簡介與Windows的其它版本(例如Windows3.x和9x)不同，WindowsNT/2000具有一個完整的安全系統(tǒng)，它是操作系統(tǒng)不可分割的一部分，而且不能被禁用。Windows2000的安全系統(tǒng)負(fù)責(zé)在用戶登錄系統(tǒng)時驗(yàn)證用戶的身份；控制用戶能夠訪問哪些資源、文件和應(yīng)用程序；負(fù)責(zé)維護(hù)對用戶活動期間生成的安全時間進(jìn)行審核跟蹤。在Windows2000安全的所有這些方面，注冊表都扮演著一個非常重要的角色。

Windows2000安全的基礎(chǔ)Windows2000的安全分為三個主要的部分：用戶的訪問令牌，安全帳號管理器(SecurityAccountsManger，SAM)的注冊表項(xiàng)中有關(guān)每個用戶訪問權(quán)限的信息，以及對系統(tǒng)管理員有可能審核的安全事件的記錄。1.訪問令牌訪問令牌是由Windows2000安全系統(tǒng)創(chuàng)建的軟件對象，它包含用戶在當(dāng)前工作站以及網(wǎng)絡(luò)中其它計算機(jī)上的特權(quán)信息。訪問令牌包括的信息保存在注冊表中，并可在注冊表中直接進(jìn)行操作。訪問令牌包括下列信息：.用戶安全I(xiàn)D(UserSecurityID，SID).組安全I(xiàn)D(GroupSecurityID).用戶特權(quán).所有者的SID.主組(PrimaryGroup)的SID.缺省的訪問控制列表(AccessControlList，ACL)2.SAM注冊表項(xiàng)有關(guān)用戶安全設(shè)置的信息保存在注冊表配置單元HKEY_LOCAL_MacHINE的一個名為SecurityAccountsManager的子項(xiàng)中。SAM是Windows2000負(fù)責(zé)驗(yàn)證來自各種系統(tǒng)工具用戶界面的用戶登錄信息有效性的服務(wù)，同時還提供包含在每個用戶訪問令牌中的信息。SAM注冊表項(xiàng)中的信息通常不會被直接操作，而是通過各種管理工具，例如系統(tǒng)策略編輯器，操作。3.審核Windows2000系統(tǒng)無論何時發(fā)生涉及安全的活動，都有可能產(chǎn)生安全事件，這些事件被158使用Windows2000注冊表管理

依次寫入一個日志文件，以便日后由系統(tǒng)管理員審核。這個日志文件由事件查看器控制，但是其設(shè)置是在注冊表中，而且在需要時可以查看。潛在的安全事件包括：.創(chuàng)建新用戶/組成員變更.程序執(zhí)行/資源被訪問.登錄/注銷.安全策略變更.特權(quán)的使用.系統(tǒng)事件對安全造成了影響

登錄Windows2000的安全特性在用戶試圖登錄到Windows2000工作站的那一刻就開始工作了。輸入到登錄對話框中的信息被提交給本地安全授權(quán)(LocalSecurityAuthority，LSA)，這是一種根據(jù)SAM數(shù)據(jù)庫(既可以是本地的也可以是遠(yuǎn)程的，我們將在下一部分介紹)驗(yàn)證登錄信息有效性的系統(tǒng)安全服務(wù)。如果該過程成功，那么就會為該用戶創(chuàng)建一個訪問令牌并激活它。這個令牌與一個或多個可執(zhí)行程序相結(jié)合創(chuàng)建一個主題，接著該主題就開始訪問系統(tǒng)。LSA使用注冊表項(xiàng)來確定這個過程是怎樣進(jìn)行的(尤其是登錄過程中顯示的用戶界面)。

Netlogon服務(wù)Windows2000支持多臺通過Netlogon服務(wù)連接到網(wǎng)絡(luò)上的工作站使用一個安全數(shù)據(jù)庫。Netlogon需要基于域的網(wǎng)絡(luò)和主域控制器(primarydomaincontroller，PDC)提供的服務(wù)。在這種情況下，登錄對話框會顯示一個額外的編輯控件，允許輸入用來進(jìn)行Netlogon驗(yàn)證的域名。Netlogon的各種特性可以通過直接操作注冊表來控制。

