windows server 2008外部域信任关系

环境为：树系 ，网域，树系和网域为同一主机 AD：172.16.10.210Exchange ：172.16.10.230 AD ：172.18.10.210Exchange ：172.18.10.220主域的windows 2008+Exchange2010安装好后，开始建设信任子域一、在主域DNS的正向区域与反向区域上设置“区域传送”。

二、信任子域的windows2008安装好后，开始增加角色，只需要增加“DNS伺服器”、“应用程序伺服器”即可三、角色增加完之后打开DNS服务，增加正向的次要区域四、增加反向的次要区域五、然后设置主机的DNS IP地址为主域的DNS服务器的IP六、开始架设AD ，在命令行内输入“dcpromo”，选中画面中“使用进阶模式安装”七、在接下来的部署设定里，选择“建立新的网域……而不是新的子网域”八、输入树系的域名 ，并且进行网络认证，如果此认证不通过为DNS设置不九、认证过后输入要架设的域名十、十一、十二、此处选择“是”即可十三、十四、安装完成后重开机十五、重开后在AD主机的DNS服务上，看见已经建好了的主要正向区域，设置其“区域传送”十六、并且设置其主要的反向区域十七、在主域的DNS服务器上增加的次要正向区域和次要反向区域十八、上面设置完成后，在的AD主机上打开“Active Directory使用者和电脑”然后在“Users”里面的Enterprise Admins和Schema Admins群组内增加成员\Administrator以上工作完成后开始架设的exchange服务器十九、安装好windows2008的系统后，加入域中。

（1）增加角色“IIS”与“应用程序”（2）安装Microsoft Filter Pack（3）开启服务net.tcp posharing service（4）在命令行内输入ServerManagerCmd -i RSAT-ADDS二十、开始安装exchange2010当出现如下警告时关闭安装程式，在命令行输入D:\setup /PD，然后从上一画面重新开始。

信任关系不同域之间要能互访，需要域之间存在信任关系。

信任关系分为可传递信任和非可传递信任。

可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图所示。

图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。

图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。

另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。

在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。

非可传递信任：非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。

可以创建的有：●Server 2003/2008域与NT域●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信任关系时）●Server 2003/2008域与2000域●Active Directory域与Kerberos V5域操作：为两个域创建信任关系（TrustRelationship.exe）。

在两域间创建信任关系，需要满足能对两域进行解析。

所以首先在DNS服务器上进行区域的创建，并允许区域传送。

参考P55设置信任关系。

通过对域间资源访问进行验证。

Windows域信任关系建立全攻略操作环境：windows 2000的两个独立域 与。

的网段为192.168.0.x， 域管理所在的IP为192.168.0.1，机器名为aa。

的网段为192.168.3.x，域管理所在的IP为192.168.3.1，机器名为bb。

两个域用VPN建立好连接，可互相ping通。

操作目的：建立互相信任的关系。

操作过程：1、建立DNS。

DNS必须使用的，而不能使用公网的，因为要对域进行解析。

由于在和 上的步骤相同，故只以为例。

在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。

在其正向搜索区域里新建区域- Active Directory集成的区域，输入，区域文件就叫.dns好了，然后完成。

右击新建的，选择属性- 常规，把允许动态更新改变为是。

然后在正向搜索区域里新建区域- 标准辅助区域，输入，IP地址输入192.168.3.1，然后完成。

右击新建的，选择从主传输。

在反向搜索区域里新建区域- Directory集成的区域，输入网络ID192.168.0，然后完成。

右击新建的192.168.0.x Subnet，选择属性- 常规，把允许动态更新改变为是。

现在的DNS已经建立好了，的也按此建立。

在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

测试域名解析：ping 正常的为Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 ,Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms 这说明域已经解析好，如果ping 也能得到类似的响应，说明的解析也完成。

维护活动目录维护活动目录议程：维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误，因此当活动目录正常工作时，需要对活动目录进行备份。

