关于GARP以及ARP缓存在Windows Vista之后的一些改变

  DAD & GARP & ARP Neighbor Cache   在Windows系统中,如何通过已知的IP地址找到对方设备的物理地址(MAC Address)呢?通常,Windows系统会通过ARP协议发送一个ARP请求,请求包含四个主要的属性: 1) SendersMacAddress 2) SendersIp4Address 3) TargetMacAddress 4) TargetIp4Address SendersIp4Address和SendersMacAddress分别填上自己的IP和MAC,TargetIp4Adress会填上想要解析的对方的IP地址,TargetIPMACAddress置为00-00-00-00-00-00;网络上IP为TargetIp4Adress的设备收到此请求后,将会作出响应,响应内容是告诉请求发自己的MAC地址。如, 1      4:21:9 PM 7/30/2012               192.168.15.33 192.168.15.2  ARP    ARP:Request, 192.168.15.33 asks for 192.168.15.2        Frame: Number = 1, Captured Frame Length = 42, MediaType = ETHERNET + Ethernet: Etype = ARP,DestinationAddress:[FF-FF-FF-FF-FF-FF],SourceAddress:[00-15-5D-08-83-1E] – Arp: Request, 192.168.15.33 asks…

0

[Offline Files] Account Migration might cause problem with Folder Redirection

文件重定向   文件重定向(Folder Redirection)是指通过组策略的配置将用户的“应用程序数据”、“桌面”、“我的文档”、“图片收藏”和“「开始」菜单”文件夹存储在制定的网络路径上并删除本地文件。   文件重定向的配置可以在组策略的如下位置: User Configuration\Policies\Windows Settings\Folder Redirection 右键点击其中一个文件夹(如,Desktop),在属性页中进行配置。一般来说,选用Advanced配置,即在制定的网络路径下创建单独的User Folder(以用户名命名)。 组策略执行成功后,用户的桌面信息就不再是存在本地的了,而且从网络共享目录下读取,写入。   文件重定向和Offline Files   虽然文件重定向实现了对用户数据的集中管理和备份,但是因此而造成的网络流量也是不容忽视的。因此,从Windows Xp开始,文件重定向指向的网络路径也同时默认被设置为Offline Available。这一行为可以通过组策略“Do not automatically make all redirected folders available offline”进行修改。   案例背景   基于以上的背景信息,下面描述一个真实的案例: Domain1的组策略设置Domain Users User Group用户的My Documents被重定向到\\filesvr\sharefolder路径。sharefolder的权限配置参照:http://technet.microsoft.com/en-us/library/cc736916(WS.10).aspx  User1属于Domain Users,于是,User1第一次登陆后能在\\filesvr\sharefolder 下创建User1文件夹\\filesvr\sharefolder\User1\My Documents。并且,在User1登陆的客户端上CSC创建了对应的Offline Cache在C:\Windows\CSC\v2.0.6\namespace\filesvr\sharefolder\User1\My Document。 不久之后,客户的环境实施了一次Domain Migration。所有的用户账号也随之迁移到了新的域中,如从Domain1\User1到Domain2\User1。 因为Filesvr也同样做了Domain的迁移,客户将sharefolder的permission重新配置了一遍保证Domain2的用户有正确的权限(甚至于Full Control)。 然而,当Domain2\User1登陆时,他\她却始终无法看到My Documents里面的旧文件。他可以继续创建新的文件,并且通过Ip和FQDN访问sharefolder\User1\My Document目录时,他可以看到所有的文件,新的和旧的。 案例分析   这是为什么呢? 原来,此时用户的客户端本地已经生成了两份Cache –…

