ACL提供对通信流量的控制手段。例如，ACL可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。

　　ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络，而拒绝主机B访问。

　　ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如，用户可以允许E-mail通信流量被路由，拒绝所有的Telnet通信流量。

　　例如：某部门要求只能使用 WWW 这个功能，就可以通过ACL实现； 又例如，为了某部门的保密性，不允许其访问外网，也不允许外网访问它，就可以通过ACL实现。

　　ACL具体的执行流程

　　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。

　　这里要注意，ACL不能对本路由器产生的数据包进行控制。
 
ACL的执行过程:
一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。
　　数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。
 
ACL的分类:
目前有两种主要的ACL:标准ACL和扩展ACL、通过命名、通过时间。

　　标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号 扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号

　　标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

　　扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

　　在标准与扩展访问控制列表中均要使用表号，而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目，这样可以让我们在使用过程中方便地进行修改。 在使用命名访问控制列表时，要求路由器的IOS在11.2以上的版本，并且不能以同一名字命名多个ACL，不同类型的ACL也不能使用相同的名字。

　　随着网络的发展和用户要求的变化，从IOS 12.0开始，思科（CISCO）路由器新增加了一种基于时间的访问列表。通过它，可以根据一天中的不同时间，或者根据一星期中的不同日期，或二者相结合来控制网络数据包的转发。这种基于时间的访问列表，就是在原来的标准访问列表和扩展访问列表中，加入有效的时间范围来更合理有效地控制网络。首先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。

　　基于时间访问列表的设计中，用time-range 命令来指定时间范围的名称，然后用absolute命令，或者一个或多个periodic命令来具体定义时间范围。
 
正确放置ACL:
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。

　　假设在的一个运行TCP/IP协议的网络环境中，网络只想拒绝从RouterA的T0接口连接的网络到RouterD的E1接口连接的网络的访问，即禁止从网络1到网络2的访问。

　　根据减少不必要通信流量的通行准则，网管员应该尽可能地把ACL放置在靠近被拒绝的通信流量的来源处，即RouterA上。如果网管员使用标准ACL来进行网络流量限制，因为标准ACL只能检查源IP地址，所以实际执行情况为：凡是检查到源IP地址和网络1匹配的数据包将会被丢掉，即网络1到网络2、网络3和网络4的访问都将被禁止。由此可见，这个ACL控制方法不能达到网管员的目的。同理，将ACL放在RouterB和RouterC上也存在同样的问题。只有将ACL放在连接目标网络的RouterD上（E0接口），网络才能准确实现网管员的目标。由此可以得出一个结论: 标准ACL要尽量靠近目的端。

　　网管员如果使用扩展ACL来进行上述控制，则完全可以把ACL放在RouterA上，因为扩展ACL能控制源地址（网络1），也能控制目的地址（网络2），这样从网络1到网络2访问的数据包在RouterA上就被丢弃，不会传到RouterB、RouterC和RouterD上，从而减少不必要的网络流量。因此，我们可以得出另一个结论：扩展ACL要尽量靠近源端。

 
设置驱动器号
你点start，在computer右键，选manage，之后就会打开 computer management界面。
点选下面disk management，就会看到你的硬盘分区状况，如果看到一个隐藏分区，给他分配驱动器号就可以了。

