Asuka's Blog

客户机加入域时，计算机SID的注意事项

有2种情况需要注意，很容易出问题

第一种情况

如果出现这种情况，说明计算机帐户出了问题

我把这个问题归纳为：计算机名相同，但SID不同。

一台客户端重装后，起了和重装前相同的计算机名，然后再加入域，就会出现这问题，解决方法很简单，到ADUC中把这台计算机给删掉即可。

原理可以看王洋的这篇文章：

http://gnaw0725.blogbus.com/logs/5002289.html

第二种情况

这个情况在我之前用虚拟机时经常碰到，因为以前用VPC都是用差分磁盘做克隆，而这有个很大的问题就是差分盘做出来的操作系统的计算机不光计算机名相同，连计算机的SID也相同。

比如我有一台虚拟机A，然后提升为DC，而另一台克隆出来的计算机起初也叫A，我准备做客户机，然后连入和DC同一个网段，会提示网络上计算机有重名，所以我把这台计算机改名为B，然后再加入域，弹出对话框输入域里面的用户名和密码，ok，重启，问题就是出重启后第一次登陆域，就弹出了上面的对话框。

这问题可以归纳为：计算机名不同，但SID相同。

解决方法是找一台计算机然后用Sysinternals的Newsid重新生成个计算机sid即可。

关于虚拟机的使用和经验分享，更多的可以参考我的这篇文章：

《之前用虚拟机的习惯（VPC、VMware Workstation）》

MDOP 2008 R2之APP-V应用篇

接着说MDOP 2008 R2，如果把MDOP这个软件优化包比作一个工具箱，那么其中APP-V无疑是MDOP中最强有力的一款工具，是当之无愧的SuperStar。

APP-V的前身是Softgrid，是微软虚拟化家族中的一员，属于应用程序虚拟化，相信大家都再熟悉不过那张Slide。

截图选自Teched 2008 WCI321课程

言归正传，下面介绍一下我的实验环境，其中有2台Server，分别是APP-V Server和APP-V Sequencer Server，前者是APP-V的管理控制服务器，后者则是应用程序打包服务器，还有一台Vista的客户端。

一、安装APP-V Server

安装注意事项：

由于APP-V需要活动目录的支持，因此这里我把APP-V Server和DC安装在了一起。

在安装APP-V的过程中需要用到IIS和SQL Server，由于我是在Windows Server 2008的环境中因此不需要安装.netframework 2.0和MSXML 6.0，如果是2003的，还要安装这2个程序。

IIS需要启动几个角色

• ASP.NET (and all required role services and features)
• Windows Authentication
• Management Tools

SQL Server我用了Express版本，需要启动

Local and remote connections和SQL Server Browser服务

安装的时候要在AD上面建立2个组，可以命名为APP Admins和APP Users，这2个组分别对应APP-V的管理员和用户。

安装好了之后，还要把C:\Program Files\Microsoft System Center App Virt Management Server\App Virt Management Server\content这个目录设置为共享，因为我们之后打包好的应用程序就是放在这个共享目录中分发到客户端的。

当安装好APP-V Server后，可以连接到控制台测试一下，如果连接成功，就说明APP-V Server的安装就没有什么问题了

二、安装APP-V Sequencer Server

其实Sequencer Server的安装很简单，但是注意，根据微软官方的说明，Sequencer Server上要准备2个磁盘分区，一个是系统盘C盘，还有一个命名为Q盘（也可以改成其他字母，我搞不懂微软为何要推荐命名为Q盘，Cluster里面的仲裁盘不是也叫Q盘吗？）

三、打包WordViewer 2003

这里我就以发布WordViewer 2003这个软件为测试，首先打开Microsoft Application Virtualization Sequencer，点击new package，然后进入向导，这里的Package名字可以随便取，就叫“WordViewer 2003”

下一步点击“Begin Monitoring”，当出现Stop Monitoring时，就可以开始在Sequencer Server上安装指定的应用程序了，本例中是WordViewer 2003