不能对活动目录单独备份，只能通过备份系统状态对活动目录进行备份。

系统状态组件组件描述活动目录活动目录信息，只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下：# 须具有备份权限。

默认情况下，管理员组、备份操作员组和服务器操作员组具有备份的权限。

# 活动目录不能单独备份，只能作为系统状态的一部分进行备份，而且只有DC上的系统状态才包括活动目录数据。

# 在DC联机时执行活动目录备份。

3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复（1）要想恢复活动目录必须重新启动DC，在启动过程中按F8键进入高级选项菜单，然后选择“目录服务还原模式”。

在目录服务还原模式下活动目录是不能被使用的，因此可以对其进行恢复。

（2）修改目录服务还原模式的administrator密码进入目录服务还原模式后，只有administrator帐号才可以登录。

此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。

而不是正常登录时的密码。

这个密码如果忘记怎么办？2003平台支持对该密码的修改，在2000中就回天无力了DEMO1：如何修改目录服务还原模式下的密码：三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动目录的复制，进行数据更新。

域网络的搭建目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2008，客户端则采用Windows7系统。

第一步首先，当然是在成员服务器上安装上Windows Server 2008，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 注意：网络设置使用静态ip机器名:ServerIP:192.168.0.59子网掩码:255.255.255.0默认网关:192.168.0.1DNS:192.168.0.59(因为我要把这台机器配置成DNS服务器) dns的安装就不做介绍了第二步安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”: 这里是一个兼容性的要求，选择windows2008及以上的操作系统来做为客户端。

然后点击“下一步”: 在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”: 在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“FM”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

Windowsserver2008服务器配置知识点总结1. 系统内部使⽤安全标识符来识别⽤户的⾝份。

（SID）2. 系统内置账户Administartor 管理⽤户和来宾⽤户（Guest）3. 账户类型分为本地⽤户，域⽤户，组账户。

根据服务器⼯作模式分为⼯作组和域。

4. ⼯作组模式下，本地⽤户的账户信息存储在SAM中。

域模式下，⽤户账户存储在DC中。

5. 活动⽬录中，组按照能够接受的范围分为本地域组，全局组和通⽤组。

6. ⼯作组（计算机之间是平等的，⼯作组可以跨⼯作组访问）和域环境（必须有DC）本地⽤户和域⽤户。

7. Win2008的三种⾓⾊域控制器，成员服务器，独⽴服务器。

安装win2008内存不低于512MB，硬盘可⽤空间不低于10GB，只⽀持64位版本。

8. AD是活动⽬录，域（逻辑单位）就是共享同⼀份AD数据库（DC（域控制器）⾥边）的计算机所组成的集合。

AD数据库⽂件保存在%systemRoot%中。

9. AD数据库中包含⽤户账户，⽤户密码，计算机账户，权限设定。

10. 每⼀个window域都需要⼀个唯⼀的域名与之对应。

（DNS域名和LDAP域名两种格式）DNS服务器是⽤来解析DNS域名。

域名空间连续的称为⼀个域树，两个域树形成域森林。

信任关系：双向可传递的。

11. 站点代表⽹络的物理结构或拓扑，是⼀组有效连接的⼦⽹，站点和域不同，站点代表⽹络的物理结构，⽽域代表组织的逻辑结构。

12. Ou组织单位也是⼀个容器，⽐喻⼩⼀个规模的容器。

⼀个⽤户账号只能属于⼀个Ou⽽⽤户账号可以加⼊多个组中，所以OU是管理模型，⽽组是权限和权⼒的划分。

13. OU是活动⽬录的⼀种对象，可以将安全策略应⽤域OU，ou是AD的容器，在其中存放⽤户,组，计算机和其他OU14. 特殊规则：读，写，取得所有权。

15. 拒绝优先，组规则⽆冲突时，执⾏累加规则。

16. ⽂件移动复制规则继承：同⼀磁盘移动将会保留⽂件原有权限，其它都是随着⽬标地址的规则⽽改变。

可以通过添加信任策略，让 AD RMS 可以处理由不同的 AD RMS 群集进行权限保护的内容的授权请求。

ADRMS信任策略包括以下几种：1、受信任的用户域。

如果用户的权限帐户证书 (RAC) 是由不同的 AD RMS 根群集颁发的，则通过添加可信用户域，AD RMS 根群集可以处理这些用户的客户端许可方证书或使用许可证请求。

