簡(jiǎn)介與Windows的其它版本(例如Windows3.x和9x)不同，WindowsNT/2000具有一個(gè)完整的安全系統(tǒng)，它是操作系統(tǒng)不可分割的一部分，而且不能被禁用。Windows2000的安全系統(tǒng)負(fù)責(zé)在用戶登錄系統(tǒng)時(shí)驗(yàn)證用戶的身份；控制用戶能夠訪問哪些資源、文件和應(yīng)用程序；負(fù)責(zé)維護(hù)對(duì)用戶活動(dòng)期間生成的安全時(shí)間進(jìn)行審核跟蹤。在Windows2000安全的所有這些方面，注冊(cè)表都扮演著一個(gè)非常重要的角色。

Windows2000安全的基礎(chǔ)Windows2000的安全分為三個(gè)主要的部分：用戶的訪問令牌，安全帳號(hào)管理器(SecurityAccountsManger，SAM)的注冊(cè)表項(xiàng)中有關(guān)每個(gè)用戶訪問權(quán)限的信息，以及對(duì)系統(tǒng)管理員有可能審核的安全事件的記錄。1.訪問令牌訪問令牌是由Windows2000安全系統(tǒng)創(chuàng)建的軟件對(duì)象，它包含用戶在當(dāng)前工作站以及網(wǎng)絡(luò)中其它計(jì)算機(jī)上的特權(quán)信息。訪問令牌包括的信息保存在注冊(cè)表中，并可在注冊(cè)表中直接進(jìn)行操作。訪問令牌包括下列信息：.用戶安全I(xiàn)D(UserSecurityID，SID).組安全I(xiàn)D(GroupSecurityID).用戶特權(quán).所有者的SID.主組(PrimaryGroup)的SID.缺省的訪問控制列表(AccessControlList，ACL)2.SAM注冊(cè)表項(xiàng)有關(guān)用戶安全設(shè)置的信息保存在注冊(cè)表配置單元HKEY_LOCAL_MacHINE的一個(gè)名為SecurityAccountsManager的子項(xiàng)中。SAM是Windows2000負(fù)責(zé)驗(yàn)證來(lái)自各種系統(tǒng)工具用戶界面的用戶登錄信息有效性的服務(wù)，同時(shí)還提供包含在每個(gè)用戶訪問令牌中的信息。SAM注冊(cè)表項(xiàng)中的信息通常不會(huì)被直接操作，而是通過各種管理工具，例如系統(tǒng)策略編輯器，操作。3.審核Windows2000系統(tǒng)無(wú)論何時(shí)發(fā)生涉及安全的活動(dòng)，都有可能產(chǎn)生安全事件，這些事件被158使用Windows2000注冊(cè)表管理

依次寫入一個(gè)日志文件，以便日后由系統(tǒng)管理員審核。這個(gè)日志文件由事件查看器控制，但是其設(shè)置是在注冊(cè)表中，而且在需要時(shí)可以查看。潛在的安全事件包括：.創(chuàng)建新用戶/組成員變更.程序執(zhí)行/資源被訪問.登錄/注銷.安全策略變更.特權(quán)的使用.系統(tǒng)事件對(duì)安全造成了影響

登錄Windows2000的安全特性在用戶試圖登錄到Windows2000工作站的那一刻就開始工作了。輸入到登錄對(duì)話框中的信息被提交給本地安全授權(quán)(LocalSecurityAuthority，LSA)，這是一種根據(jù)SAM數(shù)據(jù)庫(kù)(既可以是本地的也可以是遠(yuǎn)程的，我們將在下一部分介紹)驗(yàn)證登錄信息有效性的系統(tǒng)安全服務(wù)。如果該過程成功，那么就會(huì)為該用戶創(chuàng)建一個(gè)訪問令牌并激活它。這個(gè)令牌與一個(gè)或多個(gè)可執(zhí)行程序相結(jié)合創(chuàng)建一個(gè)主題，接著該主題就開始訪問系統(tǒng)。LSA使用注冊(cè)表項(xiàng)來(lái)確定這個(gè)過程是怎樣進(jìn)行的(尤其是登錄過程中顯示的用戶界面)。

Netlogon服務(wù)Windows2000支持多臺(tái)通過Netlogon服務(wù)連接到網(wǎng)絡(luò)上的工作站使用一個(gè)安全數(shù)據(jù)庫(kù)。Netlogon需要基于域的網(wǎng)絡(luò)和主域控制器(primarydomaincontroller，PDC)提供的服務(wù)。在這種情況下，登錄對(duì)話框會(huì)顯示一個(gè)額外的編輯控件，允許輸入用來(lái)進(jìn)行Netlogon驗(yàn)證的域名。Netlogon的各種特性可以通過直接操作注冊(cè)表來(lái)控制。