0

[Offline Files] Configure Slow Link Mode 组策略的配置和Slow Link 检测行为

CSC的Online和Offline模式是针对整个共享文件夹的,这一点我们在之前的文章中已有讨论。那么,到底它的具体影响和体现在哪里呢?举个例子: CSC不能将\\filesvr.example.com\sharefolder\User1设置为offline的同时将\\filesvr.example.com\sharefolder\User2设置为online。它只能将\\filesvr.example.com\sharefolder\设置为online或者offline。 所以,当CSC在监测网络的Latency或Throughput的时候,实际上是在监测连接\\filesvr.example.com\sharefolder的Latency和Throughput。因此,我们在配置Configure Slow Link Mode组策略的时候,所设置的UNC路径必须是共享文件根目录,如,\\filesvr.exampl.com\sharefolder。 注意: 虽然组策略的示例中包含双引号,但是实际配置时不能使用双引号.  如果,配置组策略时没有按照以上规则设置,组策略无法生效. 我们遇到过很多类似的问题,最终的解决方案是设置如下形式的组策略: Value Name                                                   Value \\filesvr.example.com\sharefolder     latency=30 另外, 在Windows 7系统中设置Slow Link Mode有两个阀值: Latency和Throughput. 注意, 1)      两个参数可以只设置一个; 2)      如果两个同时设置, CSC会优先判断Latency,且两个参数是取并集,如,当前网络连接的Latency大于阀值,直接转换成Offline模式;如果当前网络连接的Latency小于阀值,CSC检查当前的Throughput,如果小于阀值,转换成Offline模式; 3)      Slow Link模式的监测缺省情况下是每5分钟发生一次,当从Offline模式转换成Online模式时,仅监测Latency而不监测Throughput。…

0

Windows Server 2003服务器svchost.exe进程意外停止crash问题分析

最近经常碰到一些基于svchost.exe的服务意外停止的案例。(例如:Computer Browser service、Server service、Windows Management Instrumentation service等停止提供服务)。 首先我们看一下什么是svchost.exe, 以及为什么这么多的服务都会受到svchost.exe的影响: – Svchost.exe 是计算机上的一个进程,该进程包含Windows 用于执行各种功能的多个或单独服务。例如,Computer Browser service和Server service使用同一个 svchost.exe 进程宿主的服务。 – 可以有多个 svchost.exe 的实例在计算机上运行,其中每个实例都包含不同的服务。svchost.exe 的一个实例可能宿主程序的单个服务,而另一个实例则可能宿主与 Windows 相关的多个服务。可以在CMD窗口下运行tasklist -svc命令查看在 svchost.exe 的每个实例下正在运行的服务。见下图: 上图中如果PID为884的svchost.exe意外终止,那么所有对应于该PID的服务都将停止服务。可见造成的影响非常巨大。 什么是 svchost.exe?http://windows.microsoft.com/zh-cn/windows-vista/What-is-svchost-exe# 那么svchost.exe意外终止后,如何解决呢?一般可以尝试下面的步骤: 1.       首先您可以手工启动受到影响的服务,或重启计算机以尽快从故障中恢复。 2.       其次可以检查计算机是否安装了以下补丁: MS08-067 Security Bulletin – http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx  KB932762 http://support.microsoft.com/kb/932762/EN-US   3.       如果您使用了System Center产品,该产品针对网卡的一些rules和monitors会触发Windows Server 2003系统netman的一个bug。该bug将导致与netman相关的svchost.exe异常终止。下面列出一些可能触发问题的rules和monitors: Rules: –          Microsoft.Windows.Server.2003.NetworkAdapter.PercentBandwidthUsedReads.Collection (Percent Bandwidth Used…