暂时离开上面的向导界面，在Q盘上面新建一个文件夹，命名为WordViewer.2k3，一定要是这种格式的文件夹，可能也是考虑到规范化吧，安装好之后回到向导界面，并点击“Stop Monitoring”来到下一步，这里是对应用程序进行配置，比如安装了一个Office，由于里面相关的组件很多，因此可以自定义

最后点击一下“Launch”，测试一下WordViewer 2003的安装是否成功

如果成功的话，我们的应用程序就打包好了，接下来需要设置一下部署的相关参数

接下来就可以生产APP-V的文件了，保存到一个目录，可以随便命名，会生成下面几个文件

四、发布WordViewer 2003

把上面生产文件的目录拷贝到APP-V Server的Content文件夹，就是我们刚刚设置为共享的那个文件夹。

回到APP-V Server的控制台，右击左侧的Application，选择Import

接下来有一个地方很重要，就是需要把指定的用户组，比如本例中的APP User添加到相关选项中

五、从客户端登录，使用WordViewer 2003

接下来，我们用APP User组的用户登录到Vista，其中在Vista上安装APP-V Client组件的步骤这里就不写了。

这里我们可以看到在桌面上和快速启动栏里面已经可以找到WordViewer 2003的图标了

启动一下试试看，检验一下效果，就像部署在本地的应用程序一样方便，没有一点的异常

最后用Process Exploer看看到底内部到底是怎么运行的，原来我们的WordViewer 2003是由sfttray.exe这个主进程Launch的

  六、后记

关于APP-V的简单介绍就到这里，相信看了这个实例后大家对于APP-V会产生兴趣，我也是听了盆盆的Session后才开始研究这东西的，的确蛮有意思的。也希望在以后再多抽出点时间挖掘一下APP-V更深层次的原理以回报诸位。

MDOP 2008 R2之Dart应用篇

在Teched上面听了盆盆精彩的MDOP Session后，小弟一直想测试一下，可惜无奈一直没有很充分的时间，上个礼拜周末终于抽出了时间，把Dart和App-V都测试了一下，果然如同盆盆Live时的Demo一样的cool哦～

这篇文章介绍一下其中的Dart。

Dart全称是Diagnostics and Recovery Toolset，其中有2部分组件组成，第一部分是Crash Analyzer Wizard，是分析蓝屏用的工具。第二部分是ERD Commander Bott Media，相信很多的技术爱好者一定很眼熟吧，是的，这就是那个Winternals  ERD Commander的升级版。

关于第一部分蓝屏分析工具的介绍，我找了一篇很好的教程，这里就不多说了。

http://blogs.technet.com/seanearp/archive/2008/06/19/feeling-blue.aspx

说一下ERD，MDOP 2008 R2包含的Dart有2个版本，分别是5.0和6.0。

5.0就是之前的ERD Commander 2005，顾名思义是针对于Win XP和2003的，而6.0则是ERD Commander 2008,和Vista、2008配套使用的，顺便说一句，之前看了张杰老兄的文章在讨论Windows的版本号问题，我在想ERD 6.0能否用于现在的Win7呢，改天应该去试试看。

下面说一下安装，安装很简单，安装好之后会提示制作ERD的镜像。

制作镜像时只是需要一个Vista的启动环境，也就是Vista中的WinPE，因此会提示插入安装光盘，注意如果按照的是64位的Dart，那么这里只能插入64位的Vista光盘。否则会提示错误。

然后就是“小工具超市”，把需要用到的小工具都放进去吧

制作完成后，生成了ISO文件，然后我们来检验一下成果吧。

启动Vista，进入Dart，很熟悉的界面吧，和Vista的WinRE一样的界面，仔细一看，最下面多了一行菜单。

点进去看看，好多宝贝啊，其中的Locksmith是消除系统密码的，大家可不要做坏事哦！

关于ERD Commander和里面小工具的使用介绍，再推荐一本很不错的书

Teched 08上海参会小记

昨天盆盆的session发生了意想不到的一幕，盆盆自己撰文交代了事情的经过，小弟我坐在第一排着实也捏了一把汗，幸好咱老大凭着多年的讲师经验，临危不乱，顺顺利利的把课给讲完了，而且现场气氛非常得好，很多人都站在后面听（Asuka的第一排位子可是去的早抢的，老大没有给开后门哦！）