通过导入要信任的AD RMS 群集的服务器许可方证书，可添加可信用户域。

2、受信任的发布域。

通过添加受信任的发布域，一个 AD RMS 群集可以根据由不同的 AD RMS 群集颁发的发布许可证来颁发使用许可证。

通过导入要信任的服务器的服务器许可方证书和私钥，可添加受信任的发布域。

3、Windows Live ID。

通过设置与 Microsoft 的联机 RMS 服务的信任关系，AD RMS 用户可以将受权限保护的内容发送到具有 Windows Live ID 的用户。

Windows Live ID 用户将能够使用来自已信任 Microsof t 的联机 RMS 服务的 AD RMS 群集的受权限保护内容，但是 Windows Live ID 用户不能创建由 AD RMS 群集进行权限保护的内容。

4、联合信任。

使用 Active Directory 联合身份验证服务，可以在两个林之间建立联合信任。

当一个林没有安装 AD RMS，但它的用户需要使用另一个林的受权限保护的内容时，这将非常有用。

以下通过实验介绍前两种信任的建立方法。

实验环境：林,服务器R2ADRMSServer,DC,已部署好AD RMS。

林,服务器YCRSRMSServer,DC,已部署好AD RMS。

在进行信任策略部署之前，分别在以上两台计算机建立了两个受保护文档hbycrsj.docx,ycrs.docx。

权限为EveryONE读取。

实验部署：一、部署可信任用户域：允许其它RMS体系结构中的用户向本地RMS服务器申请UL（用户许可）。

网络操作系统（windows server 2008)练习题2014-05-28 11:29：09｜分类：试题|举报｜字号订阅下载LOFTER客户端网络操作系统(Windows Server 2008）练习题一、名词解释：1. 活动目录2. 域3. OU4。

NTFS5. 动态磁盘6。

基本磁盘二、填空题：1. 操作系用是_____与计算机之间的接口，网络操作系统可以理解为_____与计算机之间的接口。

2.网络通信是网络最基本的功能，其任务是在_____和____之间实现无差错的数据传输.3。

Web服务、大型数据库服务等都是典型的_____模式。

4.基于微软NT技术构建的操作系统现在已经发展了4代_____、_____、_____、_____5.Windows Server 2003的4各版本是_______、_______、_______、_______。

6。

Windows Server 2008操作系统发行版本主要有9个，即_______、_______、_______、_______、_______、_______、_______、_______、_______、7.windows Server 2008 R2 版本共有6个，每个windows Server 2008 R2都提供了关键功能，这6个版本是：____、____、_____、_____、_____、_____。

8。

windows Server 2008 所支持的文件系统包括____、_____、_____。

Windows Server 2008系统只能安装在____文件系统分区.9。

windows Server 2008 有多种安装方式,分别适用于不同的环境，选择合适的安装方式,可以提高工作效率.除了常规的使用DVD启动安装方式以外，还有_____、______及_____.10. 安装Windows Server 2008 R2时，内存至少不低于____，硬盘的可用个、空间不低于____。

1.4 习题一、填空题（1）Windows Server 2008 R2版本共有6个，每个Windows Server 2008 R2都提供了关键功能，这6个版本是：、、、、、。