1

群集中某些打印机的驱动无法复制到特定节点上

在将群集中的打印服务从一个节点转移到另一个节点上后,可能会发现某些队列在新节点上虽然可以显示,但是对应打印机的驱动却丢失了。重复在节点之间转移打印服务也不能将这些打印机的驱动复制到那个特定的节点上。 本文将讨论此类问题发生的原因,并分析碰到此类问题时可以采取的一些基本排错步骤。 注意:在您将本文提到的步骤或方法应用到您的实际环境中之前,请先使用Print Migrator Tool备份当前的所有设置。 当我们建立群集并在群集节点上安装打印机驱动时,安装进程会将打印机驱动程序文件复制到共享文件夹\\虚拟服务器\print$ 上, 打印机驱动程序同时会被复制到群集内 当前拥有此打印群集资源的节点上的本地文件夹: %SystemRoot%\System32\Spool\Drivers\<后台打印程序 GUID>\Drivers 。驱动程序还会被复制到共享磁盘的 \PrinterDrivers 文件夹中。 群集中打印机驱动信息存放在注册表键HKLM\CLUSTER\Resources\<Cluster Resource GUID>\Parameters\Environments\<Windows X86 or Windows X64>\Drivers\Version-3\<Printer driver name> 下,该打印驱动信息对应的是群集打印队列中关联打印机当前的最新打印驱动程序信息。同时在群集中各个节点本地,也维护着打印机驱动信息,对应打印驱动的文件,如上段提到,存放在文件夹SystemRoot%\System32\Spool\Drivers\<后台打印程序 GUID>\Drivers下,对应这些打印机驱动的信息,存放在节点注册表键HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Cluster\<Cluster Resource GUID>\ <Windows X86 or Windows X64>\Drivers\Version-3\<Printer driver name>下。在将打印群集资源转移到其他节点的过程中,目标节点的Spoolsv.exe针对各个打印驱动,首先会检查上面提到的两个注册表键下的各个子健,其中包括键值Timestamp,如果HKLM\CLUSTER\Resources\<Cluster Resource GUID>\Parameters\Environments\<Windows X86 or Windows X64>\Drivers\Version-3\<Printer driver name> 下的Timestamp比HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Cluster\<Cluster Resource GUID>\ <Windows X86 or Windows X64>\Drivers\Version-3\<Printer driver name>下的要新,或者目标节点上根本不存在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Cluster\<Cluster…

0

使用IPsec实现同一网段上不同group间的访问控制

在某些企业环境中,需要以group为单位实现访问控制。例如,允许同一部门(一个部门对应一个group)内的计算机相互访问;同时阻止不同部门间的互访。对于小型企业,我们可以调整网络拓扑,将不同group的计算机部署到不同网段,从而通过路由器的IP包过滤功能来实现网络隔离。而对于网络架构成熟的大型企业,重新部署网络拓扑工作量过大,可行性很差。此时,需要找到一种方法,实现同一网段中不同group间的访问控制。   本文着重讨论实现这一需求的具体方法。 实现条件: 该策略要求所有计算机运行Windows Vista/2008/7或以上操作系统。 所有group均可访问的DC和其他公共服务器须与受控计算机位于不同IP地址范围内。 统计所有group所属IP地址范围。 实现思路: 注:所有group均可访问的DC和其他公共服务器必须位于该地址范围之外。 对该范围内所有计算机启用相同的IPsec策略。 配置Windows防火墙incoming策略,对属于每个group的计算机,只允许接受来自相同group的incoming流量(请保持outgoing策略不变)。 配置步骤: 1.  实验环境 本文以一台DC和三台客户端为例进行阐述,其中4台计算机的情况如下图所示: 从上图可以看出,三台客户机位于同一网段192.168.0.X。其中,Client1W7属于Group1,Client2W7和Client3W7属于Group2。我们的目标是,使Group1和Group2中的计算机不能相互访问,同一Group中的计算机访问正常。如下表:   Client1W7 Client2W7 Client3W7 Client1W7 N/A 不能访问 不能访问 Client2W7 不能访问 N/A 可以访问 Client3W7 不能访问 可以访问 N/A   2.  实验步骤 (1)在DC上建立一条启用IPsec的组策略。 运行gpmc.msc。打开组策略管理工具。 在Group Policy Management中,右击域名,点击“Create a GPO in this domain, and link it here…” 输入组策略名。 右击新建立的组策略,点击”Edit”,打开编辑界面。依次展开”Computer Configuration”->”Policy”->”Windows Settings”->”Security Settings”->”Windows…