今天还听了一节大名鼎鼎的Virtual PC Guy Ben Armstrong的课，大部分东西都已经熟知了，其中提到一个VSS Snapshot（VSS Writer）的功能，好像是下一版的Hyper-V要加进去的，反正我到现在还没搞清这东西和VM Snapshot的difference。

今天早上偶像Frank的session同样爆棚，可惜去了晚了一步，只能站在门外听了（连门内都挤不进去了，太恐怖了）。幸好Frank已经把ppt给贴出来了http://blogs.technet.com/fyu/archive/2008/11/05/teched-ppt.aspx.

想到去年Asuka参加了北京的Teched，一年一年过得真快。

最后show一下今年的包，好像比去年的要好看一些，我还有一个Teched俱乐部的包，图片上橙色的那个，可以放几本书而已。

Security and Server Virtualization

平时我们总说到虚拟化的优点、虚拟机的高效，但是好像很少说到虚拟化的安全，Asuka从国外网站上面看到了一篇很不错的文章，这里摘录几点。

原文地址：

http://windowsitpro.com/article/articleid/99764/security-and-server-virtualization.html

中文版的可以参考08年10月份的《Winitpro杂志》。

如果更需进一步了解虚拟机化的安全性，建议可以去今年的Teched上面听一下安全专家Steve Riley的Session(今年Asuka是没时间去北京了，有谁听了，可别忘了回来汇报一下)。

-------------------------------------------------------------------------------------------------------------------

list of items you can do today to increase the security of your virtual server environment：

• Reduce your virtualization host’s footprint.

• Host firewalls.

• Use a dedicated NIC for management of virtual server hosts.

• Remote access to hosts.

• Server base images or templates.

• Programs on the host server.

• Virtualization segmentation.

• Patch management.

• Virtual server guest resource allocation.

• Image backups of virtual server guests.

•Control physical access to virtual server hosts.

之前用虚拟机的习惯（VPC、VMware Workstation）

从VPC到VMware Workstation，一直有这样几个习惯

一、新建一个虚拟机的父硬盘文件

比如我要做一个2003的虚机，那么首先安装一个2003的虚拟机硬盘文件，保存为VHD或者VMDK格式。

然后在这个虚拟机文件里面做一些基本设置如下：



1.拷3个Sysinternals的小工具进去，分别是：

Process Explorer，放在启动文件夹实现开机自动运行

理由：有Windows的地方，必须有它

Bginfo做好的.bgi配置文件，放在启动文件夹实现开机自动运行

理由：由于我们经常要启动多台虚机做实验，因此靠这个小工具可以把每台虚机的配置变得一目了然

newsid，放在桌面就行了

理由：必要的时候要更改计算机名称和SID

2.更改2003、08的ie安全级别，虚拟机里面没必要这么严格

3.sc stop beep

VPC里面没有办法做到模拟声卡，如果不想听到主板的蜂鸣声，那么就把beep给stop掉

4.组策略：

开始->运行->gpedit.msc->计算机配置->管理模板->系统->显示关闭事件跟踪程序

还有密码选项，都可以禁用

同意的理由，如果仅仅是测试，这些策略都可以去掉

5.去掉屏幕保护

二、关闭刚刚做好的虚拟机，然后用VPC的差异硬盘或者VMware的Clone硬盘根据各个做好的父硬盘文件生成子硬盘文件

以后就靠这些这些子硬盘文件作为实验虚拟机的硬盘文件，而不要去打开和变更父硬盘文件

看一下截图吧

比如这是我做的2008的虚机，一般我把父硬盘文件放在Base的目录下，以后这个文件是不动的，而把真正做实验的虚拟机文件再新建一个目录，比如图中的DC1

写这文章是因为当我接触到了SCVMM 2008中的一些基本概念，比如Library之后，以前那些比较老土的方法都可以丢弃了，关于SCVMM 2008 Library以及相应的使用心得，Asuka也在积极的学习，以后会写更多的文章来和大家分享。