關(guān)機(jī)安全問題還會(huì)在用戶從一臺(tái)工作站注銷并有可能關(guān)機(jī)時(shí)發(fā)生。某些用戶可能只會(huì)看到一個(gè)注銷對(duì)話框，而另外一些用戶會(huì)看到對(duì)話框中有關(guān)閉工作或關(guān)閉電源的選項(xiàng)。注冊(cè)表中包含有控制這些特性的條目。

定位安全事件日志文件

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看這個(gè)日志文件的位置可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值File的條目。File的值包含用來(lái)保存安全事件日志文件的路徑和文件名。提示W(wǎng)indows2000事件查看程序可以用來(lái)更改Security子項(xiàng)中值File的設(shè)置。

確定安全事件日志文件的最大尺寸

Windows2000提供了把有關(guān)安全事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看安全事件日志文件以千字節(jié)計(jì)的最大尺寸可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MaxSize的條目。MaxSize的值包含安全事件日志文件所能達(dá)到的以千字節(jié)計(jì)的最大尺寸。提示W(wǎng)indows2000事件查看程序可以用來(lái)更改Security子項(xiàng)中值MaxSize的設(shè)置。MaxSize的缺省值為512。

檢查安全事件日志中事件的生存期

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看安全事件日志文件中事件被覆蓋前將保存多長(zhǎng)時(shí)間可以按照下面的步驟修改注冊(cè)表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Retention的條目。Retention的值指定事件保存在日志文件中的秒數(shù)；日志文件中任何比這個(gè)值“新”的事件都不會(huì)被覆蓋，而比這個(gè)值“老”的則會(huì)被覆蓋。如果某個(gè)事件無(wú)法添加到已有的日志文件中，則發(fā)生一個(gè)日志滿事件。提示W(wǎng)indows2000事件查看程序可以用來(lái)更改值Retention的設(shè)置。Retention的缺省值是604800秒(7天)。

確定一個(gè)Windows2000服務(wù)是否日志安全事件

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要確定一個(gè)Windows2000服務(wù)是否將其事件記錄到安全日志文件中可以按照下面的步驟完成操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Sources的條目。Sources的值包含目前將事件記錄到安全事件日志中的所有服務(wù)、應(yīng)用程序、應(yīng)用程序組的名稱。警告Sources的值是動(dòng)態(tài)的，由Eventlog服務(wù)維護(hù)。

定位安全事件日志中的事件描述

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要解密某個(gè)服務(wù)或應(yīng)用程序?qū)懙饺罩局械氖录?biāo)識(shí)符，你可以查看該應(yīng)用程序提供的文本文件。要找到文本文件的位置，可以按照下面的步驟操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號(hào)括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值EventMessageFile的條目。EventMessageFile的值包含文檔的路徑和文件名，而該文檔包括對(duì)安全事件日志文件標(biāo)識(shí)符的事件描述。

定位安全事件日志的類別描述

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要解密某個(gè)服務(wù)或應(yīng)用程序?qū)懙饺罩局械念悇e標(biāo)識(shí)符，你可以查看該應(yīng)用程序提供的文本文件(或者定位到一個(gè)與該應(yīng)用程序相關(guān)的DLL并由附帶的應(yīng)用程序提供描述)。要找到文本文件的位置，可以按照下面的步驟修改注冊(cè)表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows第11章Windows2000的安全用用1612000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號(hào)括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值CategoryMessageFile的條目。CategoryMessageFile的值包含著文檔的路徑和文件名，而該文檔包括對(duì)安全事件日志文件標(biāo)識(shí)符的類別描述。提示類別和事件描述有可能被放在同一個(gè)文件中。

檢測(cè)Windows2000的某種服務(wù)所支持的所有安全事件類別

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看某個(gè)服務(wù)或應(yīng)用程序可以向日志中寫入多少種類別標(biāo)識(shí)符，可以按照下面的步驟完成：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號(hào)括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值CategoryCount的條目。CategoryCount的值包含該應(yīng)用程序在安全事件日志文件標(biāo)識(shí)符中所使用的類別描述的總數(shù)。

確定Windows2000的某種服務(wù)所支持的安全事件類型

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看某個(gè)服務(wù)或應(yīng)用程序可以將哪種事件類型寫入日志，可以按照下面的步驟完成注冊(cè)表的修改：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號(hào)括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值TypesSupported的條目。TypesSupported的值包含該應(yīng)用程序在安全事件日志文件標(biāo)識(shí)符中使用的事件類型值。