關(guān)機(jī)安全問題還會在用戶從一臺工作站注銷并有可能關(guān)機(jī)時發(fā)生。某些用戶可能只會看到一個注銷對話框，而另外一些用戶會看到對話框中有關(guān)閉工作或關(guān)閉電源的選項(xiàng)。注冊表中包含有控制這些特性的條目。

定位安全事件日志文件

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看這個日志文件的位置可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值File的條目。File的值包含用來保存安全事件日志文件的路徑和文件名。提示W(wǎng)indows2000事件查看程序可以用來更改Security子項(xiàng)中值File的設(shè)置。

確定安全事件日志文件的最大尺寸

Windows2000提供了把有關(guān)安全事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看安全事件日志文件以千字節(jié)計的最大尺寸可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MaxSize的條目。MaxSize的值包含安全事件日志文件所能達(dá)到的以千字節(jié)計的最大尺寸。提示W(wǎng)indows2000事件查看程序可以用來更改Security子項(xiàng)中值MaxSize的設(shè)置。MaxSize的缺省值為512。

檢查安全事件日志中事件的生存期

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看安全事件日志文件中事件被覆蓋前將保存多長時間可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Retention的條目。Retention的值指定事件保存在日志文件中的秒數(shù)；日志文件中任何比這個值“新”的事件都不會被覆蓋，而比這個值“老”的則會被覆蓋。如果某個事件無法添加到已有的日志文件中，則發(fā)生一個日志滿事件。提示W(wǎng)indows2000事件查看程序可以用來更改值Retention的設(shè)置。Retention的缺省值是604800秒(7天)。

確定一個Windows2000服務(wù)是否日志安全事件

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要確定一個Windows2000服務(wù)是否將其事件記錄到安全日志文件中可以按照下面的步驟完成操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Sources的條目。Sources的值包含目前將事件記錄到安全事件日志中的所有服務(wù)、應(yīng)用程序、應(yīng)用程序組的名稱。警告Sources的值是動態(tài)的，由Eventlog服務(wù)維護(hù)。

定位安全事件日志中的事件描述

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要解密某個服務(wù)或應(yīng)用程序?qū)懙饺罩局械氖录?biāo)識符，你可以查看該應(yīng)用程序提供的文本文件。要找到文本文件的位置，可以按照下面的步驟操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值EventMessageFile的條目。EventMessageFile的值包含文檔的路徑和文件名，而該文檔包括對安全事件日志文件標(biāo)識符的事件描述。

定位安全事件日志的類別描述

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要解密某個服務(wù)或應(yīng)用程序?qū)懙饺罩局械念悇e標(biāo)識符，你可以查看該應(yīng)用程序提供的文本文件(或者定位到一個與該應(yīng)用程序相關(guān)的DLL并由附帶的應(yīng)用程序提供描述)。要找到文本文件的位置，可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows第11章Windows2000的安全用用1612000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值CategoryMessageFile的條目。CategoryMessageFile的值包含著文檔的路徑和文件名，而該文檔包括對安全事件日志文件標(biāo)識符的類別描述。提示類別和事件描述有可能被放在同一個文件中。

檢測Windows2000的某種服務(wù)所支持的所有安全事件類別

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看某個服務(wù)或應(yīng)用程序可以向日志中寫入多少種類別標(biāo)識符，可以按照下面的步驟完成：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值CategoryCount的條目。CategoryCount的值包含該應(yīng)用程序在安全事件日志文件標(biāo)識符中所使用的類別描述的總數(shù)。

確定Windows2000的某種服務(wù)所支持的安全事件類型

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要查看某個服務(wù)或應(yīng)用程序可以將哪種事件類型寫入日志，可以按照下面的步驟完成注冊表的修改：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項(xiàng)，其中[appname]是用引號括起的應(yīng)用程序或服務(wù)的名稱。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值TypesSupported的條目。TypesSupported的值包含該應(yīng)用程序在安全事件日志文件標(biāo)識符中使用的事件類型值。