大型网络活动:寻找下一代CTO 激发潜能把握成功

很不错的活动，Asuka也在考虑是否要参加，咱搞IT的的确不能太技术化。

这里宣传一下：

大型网络活动
寻找下一代CTO 激发潜能把握成功
你是这样的一个ＩＴ人吗？
每天工作８小时以上，常常因忙碌而忘记三餐；
常常因睡眠不足而满脸疲倦，工作枯燥、没有成就感！
或许，你早已不想这样灰头土脸、按部就班！
一个让你改变的机会，来了！
面向ＩＴ人士的大型网络活动“寻找下一代CTO”正在进行！该活动分“发掘潜能”、“提升技能”、“超越自己”、“冠军诞生”4个阶段，持续半年时间。月度冠军将获得微软1日实习和奖学金3000元；决赛选手将获得精美手机1部和奖学金3000元。
与微软高管直接面对面，中国ＩＴ业界顶尖ＣＴＯ面前才华尽展！总冠军将获得笔记本电脑1台，更有机会加入微软团队！
马上来吧！下一代ＣＴＯ就是你！

活动网站：http://cto.it168.com/

Powershell的第一本中文书籍上市了

《精通Windows PowerShell脚本编程》

网上书城地址：http://www.china-pub.com/42867

说实话，价格是贵了一点，但是不得不说，由于这是市面上的第一本Powershell的书，作者是脚本方面的专家，而译者又是国内国内技术书籍的大牛（Exclude me），冲着这几点，希望大家还是多多支持哈。

当然大家在阅读过程中有任何问题，也可以欢迎随时联系。

-------------------------------------------------------------------

最后贴几张open day的近照：

1.盆盆大人、Alexis和我

2.刘晖和我

3.偶像Frank和我

4.颁奖

Windows 7就是Windows 7

之前还在猜测Windows 7的Release Name叫什么，没想到今天看到微软已经官方宣布Windows 7就叫Windows 7。本来还想注册个金域名的，现在看来希望渺茫了。

不过Asuka一定会努力学习，到时候第一时间给大家带来Windows 7的精彩内容的。

官方地址：http://windowsvistablog.com/blogs/windowsvista/archive/2008/10/13/introducing-windows-7.aspx

别惊讶：Microsoft将微调Windows 7中的UAC

Asuka:随着今年Winhec大会的召开，Windows 7将会揭开神秘的面纱，我想会有更多关于Windows 7的文章在ITECN出现，这里我做一个抛砖引玉吧。由于目前没有任何测试版本的Windows 7，因此我也只能从一些国外网站的截图和微软官方的blog了解这款产品的功能和新特性。从最新的一篇关于Win7的blog中，我们可以了解到UAC在Win7中将会发生微调。

原文地址：http://blogs.msdn.com/e7/archive/2008/10/08/user-account-control.aspx

文章的前面几段都是介绍一些Vista中的UAC的优势，需要注意的是最后一段“Looking ahead…”，其中介绍了一些Win7中UAC的概念，我节选翻译一下：

“我们已经意识到用户的不满意。用户认为UAC所弹出的对话框太频繁、太讨厌以及困惑。我们依旧希望用户能够控制住系统的变化，但是也想用户可以有一个更好的体验。我们相信下面的2大原则可以使之实现：