0

Windows Server 2008 R2 DNS使用根提示对某些域名无法解析的问题

当DNS Server从Server 2003升级到Server 2008 R2后,可能遇到这样的问题:使用根提示解析某些外部域名时,返回的IP地址为空。此时你可能会感觉非常奇怪,03解析这些域名没有问题,为什么升级到08 R2反而会有问题。 我们先来仔细看一下此问题的现象。用nslookup查时,看到返回的IP为空: E:\>nslookup  a.contoso.com 服务器:  localhost Address:  127.0.0.1   非权威应答: 名称:    a.contoso.com   在DNS服务器上抓netmon,看到DNS Server(192.168.1.107)收到DNS客户端(192.168.1.105)请求后(第48帧),通过一系列根提示和CNAME替换(49~94)将a.contoso.com解析成b.contoso.com。第95~99帧,对b.contoso.com继续解析。但在没有解析出IP的情况下,第100帧直接回复客户端,IP为空。 48           3.0836047            192.168.1.105      192.168.1.107      DNS         DNS:QueryId = 0x3, QUERY (Standard query), Query  for a.contoso.com of type Host Addr on class Internet 49           3.0941067            192.168.1.107      some.dns.server  DNS         DNS:QueryId = 0xAE00, QUERY (Standard query), Query  for a.contoso.com…

0

Offline Files XP vs.Win7 笔记3

  上期回顾 上一次我们主要介绍了Offline Files的几种主要的模式以及模式之间的切换等逻辑。   简介 本文讲主要介绍XP和Windows 7基本模式切换的细节以及针对冲突管理(Conflict Management)不同的机制和行为。 概述 从Offline到Online   举个例子,客户端将\\Server\aShare和\\Server\bShare 配置为Offline Available。由于某种网络断开,两个共享目录都处于Offline(Not Connected)状态。 由于状态自动切换机制,Offline Files检测到网络恢复尝试将两个共享目录切换为Online模式。 这一过程中, Offline Files检测Sample.docx文件在客户端有没有应用程序的Open handle(是否正在被使用),Offline Files将会做以下两种操作: 1.       如果客户端正在使用Sample.docx但并没有做修改,那么Offline Files会将应用程序的open handle转到服务器上对应的那个文件上。 2.       如果客户端正在使用Sample.docx且文件已被修改,那么Offline Files将不会对应用程序的open handle做任何修改且不会将该文件置为online。   这种情况下针对状态切换(OfflineàOnline),XP和Windows 7有不同的行为:   ·         在XP中,一旦Offline Files检测到\\Server\aShare\sample.docx在客户端正在被使用且已被修改并且导致切换失败后,\\Server\aShare和\\Server\bShare均无法切换到Online状态。 ·         在Windows 7中,一旦Offline Files检测到\\Server\aShare\sample.docx正在被使用且已被修改并且导致切换失败后,仅\\Server\aShare\sample.docx文件处于Offline (Need to sync)状态,\\Server\aShare目录下的其余文件已经整个\\Server\bShare都能正常的切换到Online状态。   这是因为在XP上Offline Files的影响范围是以共享服务器(或整个Distributed File System (DFS) namespace)为单位,而Windows 7上Offline Files的影响范围是以某个共享文件(或某个DFS scope)为单位的。…

0

如何配置基于MAC地址的802.1x认证(MAC Bypass)