2、停用不需要的服务：
方法一：在〔开始〕\〔运行〕\键入〔services.msc〕打开服务窗口
检查右边窗口将不需要的服务在〔启动类型〕内选〔已禁止〕；再在〔服务状态〕中选〔停用〕
方法二：打开 优化大师--系统性能优化--后台服务优化--左键选中需要停止的多余服务--停止服务--完成
以下是具体的停止服务项目和我个人的意见：
1)alerter 错误警报 （要它干嘛？这东西搞得我像个微软免费的测试员似的 关！）
2)automatic updates windows 自动更新 （我不需要这东西 关！）
3)background intelligent transfer service 使用空闲的网络带宽传数据 （晕！本来网速就不够还要留给微软20%的宽带，神经！）
4)clipbook 与远程电脑来共享剪贴板内容（还让别人能看到我的桌面，哼，我看还是免了吧！速关！）
5)Computer browser 维护网络更新列表 （凭什么要我维护它啊？）
6)DHCP client （我不需要这东西 ）
7)Distributed link tracking client 保持局域网连接更新等信息（偶很少用局域网，这东西占用4M左右内存，郁闷中）
8)Distributed Transaction coordinator 协调xxx（唉！和上面的差不多）
9)DNS Client （我不需要这东西）
10)Error reporting service 错误报告 （又是一个垃圾功能，赶紧关！）
11)Event Log 系统日志纪录 （记录它有什么用？还要浪费我宝贵的硬盘空间！吐！）
12)Fast user switching compatibility 用户切换（难道多人能同时用一台电脑，可惜键盘不够呵呵！）
13)help and support 帮助 （微软想帮助谁？多操闲心）
14)Human interface device access 智能设备（ 据说是可以高级使用，唉！我又不是搞原子弹的专家今辈子估计都见不到什么智能设备了！乘早关了）
15)IMAPI CD-burning COM service 刻录（嘿嘿！偶不用这个刻碟）
16)Indexing service 索引（索引什么呢？）
17)Internet Connection Firewall(ICF) ICF防火墙 （防火墙，病毒来了连自己都保不住，败兵一个拉出去斩了！）
18)IPSEC Services （这个我不懂，你想知道问鳖儿-盖兹去）
19)Logical Disk manager administrative service 配置磁盘 （系统好好的，配置谁的磁盘？关！）
20)messenger （好像net send 等东西用的就是这个功能 ）
21)MS software shadow copy provider 卷复制备份的（没事谁复制卷干嘛？神经！）
22)Net Logon （天哪！我可不想让黑客远程登录进来，急速关！）
23)Netmeeting remote desktop sharing （我不用netmeeting）
24)Network DDE 动态数据交换传输 （搞得我好象是中情局的间谍似的，踢开）
25)Network DDE DSDM （和上面差不多）
26)Network Location Awareness 一种共享协议（关！我的机子不作共享，我怕病毒！谁不怕毒就别关）
27)NTLM Security support provider－telnet 这个功能太神秘了（呵呵，关！）
28)Performance logs and alert 将系统状态写日志或发警告 （怎么总是警告？关！）
29)Portable media serial number （关！）
30)Print Spooler 打印机（不幸的是我的机子不连接Print 886）
31) QoS RSVP 关！
32)Remote desktop help session manager 远程帮助服务 （有时候能用上）
33)remote Procedure Call LOCATOR 管理RPC
34)remote registry 远程管理注册表 （还让别人能看到我的桌面，我看还是免了吧！速关！）
35)removable storage （关！）
36)routing and remote access （我干脆禁用了它 ）
37)security accounts manager 我的系统只是一个客户系统，不用iis。
38)smart card
39)smart card helper （关！！！）
40)SSDP Discovery service （我用不到这个关！）
41)system event notification （如果是服务器肯定要记录的，可惜我的电脑是我私人的！关！）
42)system restore service 系统还原服务 （没事还原系统干嘛？关！）
43)task scheduler windows 计划服务 （计划什么啊！我计划明天去北京，这个能帮我吗？）
44)Telephony 拨号服务（用拨号上网的朋友千万别关它，否则就上不去了。）
45)telnet （它在哪？我一直用不上！也见不到这个功能！关）
46)terminal services 终端服务 （我的电脑又不是银行收款机，要终端干嘛？）
47)uninterruptible power supply UPS，我没有呀
48)universal plug and play device host （太先进了点，用不到 ）
49)upload manager 关了也能传输文件的
50)volume shadow copy 备份（又是备份，晕 微软好象很喜欢备份资料，备份的这些谁能用上？关！）
51)webclient （不清楚没用过）
52)Windows Installer MSI服务（我一直关着）
53)windows image acquisition (WIA) （有扫描仪和数码设备的朋友别关这个）
54)windows management instrumentation driver extensions 关了
55)windows time 时间同步服务 （我看时间是直接把手机拿出来看，虽说差了几秒种，还能凑合。谁为了看个时间还专门跑回去把电脑打开！没毛病吧？此项功能可算是微软十大垃圾功能之首了！）
56)wireless zero configuration 无线网络（台式机用无线网卡？很少听说这样整的！反正偶用不到关）
57)WMI perfromance adapter （怎么还是个垃圾功能 关！）
这里面的一些服务是刚开始就是关的，但我忘了，所以只好把现在系统中关闭的服务基本都列了出来。你根据自己的情况酌情处理吧。
3、加快开机与关机的速度：
①选“开始\运行”，键入Regedit，展开HKEY_CURRENT_USER\Control Panel\Desktop，将字符串值“HungAppTimeout”的数值更改为200，再将字符串值“WaitToKillAppTimeout”的数值数据更改为1000；
②另在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control下，将字符串值“HungAppTimeout”的数值数据更改为200，将字符串值“WaitToKillServiceTimeout”的数值数据更改为〔1000〕；
③使用微软 Bootvis.exe 优化启动速度。我们到微软官方网站先下载 bootVis.exe，然后解压后运行bootvis.exe，之后在Trace下选next boot和driver delays等，此后XP会重新启动，并将记录启动数据产生成BIN的文件。再在“file\open中打开这个文件，在Trace下选Optimize system即可。
提示：此优化需时颇长，请耐心等待。
4、加快预读能力改善开机速度　　
　　Windows XP预读设定可提高系统速度，加快开机速度。按照下面的方法进行修改可进一步善用CPU的效率： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManagerMemoryManagement]，在PrefetchParameters右边窗口，将EnablePrefetcher的数值数据如下更改，如使用PIII 800MHz CPU以上的建议将数值数据更改为4或5，否则建议保留数值数据为默认值即3。　　
二、关闭多余累赘功能