強(qiáng)迫Windows2000系統(tǒng)在安全事件日志滿時(shí)崩潰

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊(cè)表包含有控制這個(gè)日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要強(qiáng)迫系統(tǒng)在日志文件滿時(shí)崩潰，可以按照下面的步驟修改注冊(cè)表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetControlLSA子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值CrashOnAuditFail的條目。使用DWord編輯器把CrashOnAuditFail的值設(shè)為1，強(qiáng)迫系統(tǒng)在安全事件日志由于最大尺寸或事件條目生存期設(shè)置的問題而無(wú)法擴(kuò)展時(shí)崩潰。提示如果值CrashOnAuditFail不存在，則使用“編輯”|“添加值”來(lái)創(chuàng)建它。警告啟用該值可能會(huì)導(dǎo)致無(wú)法恢復(fù)的系統(tǒng)崩潰。

設(shè)置Netlogon服務(wù)變動(dòng)日志的大小

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制以字節(jié)計(jì)的變動(dòng)記錄大小的注冊(cè)表項(xiàng)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值ChangeLogSize的條目。使用DWord編輯器把ChangeLogSize的值設(shè)為變動(dòng)記錄文件所期望的大小，以字節(jié)計(jì)。提示:保留ChangeLogSize的設(shè)置為4MB也不會(huì)造成任何損害。實(shí)際上，較大的設(shè)置可以提高效率。缺省(也是最小)的值為64K(大約200個(gè)條目)。警告:所有備份域控制器(BDC)都應(yīng)該有相同的ChangeLogSize值。

管理Netlogon服務(wù)信箱消息的內(nèi)存使用

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制Netlogon服務(wù)在開始丟失信箱消息(每個(gè)消息消耗非頁(yè)面式內(nèi)存池的1500個(gè)字節(jié))之前已排隊(duì)了多少個(gè)消息的注冊(cè)表項(xiàng)，可以按照如下步驟修改注冊(cè)表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MaximumMailslotMessages的條目。使用DWord編輯器把MaximumMailslotMessages的值改為希望參加排隊(duì)的消息數(shù)目。提示MaximumMailslotMessages的范圍是1到0xFFFFFFF，缺省值為500。警告把MaximumMailslotMessages的值設(shè)置得太低可能會(huì)導(dǎo)致丟失信箱信件。

微調(diào)Netlogon服務(wù)信箱消息的處理性能

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制Netlogon服務(wù)在開始丟失過期信箱信件(這可以防止Netlogon在過載環(huán)境中處理無(wú)效的消息)之前某個(gè)信箱消息等待處理的秒數(shù)的注冊(cè)表項(xiàng)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MaximumMailslotTimeout的條目。使用DWord編輯器把MaximumMailslotTimeout的值改為信箱消息等待Netlogon處理的時(shí)間，以秒為單位。

提示:MaximumMailslotTimeout的范圍是5到0xFFFFFFF秒，缺省值為10。警告:把MaximumMailslotTimeout的值設(shè)置得太低可能會(huì)導(dǎo)致丟失信箱信件。

防止經(jīng)由網(wǎng)橋/路由器的信箱消息阻塞

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制Netlogon是否對(duì)因網(wǎng)橋/路由器問題(通常是網(wǎng)橋/路由器無(wú)法在過期之前對(duì)報(bào)文的目的地進(jìn)行解密)引起的信箱消息阻塞敏感的注冊(cè)表項(xiàng)，可以按照如下步驟修改注冊(cè)表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MailslotDuplicateTimeout的條目。使用DWord編輯器把MailslotDuplicateTimeout的值改為0，禁止忽略Netlogon復(fù)制信箱消息(這樣做會(huì)因網(wǎng)橋/路由器引起的消息阻塞而導(dǎo)致問題)。提示值MailslotDuplicateTimeout的范圍是從0到5秒。較高的設(shè)置可以避免處理復(fù)制消息，但是會(huì)阻塞來(lái)自客戶的重試企圖。

設(shè)置BDC脈沖的頻率

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制在向BDC發(fā)送脈沖指示進(jìn)行更新之前PDC多少秒收集一次變化的注冊(cè)表項(xiàng)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Pulse的條目。使用DWord編輯器把Pulse的值改為兩次發(fā)送更新脈沖之間的延遲時(shí)間(以秒為單位)。提示值Pulse的范圍是從60(1分鐘)到172800(2天)，缺省值是300(5分鐘)。第11章Windows2000的安全用用165

管理BDC脈沖的并發(fā)