強(qiáng)迫Windows2000系統(tǒng)在安全事件日志滿時崩潰

Windows2000提供了把有關(guān)安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創(chuàng)建和維護(hù)的設(shè)置。要強(qiáng)迫系統(tǒng)在日志文件滿時崩潰，可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetControlLSA子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值CrashOnAuditFail的條目。使用DWord編輯器把CrashOnAuditFail的值設(shè)為1，強(qiáng)迫系統(tǒng)在安全事件日志由于最大尺寸或事件條目生存期設(shè)置的問題而無法擴(kuò)展時崩潰。提示如果值CrashOnAuditFail不存在，則使用“編輯”|“添加值”來創(chuàng)建它。警告啟用該值可能會導(dǎo)致無法恢復(fù)的系統(tǒng)崩潰。

設(shè)置Netlogon服務(wù)變動日志的大小

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制以字節(jié)計的變動記錄大小的注冊表項(xiàng)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值ChangeLogSize的條目。使用DWord編輯器把ChangeLogSize的值設(shè)為變動記錄文件所期望的大小，以字節(jié)計。提示:保留ChangeLogSize的設(shè)置為4MB也不會造成任何損害。實(shí)際上，較大的設(shè)置可以提高效率。缺省(也是最小)的值為64K(大約200個條目)。警告:所有備份域控制器(BDC)都應(yīng)該有相同的ChangeLogSize值。

管理Netlogon服務(wù)信箱消息的內(nèi)存使用

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制Netlogon服務(wù)在開始丟失信箱消息(每個消息消耗非頁面式內(nèi)存池的1500個字節(jié))之前已排隊(duì)了多少個消息的注冊表項(xiàng)，可以按照如下步驟修改注冊表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MaximumMailslotMessages的條目。使用DWord編輯器把MaximumMailslotMessages的值改為希望參加排隊(duì)的消息數(shù)目。提示MaximumMailslotMessages的范圍是1到0xFFFFFFF，缺省值為500。警告把MaximumMailslotMessages的值設(shè)置得太低可能會導(dǎo)致丟失信箱信件。

微調(diào)Netlogon服務(wù)信箱消息的處理性能

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制Netlogon服務(wù)在開始丟失過期信箱信件(這可以防止Netlogon在過載環(huán)境中處理無效的消息)之前某個信箱消息等待處理的秒數(shù)的注冊表項(xiàng)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MaximumMailslotTimeout的條目。使用DWord編輯器把MaximumMailslotTimeout的值改為信箱消息等待Netlogon處理的時間，以秒為單位。

提示:MaximumMailslotTimeout的范圍是5到0xFFFFFFF秒，缺省值為10。警告:把MaximumMailslotTimeout的值設(shè)置得太低可能會導(dǎo)致丟失信箱信件。

防止經(jīng)由網(wǎng)橋/路由器的信箱消息阻塞

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制Netlogon是否對因網(wǎng)橋/路由器問題(通常是網(wǎng)橋/路由器無法在過期之前對報文的目的地進(jìn)行解密)引起的信箱消息阻塞敏感的注冊表項(xiàng)，可以按照如下步驟修改注冊表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值MailslotDuplicateTimeout的條目。使用DWord編輯器把MailslotDuplicateTimeout的值改為0，禁止忽略Netlogon復(fù)制信箱消息(這樣做會因網(wǎng)橋/路由器引起的消息阻塞而導(dǎo)致問題)。提示值MailslotDuplicateTimeout的范圍是從0到5秒。較高的設(shè)置可以避免處理復(fù)制消息，但是會阻塞來自客戶的重試企圖。

設(shè)置BDC脈沖的頻率

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制在向BDC發(fā)送脈沖指示進(jìn)行更新之前PDC多少秒收集一次變化的注冊表項(xiàng)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Pulse的條目。使用DWord編輯器把Pulse的值改為兩次發(fā)送更新脈沖之間的延遲時間(以秒為單位)。提示值Pulse的范圍是從60(1分鐘)到172800(2天)，缺省值是300(5分鐘)。第11章Windows2000的安全用用165

管理BDC脈沖的并發(fā)

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。你可以使用注冊表來控制一次發(fā)出多少個BDC更新通知(脈沖)(期望PDC能夠同時處理遠(yuǎn)程過程調(diào)用以便更新遠(yuǎn)程數(shù)據(jù)庫)。要做到這一點(diǎn)，可按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseConcurrency的條目。使用DWord編輯器把PulseConcurrency的值改為PDC能夠處理的并發(fā)BDC數(shù)據(jù)庫更新的個數(shù)。你需要在PDC服務(wù)器的負(fù)載和會導(dǎo)致失敗的過期BDC數(shù)據(jù)庫之間找到一個平衡點(diǎn)。提示值PulseConcurrency的范圍是從1到500個并發(fā)脈沖，缺省值是20。