1.关闭系统还原功能
"我的电脑"->"属性"->"系统还原"，选"在所有的驱动器上关闭系统还原"。也可关闭不重要的分区的系统还原.如果考虑系统安全，则不要关闭还原功能。
2.关闭自动更新
"我的电脑"->"属性"->"自动更新"，选择"关闭自动更新，我将手动更新计算机"。
3.关闭远程桌面
"我的电脑"->"属性"->"远程"，"远程桌面"里的"允许用户远程连接到这台计算机"勾去掉。
4.取消休眠功能
"我的电脑"->"电源管理"->"休眠"，将"启用休眠"前的勾去掉，约200MB。
5、关闭时间同步
点 开始--设置--控制面板--日期、时间和区域设置--日期和时间--Internet时间--去掉自动与Internet时间
服务器同步前面的勾，退出即可。
6、关闭启动时窗口标志画面：
在〔开始〕\〔运行〕\键入〔msconfig〕\选〔boot.ini〕
然后在〔启动选项〕内选〔NOGUIBOOT]
重新开机便没有了窗口标志的画面
7、自动关闭停止响应程序
有些时候，XP会提示你某某程序停止响应，很烦，通过修改注册表我们可以让其自行关闭，在HKEY_CURRENT_USER--Control Panel--Desktop中将字符健值是AutoEndTasks的数值数据更改为1，重新注销或启动即可。
8、减少多重启动时等待时间：
方法一：用 Notepad 打开在 C:\ 目录下的 boot.ini 档案，将内容〔timeout〕的设定值由预设的 30 (秒) 改为要求等待的秒数数字，存盘。
方法二：也可以通过〔开始〕\〔运行〕\键入〔msconfig〕，打开boot.ini 选项，进行秒数的修改。
方法三：右键点击“我的电脑”，选择属性\高级\启动和故障恢复\设置，在此修改启动等待时间。
9、关闭 XP 内设的烧碟功能：
如果不打算使用此功能可将其关闭，可加快使用 Nero 烧录软件的速度，因为Windows XP 的烧录系统由 Roxio 公司提供 (即与 Easy Cd Creator 同公司)。
在〔控制面板〕\〔管理工具〕\〔服务〕\在右边窗口选〔IMAPI CD-Burning COM Service〕\〔启动类型〕\选〔已停用〕