（2）Windows Server 2008所支持的文件系统包括、、。

Windows Server 2008系统只能安装在文件系统分区。

（3）Windows Server 2008有多种安装方式，分别适用于不同的环境，选择合适的安装方式可以提高工作效率。

除了常规的使用DVD启动安装方式以外，还有、及。

（4）安装Windows Server 2008 R2时，内存至少不低于，硬盘的可用空间不低于。

并且只支持位版本。

（5）Windows Server 2008要管理员口令要求必须符合以下条件：①至少6个字符；②不包含用户账户名称超过两个以上连续字符；③包含、大写字母（A～Z）、小写字母（a～z）4组字符中的3组。

（6）Windows Server 2008中的，相当于Windows Server 2003中的Windows 组件。

（7）Windows Server 2008安装完成后，为了保证能够长期正常使用，必须和其他版本的Windows操作系统一样进行激活，否则只能够试用。

（8）页面文件所使用的文件名是根目录下的，不要轻易删除该文件，否则可能会导致系统的崩溃。

（9）对于虚拟内存的大小，建议为实际内存的。

（10）MMC有和模式。

二、选择题（1）在Windows Server 2008系统中，如果要输入DOS命令，则在“运行”对话框中输入（）。

A、CMDB、MMCC、AUTOEXED、TTY（2）Windows Server 2008系统安装时生成的Documents and Settings、Windows以及Windows\System32文件夹是不能随意更改的，因为它们是（）。

A、Windows的桌面B、Windows正常运行时所必需的应用软件文件夹C、Windows正常运行时所必需的用户文件夹D、Windows正常运行时所必需的系统文件夹（3）有一台服务器的操作系统是Windows Server 2003，文件系统是NTFS，无任何分区，现要求对该服务进行Windows Server 2008的安装，保留原数据，但不保留操作系统，应使用下列（）种方法进行安装才能满足需求。

第一学期Windows综合习题1.要清除本地DNS缓存，使用的命令是（）。

（选择1项）a) Ipconfig/displaydnsb) Ipconfig/renewc) Ipconfig/flushdnsd) Ipconfig/release2.以下对DNS区域的资源记录描述错误的是（）。

（选择2项）a) SOA：列出了哪些服务器正在提供特定的服务b) MX: 邮件交换器记录c) CNAME：该区域的主服务器和辅助服务器d) PTR：PTR记录把IP地址映射到FQDN3.BENET公司网络采用一台Windows Server 2008的服务器提供DHCP服务，管理员新建了作用域，并为经理的计算机配置了保留。

之后管理员在服务器选项中配置DNS服务器地址是：202.96.134.10，默认网关是：192.168.1.254，在作用域选项中配置DNS服务器地址是：202.134.125.50，那么当经理的计算机接入网络时，获得的DNS服务器地址和默认网地址是( )。

（选择1项）a) DNS服务器地址202.96.134.10，默认网关192.168.1.254b) 首选DNS服务器地址202.96.134.10，备用DNS服务器地址202.134.125.50，默认网关192.168.1.254c) DNS服务器地址202.134.125.50，默认网关192.168.1.254d) DNS服务器地址202.96.134.10，默认网关为空4.Jerry是公司的系统工程师，公司采用单域进行管理，随着公司的扩展，jerry购置一台新服务器替换原来的DC，他在新服务器上安装好Windows Server 2008并提升为DC后，还需要把所有操作主机角色转移到新DC上，为了顺利转移所有操作主机角色，jerry使用的账号必须属于（）。

（选择3项）a) Schema Adminsb) Domain Adminsc) Exchange Adminsd) Enterprise Admins5.以下关于授权还原与非授权还原的说法，错误的是（）。

