介紹ICS的操作還有順便驗證一下微軟的官方說法
OS : 2003R2

首先要有兩張網卡  一張對外  一張對內
對外的可能是透過專線或ISP所提供的服務連上Internet
對內的就是要連接組織的電腦好讓頻寬達到共享
因為小弟我對內環境是跑在虛擬機器上的
這邊選的對內網卡是微軟內建的(Loopback Adapter)
#開始  -->  控制台  -->  網路連線  -->  區域連線(要對外的)
  -->  右鍵 內容 到進階  -->  點選 允許其他網路使用者透過這台電腦.........

這樣對內網卡就通了  看一下圖

這是一個class C的網段  這邊的內部網卡IP位置是對內網路的預設閘道

也就是說對內網卡必須透過這個閘道才能對外連線

詳細說明在NAT相關學習會另外補充  先有可以用就好

微軟預設為192.168.0.1 但一般習慣改為192.168.0.254  沒有強制

其他預設沒填上的請不要去修改

內部機器

IP設定皆為 192.168.0.XXX        (除了0和預設閘道以外都可)

子網路遮罩 255.255.255.0

預設閘道  192.168.0.254          (這邊要填上對內網卡上面的IP)

DNS      ISP廠商的DNS或者直接指向預設閘道都可

接著來試試看微軟的官方說法: ICS只能有192.168.0.0/24的存在

一張圖就可以搓破了  在ISC開啟後  就可以隨意設定了

ex: 192.168.2.254  然後隨便抓一台來測試

這種方法是用來解決如果對外網路是透過IP分享器的情況

剛好IP分享器上面的設定為192.168.0.XXX  那就要用這種方法解決

Step1 先不要接上網路然後打開對外網卡的ICS

Step2 接著改掉對內網卡的IP

Step3 接上網路線  finished

[微軟] Office 2003與2007相容問題 以及存成PDF檔格式

方法有兩種
2007的角度
  另存新檔 --> Word 97-2003 文件
  檔名會變成.doc的 而不是預設的docx
  相信這也是大家常用的
2003以下的角度
  微軟下載 FileFormatConverters
  安裝後便可開啟2007的檔案

--
關於2003如何轉成PDF
  微軟下載 SaveAsPDFandXPS
 
2007只需要在另存新檔時點選即可