二、删除一些可不用的东西
1.删除驱动器备份
"\windows\Driver cache\i386"下的Driver.cab文件，约70MB。
2.删除帮助文件
"\Windows\Help"下，约40MB
3.删除备用DLL文件
"\Windows\System32\Dllcache"，约200MB.最好有安装光盘或安装文件备份，以备用。
4.删除不用的输入法
"Windows\Ime"，如日文，韩文，繁体中文输入法。
5、据说XP的一个系统服务Qos，这个调度要占用一定的网络带宽，像我这样的一毛不拔的人是无法忍受的，去掉方法是：开始菜单→运行→键入 gpedit.msc ，出现“组策略”窗口， 展开 "管理模板”→“网络” ， 展开 "QoS 数据包调度程序"， 在右边窗右键单击“限制可保留带宽" ，在属性中的“设置”中有“限制可保留带宽" ，选择“已禁用”，确定即可。当上述修改完成并应用后，用户在网络连接的属性对话框内的一般属性标签栏中如果能够看到"QoS Packet Scheduler（QoS 数据包调度程序）"。说明修改成功，否则说明修改失败，顺便把网络属性中的那个Qos 协议也一起干掉（卸载）吧。
6、修改注册表的run键，取消那几个不常用的东西，比如Windows Messenger 。启用注册表管理器：开始→运行→Regedit→找到“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\MSMSGS” /BACKGROUND 这个键值，右键→删除，世界清静多了，顺便把那几个什么cfmon的都干掉吧。
7、快速浏览局域网络的共享
通常情况下，Windows XP在连接其它计算机时，会全面检查对方机子上所有预定的任务，这个检查会让你等上30秒钟或更多时间。去掉的方法是开始→运行→Regedit→在注册表中找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\RemoteComputer\NameSpace。在此键值下，会有个{ D6277990-4C6A-11CF-8D87-00AA0060F5BF }键，把它删掉后，重新启动计算机，Windows XP就不再检查预定任务了，hoho~~~ ，速度明显提高啦！
8、关掉调试器Dr. Watson
我好像从win95年代开始一次也没用过这东西，可以这样取消：打开册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分支，双击在它下面的Auto键值名称，将其“数值数据”改为0，最后按F5刷新使设置生效，这样就取消它的运行了。沿用这个思路，我们可以把所有具备调试功能的选项取消，比如蓝屏时出现的memory.dmp，在“我的电脑→属性→高级→设置→写入调试信息→选择无”等等。
三、其他技巧
1.恢复EXE文件关联
EXE文件关联出错非常的麻烦，
因为这种情况的出现多是由于病毒引起的，而杀毒软件的主文件都是EXE文件，既然EXE文件关联出错，又怎能运行得了杀毒软件呢？还好XP提供了安全模式下的命令行工具供我们使用，可以利用命令行工具来解决这个问题。
在安全模式下输入：assoc<空格>.exe=exefile<回车>，屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口，按Ctrl+Alt+Del组合键调出“Windows安全”窗口，按“关机”按钮后选择“重新启动”选项，按正常模式启动Windows后，所有的EXE文件都能正常运行了！
3.更改Windows XP序列号
在Windows XP安装完毕以后，
可能由于某些原因你又想在已经安装完毕的Windows XP上更改序列号，该怎么办呢？使用激活向导可以满足你的要求。开始之前，强烈建议你在修改之前作一个系统还原点，以免误操作引起不必要的麻烦。
点击“开始”→“运行”，输入regedit后回车，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE＼Software＼Microsoft＼WindowsNT＼Current Version＼WPAEvents，在右边右键单击OOBETimer，然后选择修改，至少修改一个字节，确定保存。
点击“开始”→“运行”，输入%systemroot%＼system32＼oobe＼msoobe.exe /a，选择通过电话激活以后点击“下一步”，点击修改序列号，输入新的序列号以后选择“更新”，如果退回到前一个画面，那么选择稍后激活，并重新启动，反复前面的步骤直到修改成功为止，重新激活。点击确定，安装SP1。
如果你安装SP1以后不能重新启动，那么启动的时候按F8，选择使用“最后一次正确的配置”，然后重复以上流程。本方法适用于Windows XP Professional。
最后说一句，优化系统要作好备份，不然挂的时候都哭不出了，而且优化不可能一次作到位的，要多弄几次就会了。
优化多度，反而会带来负面影响！！！！

