Johnson的部落格

1．Win 7 使用一張網路卡，設定可連上Internet ，並插上一個USB無線網路卡  (需先安裝驅動程式)

匯出AD user 指令：
ldifde -f export.txt -u -d dc=domain168,dc=com,dc=tw -r userAccountControl=* -l dn,displayname,userAccountControl

兩台Windows 2003 做Cluster
IP設定如下
(A)的IP：172.16.1.1/24
(B)的IP：172.16.1.2/24
Cluster 起來後的IP：172.16.1.3/24

Cluster 的sql server使用IP為172.16.1.4/24
共用名稱為sql

把Stand by 的Server B 做Update 後,關機
再把Active 的Server A 做Update 重開機，
Server A開起來後，災難就來了，
我用同網段的 pc (PC1)
去ping sql，
但共用的IP竟然ping 不到
ping sql[172.16.1.4]
Request time out
Request time out
Request time out
Request time out

還有我在server c上打arp  -a後
是有解到172.16.1.4這個IP的physical address
清arp 後，再ping sql
依然是Request time out ，但arp 還是解的出來
(而且172.16.1.3、172.16.1.4兩個IP的physical address 是一樣的)


另外共用的sql[172.16.1.4]這個IP在Server A本機上是可ping 的到的
我再把Server B開起來後，把Server B變Active 的機器，
共用的IP [172.16.1.4]也是ping 不到

註1：在網路上(同網段)Server A、Server B的原本ip(172.16.1.1、172.16.1.2)都可以從pc (PC1) 解的到，也ping 的到
註2： 我也有把Switch 重開機過
註3：事件檢示器沒發現什麼錯誤訊息..

環境：兩部Windows 2003 DC (dc01、dc02)
五大角色在dc01上，但dc01故障，必須強迫轉移五大角色到dc02上
在dc02 操作如下:

C:\Program Files\Support Tools>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server dc02.example.corp
連結到 dc02.example.corp ...
使用本機登入的使用者認證來連線到 dc02.example.corp。
server connections: quit


fsmo maintenance:seize schema master

模擬情形

一網域內有DC01 、DC02兩台 DomainController
五大角色在DC01上，DC02為新機器，欲轉換五大角色到DC02上

操作DC02如下：

先以 netdom query fsmo 指令查看 fsmo在那一台主機上

執行 Active Directory User and Computer 

-->在example.corp 上按右鍵，選操作主機
-->轉換RID、PDC、基礎結構

Windows 2003 的CA Server 建置

一．Win 2003 CA Server：名稱為DC22
    先裝IIS Web service(全球資訊網服務)
    裝好再安裝Certificate Services，此後不能更改CA Server 的電腦名稱
    --> 選獨立根CA --> 設定CA的名稱--> 設定憑證資料庫(下一步) -->啟動ASP -->完成

二．Win 2003 Web Server (svr222)申請憑證
    網站名稱：www.example.corp

    在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
    點選"伺服器憑證(S)" --> 下一步 --> 選"建立新憑證(C)" 
    --> 準備要求，但於稍後傳送(P)  --> 名稱自定、加密金鑰位元長度選 2048 
    --> 鍵入公司名稱、單位 --> 網站名稱：一定要是該站FQDN：www.example.corp
    --> 地區 --> 存檔 c:\certreq.txt
    --> 完成

三．在SVR222上用IE開啟http://dc22/certsvr/ --> 選擇 "要求憑證" --> 進階憑證要求 
    --> 選"用Base-64 編碼的CMC或PKCS #10檔案來提交憑證要求，或用Base-64 編碼的PKCS#7檔案提交更新要求"
    --> 把步聚二的certreq.txt內容貼入"已儲存的要求下欄位"
    --> 按提交
    
四．在CA Server上，執行系統管理工具 --> 憑證授權單位 --> 在擱置要求中 --> 選擇對應的文件
    -->右鍵 --> 所有工做 --> 發行

五．回到SVR222 上，執行http://dc22/certsrv/ 選檢視擱置中的憑證要求狀態 
    --> 點選"已儲存要求的憑證 --> 下載憑證 --> 存檔於：c:\certnew.cer
六．在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定" 
    --> 點選"伺服器憑證(S)" --> 下一步 --> 處理擱置要求及安裝憑證
    --> 鍵入c:\certnew.cer  --> 選擇 443 port  --> 完成

七．在 IIS選擇要做ssl加密的網站 --> 分頁"目錄安全設定"
    --> 編輯 -->  將"必須使用安全通道"打勾 --> 完成

八．測試
    找一台XP(client) -->IE -->打http://www.example.corp 會出現必須使用安全通道的訊息

    打入https://www.example.corp會出現安全性警訊：這個安全性憑是由您尚未信任的公司所發出。
    請查閱憑證來決定您是否信憑證授權單位。

    原因是CA Server是自己建立的，此XP不認識

    解決：在XP上打http://dc22/certsrv/ ，選"下載CA 憑證、憑證鏈結或CRL" --> 點選"下載CA憑證"
          安裝後即正常