第八章
讲课流程：
1.信任定义分为：可传递性；
部分可传递性；
不可传递的信任关系。

如图，在域环境中：
信任域被信任域
资源域账户域
2.资源互访：
在单域环境下，两个计算机A，B计算机。

AB互相访问，A先要去DC上申请services ticket，A拿到ST后，去访问B。

登录计算机的原理：
a.若Tom用户登录XP计算机，系统会根据SID以及他所在的组（即DACL的权限）判别出他
的权限。

（计算机在分配权限时，是根据组来分配的。

）
3.信任
⏹父子信任：在建立父域和子域之后父子域的变化是，父域向子域配置了一个委派，子
域向父域配置一个转发器。

⏹根信任
⏹快捷信任：建立在域和域之间的信任，快捷信任不能往上信任，只能向下信任。

⏹外部信任：建立在两个林之间的双向或单向不可传递的信任。

⏹.林信任：建立在林根域上的。

用在企业和企业的合作之间
林信任：是树根信任。

4.更改域的名称：（247页）两种方法
a.计算机属性更改，旧的名称直接删除
b.命令更改，原理：一先添加一个新名字，二将新名同步到其他的服
务器上，三删除旧的名字
补充：
1.DACL:动态访问控制列表，定义了账户的访问控制权限。

2.Tom@（UPN式）与TOM，选择登录的区别：
前者利用GC在起作用，协助用户找到登录目的地。

后者通过DNS解析找到目的地。

第一章基本概念1、windows server 2008家族共有几个版本？2、简述工作组架构和域架构的网络各自的特点？3、域中的计算机类型可以是：域控制器、成员服务器、独立服务器、其他计算机。

第二章安装1、windows server2008提供两种安装模式：完整安装，服务器核心安装。

2、windows只支持安装到NTFS磁盘分区里。

3、windows server 2008系统默认的本地用户密码至少6个字符，而且不可包含用户名中超过两个以上的连续字符，还有至少A-Z,a-z，0-9，非字母数字中的3组。

4、注销和锁定的区别？第三章基本环境设置1、计算机默认所属的工作组名为WORKGROUP。

2、IPCONFIG 和ping命令的功能。

3、如何通过代理服务器上网？4、如何启用和禁用IE增强的安全设置。

5、防火墙的例外启用。

6、公用和专用网络的区别？7、通过设备管理器来管理计算机内的设备。

8、驱动程序签名。

9、环境变量分为系统环境变量和用户环境变量。

10、环境变量的设置。

11、MMC有什么作用。

12、虚拟内存是pagefile.Sys文件13、休眠文件是hiberfil.Sys文件14、通过任务管理器管理计算机内的应用程序和进程。

第四章本地用户和组账户1、本地安全账户管理器SAM2、内置了两个用户账号administrator 和Guest，Guest默认是禁用。

3、Everyone，任何一个用户都属于这个组。

4、系统默认只有administrator组内的用户才有权限管理用户和组账户。

5、系统默认新建的本地用户账号42天后更改密码。

6、密码重设盘可以重设密码第五章AD域1、AD域服务负责目录数据库的存储、添加、删除、修改、查询。

2、AD 域命名空间采用DNS架构3、AD域内的资源是以对象的形式存在的。

4、组织单元是一个特殊的容器。

5、域树和域林和组织单元的关系6、域之间的信任关系是双向信任。

7、AD DS的目录数据存在域控制器内。

Windows server 2008域管理第一章Windows server 2008域的安装与管理指定林根域的名称：如密码要指定为强密码，就是复杂一点，如p@sswOrd这里指定为 p@sswOrd.Ip地址子网掩码网关地址 Dns服务器地址最好为静态地址，以防客户端加入域时遇到故障。

服务器的ip地址要和客户端的ip地址在同一个网段内，DNS服务器地址统一。

一：首先我们先安装活动目录， active directory（1）单机“开始”打开“运行”输入 dcpromo 单击确定按钮。

（2）弹出“active directory 域服务安装向导”选择“使用高级模式安装”下一步(3)选择“在新林中新建域”单击下一步（4）为域控制器指定名称“”（5）单击“下一步”“下一步”即可。

（6）弹出“设置林功能级别”在这里我们选着 windows server 2003，以防万一我们所在的域里面有其它的域控制器而导致不能正常通信的问题。

下面介绍一下这三种的林功能级别。

Windows xpWindows 2000 林功能级别提供在 Windows 2000 Server 中可用的所有 Active Directory 域服务功能。