★桌面右下角输入法图标不显示时，怎么才能它再出来?
xp系统的输入法图标的设置
方法1、最简单的:在任务栏单击鼠标右键，弹出快捷菜单，把鼠标移动到“工具栏”上
，会弹出子菜单，看看其中的“语言栏”有没有被选中，如果没有选中，单击选中“语
言栏”，一般会显示输入法图标。
方法2、较复杂的:在“控制面板”中打开区域和语言选项。在“语言”选项卡的“文字
服务和输入语言”中，单击“详细信息”。在“首选项”下，单击“语言栏”。选中“
在桌面上显示语言栏”复选框。注意要打开“区域和语言选项”，请依次单击“开始”
、“控制面板”、“日期、时间、语言和区域选项”，然后单击“区域和语言选项”。
如果您安装诸如手写、语音，或输入法编辑器(IME)这样的文字服务，将自动显示语言
栏。但是，如果关闭语言栏，您可以使用此过程重新显示它。如果要将语言栏最小化到
任务栏，请单击任务栏上的“语言”图标，然后单击“显示语言栏”。只要显示了语言
栏，您就可以右键单击它来显示菜单。使用该菜单可以更改语言栏的设置，例如，使它
透明或删除文本标签。
方法3、最复杂的:点“开始→运行”，键入“msconfig”，单击“确定”或回车，运行“系统配置实用程序”，在“启动”里把“Ctfmon.exe”选中，单击“确定”，然后注销或重新启动应该就可以了。这是因Ctfmon.exeAlternativeUserInputTextProcessor
(TIP)和MicrosoftOffice语言条，提供语音识别、手写识别、键盘、翻译和其它用户输
入技术的支持。这个程序没有启动也会造成输入法图标不显示。
方法4最复杂的:对于Windows XP系统，只需单击“开始”-“运行”，然后在打开一栏
中输入ctfmon回车, 重新启动系统后，会发现输入法图标重新出现了，而且所有安装的
输入法全部都会显示出来，但唯独不能用键盘在不同的输入语言之间切换。
　　解决办法是右键单击输入法图标，再依次单击“设置”、“键设置”、“更改按键
顺序”按纽，然后选中“切换输入语言”和“切换键盘布局”复选框打钩，最后按照个
人习惯设置左手ALT或右手ALT，连续单击“确定”按纽退出即可。
　　在文字服务里点高级，在启用高级文字服务前打上勾。

win98系统和Win2000系统的输入法图标的设置
win98中还可在控制面板中解决问题,可这对Win2000来说,就大为不妙了,因为控制面板
中根本就没有输入法这一项!在网上也看了不少关于这一问题的讨论,但都不令我满意,
今日,只好把我自己的密招亮出来了,也许能解众生心头之痛: 管理输入法切换的那个托
盘图标,应该也是一个程序吧?它就是 internat.exe, 位于 windows\system32 下, 双
击运行它,右下角立即出现令你兴奋的图标了,然后右击输入法图标\属性\钩选"启用任
务栏上的指示器",这样不但治标,而且治本——以后开机，一度丢失的输入法图标重现!
显.
　(把本文件夹下的 internat.exe 复制到 windows\system32 下去,然后运行它,再作
钩选"启用任务栏上的指示器"的设置)