一般网络环境中我们会使用有线/无线802.1x验证。这种验证方式通常需要结合域账号进行客户端身份验证。验证通过后,根据NPS/IAS策略可以将客户端划分到指定的VLAN并实现记账等功能。   了解无线网络的 802.1X 身份验证 http://technet.microsoft.com/zh-cn/library/cc759077   实际应用中我们经常会碰到一些无法加域的设备,比如打印机,PDA,非Windows计算机等。如何把这些设备放到802.1x的环境中? 一般可以考虑通过MAC Bypass的方式。这种方式中,客户端可以用自己的MAC地址作为用户名和密码进行802.1x验证。   实现步骤如下: 1. 为相关设备创建账号:为了不影响AD中的账号和其他NPS policy,我们在NPS服务器本地创建MAC Bypass所需账号,将这些账号放到一个本地组MAC Bypass里。 NOTE: 帐户的密码设定要遵从接入设备的要求,比如Cisco就要求用户名和密码都是MAC地址。 例如: Username: 001122334455 Password: 001122334455   2. 在NPS服务器上设置一些注册表项。根据以下文章的要求,我们需要配置注册表项“User Identity Attribute”;这是让NPS服务器支持MAC Bypass; http://technet.microsoft.com/en-us/library/dd197535(v=ws.10).aspx   注册表路径:HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy 注册表项:User Identity Attribute 注册表值: 31 (dword:0000001f)   3. 在NPS服务器上创建MAC bypass所需的Network Policies: Policy Name:Mac Bypass Conditions: User group 中添加步骤1中创建的本地组MAC Bypass。 Constrains: AuthenticationMethods 仅需选中…

0

内存问题排错概览 – 第二部分

在我们前面的文章,我们看了看一些常见的内存问题和如何进行排错。今天我们将要过一下过多页面交换和内存瓶颈。 我们已经在多篇文章中谈过了页文件的问题 – 还有些东西记在脑子里面就是尽管你想要有足够的内存来防止过多的页面交换,这个目标不应该是尝试去完全阻止页面交换活动。一些页面错误行为是不可避免的 – 举个例子 当一个进程第一次初始化的时候。内存中修改过的虚拟页面最后不得不要更新回磁盘,因此就会有一定量的Page Writes /sec。然而,当没有安装足够的内存,你可能会看到两个特定的问题 – 太多页面错误,和磁盘争夺。 让我们从页面错误开始。页面错误被划分成两种类型,Soft fault 和 hard fault。一个页面错误在一个进程在内存中请求一个页面并且系统不能够在请求的位置找到这个页面的时候发生。如果这个请求的页面事实上在内存的其他地方,那么这是一个Soft fault。然而,如果页面不得不从磁盘上面去读取,那么一个Hard fault就发生了。大多数的系统可以毫无问题的处理软页面错误。然后,如果有大量的hard fault错误你可能会感到延迟。这个额外的磁盘I/O是由于持续的页面写入磁盘与尝试访问页文件存储在相同磁盘上面的数据的应用程序产生冲突所导致的。尽管在一个系统上面高的页面错误是一个非常直接的问题,他要求一些性能监视器中的额外数据收集和分析。当对一个怀疑的页面错误问题进行排错的时候,下面是一些重要的计数器: Counter Description Values   to Consider Memory \ Pages /sec Pages/sec 是指为解决Hard Fault从磁盘读取或写入磁盘的速度。这个计数器是可以显示导致系统范围延缓类型错误的主要指示器。它是  Memory\\Pages Input/sec 和  Memory\\Pages Output/sec 的总和。是用页数计算的,以便在不用做转换的情况下就可以同其他页计数如:  Memory\\Page Faults/sec 做比较,这个值包括为满足错误而在文件系统缓存(通常由应用程序请求)的非缓存映射内存文件中检索的页。 如果 Pages/sec乘以4,000(4k的页面大小)超过了页文件放在一个一致的基础上面的所有逻辑磁盘Bytes /  sec的70%,,那么你应该要调查了。 转换:如果页面写入磁盘大于在一个一致基础上面你的所有磁盘活动的70%,那么就有可能是一个问题 Memory   \ Page Reads /sec Page Reads/sec 是取读磁盘以解析Hard…

0