如果您的域控制器运行的是更高版本的 Windows Server，则当该林位于 Windows 2000 功能级别时，某些高级功能将在这些域控制器上不可用。

Windows Server 2003Windows Server 2003 林功能级别提供在 Windows 2000 林功能级别中可用的所有功能，以及下列其他功能:- 链接值复制，它可以改善对组成员身份更改的复制。

- 由 KCC 更有效地生成复杂复制拓扑。

- 林信任，它允许机构轻松在多个林之间共享内部资源。

在该林中创建的任何新域将在 Windows Server 2003 域功能级别自动运行。

Windows Server 2008此林功能级别不提供 Windows 2003 林功能级别之上的任何新功能。

Windows Server 2008判断题1.可以把Windows XP直接升级为Windows 2008。

2.Windows 2008默认安装IIS。

3.设置策略，可以实现Windows 2008关机时不需要输入关机理由。

4.Windows XP/ 2008默认不允许以空白密码的帐户访问自己的共享。

5.Windows 2008中用户的口令设置默认必须符合复杂性要求，且不可更改此帐号策略6.为实现sysprep的自动应答，必须把sysprep.inf等三个文件所在的文件夹sysprep放在系统夹所在分区的根下。

7.DHCP客户经过四个过程获得IP，这四个过程，均以广播方式进行，使用UDP：67/68口。

8.DHCP保留可用来防止盗用IP。

9.利用DHCP的类，可实现DHCP客户所租的TCP/IP参数的不同配置。

10.不可以在同一DHCP服务器下，建两个网络ID相同的作用域。

11.利用GHOST进行磁盘克隆，样机和目标机的硬件配置必须完全相同。

12.SUS只能用于Windows的关键更新13.Windows 2008终端服务远程管理模式只允许两个并发连接，且不可使用同一个帐号14.退出终端连接时，点窗口上的X和选“开始/关机/注销”是一样的。

15.对于Windows 2008域，默认普通域用户即可加10台计算机到域。

16.虚拟内存的实质是硬盘空间，对应就是根下的pagefiles.sys文件。

17.权利随用户对象存储，权限随资源存储。

18.共享（FAT）权限是：本地级、文件级权限19.对于NTFS权限、压缩属性、加密属性，只有在同一个NTFS分区移动文件（夹）时，保留原来设置。

20.由于算法原因，文件（夹）的压缩/加密只能选一种21.磁盘限额的配额项只能针对用户设置，不能针对组设置22.用户被管理员在服务器上启用了磁盘限额，用户自己启用了压缩，但他并不能多存文件内容到服务器23.用户U1加密的文件（夹），其它人无法复制、移动，也不能删除和改名。

服务器上的安全数据库没有此工作站信任关系的计算机帐户解
决办法
问题：
当Windows 7或者Windows2008加入域后，登陆时出现“服务器上的安全数据库没有此工作站信任关系的计算机帐户”，导致无法登陆到域。

原因：
未知
解决办法1：
1、用本地管理员登陆到计算机
2、打开计算机属性，在计算机名选项卡上点击“更改”，然后点击“其他”
3、将“此计算机住DNS后缀”清空，注销后就可以登陆到域
解决方法2：
说明：服务主体名(SPNs) 是运行在服务器上服务的唯一标识符。

每一个使用Kerberos 身份验证的服务都需要有个SPN以使客户端能够在网络上标识这个服务。

没有正确的设置SPNs, Kerberos 身份验证就是不可能的。

解决办法：
1、使用setspn –x检索重复的SPN（此命令在Windows 2003 R2上没有-x参数）
2、在结果中查看类似以下条目
已在以下账户中注册host/its-yefeng.xxx.xx(日志中出现的计算机名称)
CN=Name1，……
CN=Name2，……
……
3、在Active Directory用户和计算机中搜索Name1和Name2，然后将他们删除
4、将出现问题的计算机重新加入域，登陆成功。

解决方法3：
以后两种方法均无效后
退域重启，再加入域。