1.扩大用户对于UAC的控制

我们将会继续提供用户控制系统变化的能力，但是在Windows 7会有更多的选项，例如，当以管理员身份登录时，用户可以决定收到UAC通知的范围”。

Asuka:现在看来Vista中的9条控制UAC的组策略还是显得单薄了一些，要想得到更好的UAC体验，还需要进一步颗粒化UAC的通知选项。

2.在操作界面上面提供更多的信息，我们将会改善用户UI对话框使得用户能够更好的理解并作出相关的决定

在这2大原则下，我们已经有了新的设计概念，并高兴的看到83%的参与测试的用户能够从对话框中认识到详细的情况。参与测试的用户更喜欢新的对话框因为它看起来更简单：加亮显示软件供应商；指出文件的源路径；并且提供更有意义的选项供用户选择。”

Asuka：如果现在就需要得到更好的UAC体验，可以考虑我之前介绍过的《Norton UAC Tool》。

最后，附上一张国外网站找到的关于Win7中UAC控制的截图，到了Win7真正发布的一天，我们再回过头来看看文章和图，可能会很有意思吧。

Norton UAC Tool原理剖析

最近，工作上天天在和Symantec的企业级产品打交道，领导喜欢Symantec的产品。唉，没办法，单位里面用到的Symantec的产品有Symantec Antivirus 10.2(现在要升级到Symantec Endpoints Protection 11，在小部分部门做测试)，Symantec Mail Security for SMTP和for Exchange，还有大名鼎鼎的Symantec Backup Exec for Windows Server 11d。所以对Symantec的部分产品使用也算小有心得，和Symantec support的工程师也交流了很多(罗嗦一句，Symantec的support比较有意思，是属于包年的，比如11d的Service是一年一买，然后可以无限support，不过他们support电话的waiting那是相当的...)。

回到正题，虽然说不上爱屋及乌，但是看到网上出了个Norton UAC Tool，据说可以优化UAC，那干脆也试试看吧。

Norton UAC Tool官方页面：

http://www.nortonlabs.com/inthelab/uac.php

安装了一下，好像什么都没有变化，找个程序试试看，直接运行regedit.exe试试看嘛，果然，有动静。

很显然，提权的界面变掉了，比Vista自带的要好看一点，也要详细一点。

而资料介绍，这个工具所谓的优化，就是如果勾选了“Don't ask me again”，以后都不会看到著名的UAC对话框了，咱也勾个试试，果然以后运行注册表编辑器，直接提权到High级别。

知道了表面，自然要研究一下原理，先抄起Process Explorer看一下有无动静。

发现多了一个进程。

很显然，以前我们知道安全桌面的进程是consent.exe，盆盆很早就撰文介绍过，现在Symantec把这个进程给替换成他们的东西了，更加要关注的就是后面的参数，也就是图上显示出的xml文件。

打开这个xml看看有无什么玄机。

看到了注册表的路径，还有就是下面框选出来的东西，知道原理了吧，原来也是靠着标签作定义。

再运行一个其他程序，不勾选“Don't ask me again”看看，果然定义也变掉了。

但是我在测试的时候也发现一个问题，就是这个xml是个昙花一现的东西，也就是说在运行regedit.exe之前，在C:\Windows\Temp\UAC_logs没有任何文件，当regedit.exe程序运行后，C:\Windows\Temp\UAC_logs也没有任何东西，xml文件会被自动删除，用Process Monitor跟踪一下

symconsent会生成这个xml文件，然后设置为只读，最后删除，这一步很莫名啊，还望高手赐教。

我的猜测是:symconsent根据某一个定义的list(我并没有找到)生成xml文件，然后再根据xml文件中的标签定义作出进一步的判断。

Remote Desktop Connection 6.0竟然没有了Console参数

下午，试了N篇也连不上服务器的Session 0(Console)，再仔细一看，原来是6.0没有这个参数，难道Desktop System的Remote Desktop程序就这样设计？

我看了一下，5.1(XP)里面还没有开发出来，5.2(2003)新增了这个功能，到了6.0(Vista/2008)里面又没有了，想不通啊！

用Sysinternals小工具Desktop取代KVM设备

基本上每一个大一点的机房都会有KVM设备，KVM设备是网络中的治理设备，它是Keyboard（键盘）、Video（显示器）和Mouse（鼠标）三个单词的第一个字母。即能够实现用一套键盘、显示器、鼠标来控制多台设备。正式的名称为多计算机切换器。