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。你可以使用注冊(cè)表來(lái)控制一次發(fā)出多少個(gè)BDC更新通知(脈沖)(期望PDC能夠同時(shí)處理遠(yuǎn)程過程調(diào)用以便更新遠(yuǎn)程數(shù)據(jù)庫(kù))。要做到這一點(diǎn)，可按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseConcurrency的條目。使用DWord編輯器把PulseConcurrency的值改為PDC能夠處理的并發(fā)BDC數(shù)據(jù)庫(kù)更新的個(gè)數(shù)。你需要在PDC服務(wù)器的負(fù)載和會(huì)導(dǎo)致失敗的過期BDC數(shù)據(jù)庫(kù)之間找到一個(gè)平衡點(diǎn)。提示值PulseConcurrency的范圍是從1到500個(gè)并發(fā)脈沖，缺省值是20。

控制BDC脈沖的ping操作

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。你可以訪問注冊(cè)表項(xiàng)來(lái)控制PDC給某個(gè)BDC發(fā)送更新脈沖(ping)的最大間隔秒數(shù)，而不管BDC的數(shù)據(jù)庫(kù)是否需要更新。要做到這一點(diǎn)，可以按照下面的步驟修改注冊(cè)表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseMaximum的條目。使用DWord編輯器把PulseMaximum的值改為PDC/BDC兩次脈沖ping操作之間的等待時(shí)間(以秒為單位)。提示值PulseMaximum的范圍是從60(1分鐘)到172800(2天)，缺省值是72000(2小時(shí))。

防止BDC脈沖超時(shí)

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制在被標(biāo)記為超時(shí)之前BDC必須在多少秒以內(nèi)響應(yīng)PDC脈沖的注冊(cè)表項(xiàng)，可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseTimeout1的條目。使用DWord編輯器把PulseTimeout1的值改為網(wǎng)絡(luò)維護(hù)有效的BDC脈沖響應(yīng)所希望的時(shí)間(以秒為單位)。提示值PulseTimeout1的范圍是從1到120，缺省值是5。

防止BDC復(fù)制超時(shí)

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制在被標(biāo)記為超時(shí)之前BDC必須在多少秒以內(nèi)完成部分?jǐn)?shù)據(jù)庫(kù)復(fù)制的注冊(cè)表項(xiàng)，可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseTimeout2的條目。使用DWord編輯器把PulseTimeout2的值改為網(wǎng)絡(luò)完成部分BDC數(shù)據(jù)庫(kù)的復(fù)制所希望的時(shí)間(以秒為單位)。注意，這個(gè)值只有在BDC數(shù)據(jù)庫(kù)的傳輸因?yàn)槌叽鐔栴}需要多個(gè)遠(yuǎn)程過程調(diào)用(remoteprocedurecall,RPC)時(shí)才會(huì)使用。提示值PulseTimeout2的范圍是從60(1分鐘)到3600(1小時(shí))，缺省值是300(5分鐘)。

防止BDC脈沖響應(yīng)通信阻塞

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。你可以使用注冊(cè)表控制BDC在用RPC調(diào)用初始化數(shù)據(jù)庫(kù)復(fù)制來(lái)響應(yīng)PDC脈沖之前隨機(jī)等待的秒數(shù)(這樣可以防止復(fù)制通信被阻塞，因?yàn)樗械腂DC脈沖都試圖同時(shí)更新)。要做到這一點(diǎn)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Randomize的條目。使用DWord編輯器把Randomize的值改為基于經(jīng)驗(yàn)和網(wǎng)絡(luò)流量需求的秒數(shù)。提示值PulseTimeout2的范圍是從0到120，缺省值是1。警告Randomize的值必須小于PulseTimeout1的設(shè)置。

根據(jù)網(wǎng)絡(luò)條件配置BDC的復(fù)制

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫(kù)進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊(cè)表?xiàng)l目都可以控制Netlogon的操作。要訪問控制分配給更新BDC的系統(tǒng)資源的百分?jǐn)?shù)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對(duì)話框并單擊“確定”按鈕。注冊(cè)表編輯器啟動(dòng)，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值ReplicationGovernor的條目。使用DWord編輯器把ReplicationGovernor的值改為0到100之間的設(shè)置，它表示每個(gè)復(fù)制調(diào)用所使用的傳輸緩沖內(nèi)存以及BDC完成未完成的復(fù)制請(qǐng)求所需時(shí)間量的百分?jǐn)?shù)。在更改該設(shè)置必須小心，因?yàn)樵谕ㄐ咆?fù)載很重的環(huán)境中BDC復(fù)制可能無(wú)法完成。警告設(shè)置ReplicationGovernor的值等于0將關(guān)閉BDC數(shù)據(jù)庫(kù)復(fù)制。