控制BDC脈沖的ping操作

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。你可以訪問注冊表項(xiàng)來控制PDC給某個BDC發(fā)送更新脈沖(ping)的最大間隔秒數(shù)，而不管BDC的數(shù)據(jù)庫是否需要更新。要做到這一點(diǎn)，可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseMaximum的條目。使用DWord編輯器把PulseMaximum的值改為PDC/BDC兩次脈沖ping操作之間的等待時間(以秒為單位)。提示值PulseMaximum的范圍是從60(1分鐘)到172800(2天)，缺省值是72000(2小時)。

防止BDC脈沖超時

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制在被標(biāo)記為超時之前BDC必須在多少秒以內(nèi)響應(yīng)PDC脈沖的注冊表項(xiàng)，可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseTimeout1的條目。使用DWord編輯器把PulseTimeout1的值改為網(wǎng)絡(luò)維護(hù)有效的BDC脈沖響應(yīng)所希望的時間(以秒為單位)。提示值PulseTimeout1的范圍是從1到120，缺省值是5。

防止BDC復(fù)制超時

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制在被標(biāo)記為超時之前BDC必須在多少秒以內(nèi)完成部分?jǐn)?shù)據(jù)庫復(fù)制的注冊表項(xiàng)，可以按照下面的步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值PulseTimeout2的條目。使用DWord編輯器把PulseTimeout2的值改為網(wǎng)絡(luò)完成部分BDC數(shù)據(jù)庫的復(fù)制所希望的時間(以秒為單位)。注意，這個值只有在BDC數(shù)據(jù)庫的傳輸因?yàn)槌叽鐔栴}需要多個遠(yuǎn)程過程調(diào)用(remoteprocedurecall,RPC)時才會使用。提示值PulseTimeout2的范圍是從60(1分鐘)到3600(1小時)，缺省值是300(5分鐘)。

防止BDC脈沖響應(yīng)通信阻塞

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。你可以使用注冊表控制BDC在用RPC調(diào)用初始化數(shù)據(jù)庫復(fù)制來響應(yīng)PDC脈沖之前隨機(jī)等待的秒數(shù)(這樣可以防止復(fù)制通信被阻塞，因?yàn)樗械腂DC脈沖都試圖同時更新)。要做到這一點(diǎn)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值Randomize的條目。使用DWord編輯器把Randomize的值改為基于經(jīng)驗(yàn)和網(wǎng)絡(luò)流量需求的秒數(shù)。提示值PulseTimeout2的范圍是從0到120，缺省值是1。警告Randomize的值必須小于PulseTimeout1的設(shè)置。

根據(jù)網(wǎng)絡(luò)條件配置BDC的復(fù)制

作為基于域的Windows2000網(wǎng)絡(luò)一部分的工作站可以使用遠(yuǎn)程數(shù)據(jù)庫進(jìn)行登錄驗(yàn)證，這種服務(wù)稱為Netlogon。有許多注冊表?xiàng)l目都可以控制Netlogon的操作。要訪問控制分配給更新BDC的系統(tǒng)資源的百分?jǐn)?shù)，可以按照如下步驟進(jìn)行操作：1)打開“開始”菜單并選擇“運(yùn)行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進(jìn)入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項(xiàng)HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項(xiàng)。單擊該子項(xiàng)選取它，在右窗口中顯示其值。4)定位到值ReplicationGovernor的條目。使用DWord編輯器把ReplicationGovernor的值改為0到100之間的設(shè)置，它表示每個復(fù)制調(diào)用所使用的傳輸緩沖內(nèi)存以及BDC完成未完成的復(fù)制請求所需時間量的百分?jǐn)?shù)。在更改該設(shè)置必須小心，因?yàn)樵谕ㄐ咆?fù)載很重的環(huán)境中BDC復(fù)制可能無法完成。警告設(shè)置ReplicationGovernor的值等于0將關(guān)閉BDC數(shù)據(jù)庫復(fù)制。