我所在公司的机房有4个，4合1的KVM设备，但是这KVM设备却不敢恭维，原因有下列几点：

1.KVM设备和液晶显示器存在明显的问题，经常会有干扰，按照搞硬件的老法师的说法是液晶显示器（HP的）的灵敏度太高造成的。之前用CRT没问题，但是领导喜欢液晶屏幕。

2.有一个KVM设备后面又拖了一个8口的KVM，后果不用想就知道有多惨了。

3.KVM又分为有源和无源，无源的靠PS2接口供电，经常供电不稳。

当然，这些问题也是可以克服的，毕竟硬件控制看得见摸得着。

刚刚看到Sysinternals新的一个小工具，叫Desktop，小弟我异想天开的在虚机里面试了一下，用这个工具就可以简单的替代KVM设备了。挺有趣的，其实类似软件好像早已经有了，而且是在Linux的一些大版本上面是非常的普遍，不过Sysinternals出品的让我们用的更放心嘛。

在VM上运行了一下，把VM的分辨率调成1024*768，开成全屏，做了4个远程桌面RDP文件，分辨率为800*600（可以理解为4台连接在KVM上面的服务器），并且保存在VM的桌面上，接下来就看图了。

点击图片自动放大

删除了笔记本的EISA分区，多了10G

(先说一下题外话，为何用Live Writer不能上传图片到ITECN blog了)

最近为了Onenote的缓存问题大伤脑筋，本子上面寸土如金，看了一下磁盘管理器，有10G的EISA分区，这个是我本子用了一年多，从来没有动过的分区，说是OEM的恢复分区，不建议删掉，但是如果不删，利用率为0。

学习了一下什么是EISA分区：http://support.microsoft.com/kb/242168/zh-cn

网上建议用Diskpart的命令行删

其实还可以用Diskpart的Gui版本，在哪，在XP或者2003的故障恢复控制台里

说一下Windows的书（ITPro方向）

今天买了一本Vista的书，书名是《Windows Vista安全管理权威指南》，作者是大名鼎鼎的Mark Minasi（2大牛Mark之一，另一位不用多介绍了吧），看了一下书橱，这竟然是我自己花钱买的第一本Vista的书籍，感觉上我隔三岔五的在买书，难道我从不买Windows的书？

确实，Windows的书，看得多买得少。

Vista的书除了这次买的这本，还有2本，一本是《Windows Vista使用详解》还有本是《Windows vista 实用宝典》，都是兄弟们送的。作为入门到中等的level，看这2本书足够了。

还有一本就是我很想买的《Vista Resource kit》，现在出了第二版，加了点SP1的内容。不过这书太厚了（简直就是个哑铃），而且没有中文版（也不可能有中文版），所以只能啃PDF了。

说一下Server，Server可比Client体系大的多了。我个人首推的是2本书，一本是Minasi的Mastering系列，《Windows Server 2003从入门到精通》和它的

升级版,还有一本是《Windows Server 2003宝典》。当然还有考MCSE的Training kit，不过看得不精。其实我非常想看AD方向的书，可惜只有电子版，推荐一本AD的cookbook。昨天下了一套2K8的Resource kit，有机会想去搞一套，价格不菲啊，毕竟2K8非常得博大精深，ps.其中的《Powershell Script Guide》的中文版即将上市，由我和其他2位MVP完成。

还有一本安全相关的是2位安全专家的《构筑 Windows 网络安全：从外围到数据》,这本书主要讨论了微软的深层防御体系。

Windows的书不得不提到《Windows Internals》，第五版也快出了，不过这书的Level偏高，而且严格意义上不属于ITPro范畴，这里不多作讨论，可以参考我之前的文章。

我自己觉得，这些书对于ITPro来说都非常得不错，大家有什么好的书推荐，欢迎讨论。