www.51cto.com）之间的互相解析（转换）。

二、DHCP：是 Dynamic Host Configuration Protocol(动态主机分配协议)缩写，主要用于对网络中设置

为自动获取的电脑分配IP地址、子网掩码、网关、DNS等。

三、WINS:是Windows Internet Naming Server，即Windows Internet 命名服务。它提供一个分布式数据

库，能在路由网络的环境中动态地对IP地址和NETBios名的映射进行注册与查询。WINS用来登记NetBIOS计

算机名，并在需要时将它解析成为IP地址。就是可以把计算机名和IP地址之间进行互相解析（转换）。

四、AD：活动目录（Active Directory），是一种目录服务。Active Directory存储了有关网络对象的信

息（例如用户、用户组、计算机、域、组织单位（OU）以及安全策略），并且让管理员和用户能够轻松地

查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息

进行合乎逻辑的分层组织，Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境

各个组成要素的标识和关系提供了一种有力的手段。他就是存储在DC（域控制器）上的一个数据库，其内

存储了域中用户的各种信息。

五、GC：全局编录，是存储林中所有 Active Directory 对象的副本的域控制器。全局编录存储林中主持

域的目录中所有对象的完全副本，以及林中所有其他域中所有对象的部分副本，在一个森林中可以有多台

。GC用于：存储森林中所有对象信息，方便最终用户进行搜索；存储通用组成员身份信息，帮助用户构建

访问令牌；用户使用UPN名称登录时决定用户属于森林的那个域；可以为森林中的Exchange提供服务；AD

站点和服务中，在目标DC中右击NTDS Settings，查看常规选项卡下的全局编目的勾是否打上。

六、AD五角色（FSMO角色，Flexible single master operation就是灵活单主机操作）
（一）森林级别(即一个森林只存在一台DC有这个角色):
  (1)、Schema Master中文翻译成:架构主控。用于修改活动目录的源数据，可以支AD进行扩展。
  服务器建议:在占有Schema Maste的域控制器上不需要高性能，因为我们不是经常对Schema进行操作的

，除非是经常会对Schema进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装

Exchnage或LCS之类的软件时会出错。
  (2)、Domain Naming Master中文翻译成:域命名主控。它的主要作用是管理森林中域的添加或者删

除。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进

行联系，如果Domain Naming Master处于Down机状态的话，你的添加和删除操作那上肯定会失败的。
   服务器建议:对占有Domain Naming Master的域控制器同样不需要高性能，因为没有一个网络管理员会

经常在森林里添加或者删除域，当然高可用性是有必要的，否则就没有办法添加删除森里的域了。
（二）域级别(即一个域里面只存一台DC有这个角色):
  (1)、PDC Emulator 中文翻译成:PDC仿真器。虽然从Windows 2000域开始，不再区分PDC还是BDC，但

实际上有些操作则必须要由PDC来完成，那么这些操作就由PDC Emulator来完成，主要是以下操作:
a、处理密码验证要求。默认情况下，Windows域里的所有DC会每5分钟复制一次，但有一些情况是例外的

，当有密码被修改，它会先被复制到PDC Emulator，然后由PDC Emulator触发一个即时更新，以保证密码

的实时性，当然，由于网络的规模和线路情况的影响，复制也是需要时间的，所以还是会存在一定的时间

差。
b、统一域内的时间。微软活动目录是用Kerberos（网络认证协议）协议来进行身份认证的，在默认情况

下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止

回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。
C、向域内的NT4 BDC提供复制数据源。从NT4升级而来的Windows 2000域需要PDC Emulator提供复制数据

源。
d、统一修改组策略的模板。
e、对Winodws 2000以前的操作系统，如WIN98之类的计算机提供支持。对于Windows 2000之前的操作系统

，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows域时，它们会尝试联系PDC，而实际上

PDC已经不存在了，所以PDC Emulator就会成为它们的联系对象。
   服务器建议:从上面的情况可以看出来，PDC Emulator是FSMO五种角色里任务最重的，所以对于占用

PDC Emulator的域控制器要保证高性能和高可用性。
(2)、RID Master 中文翻译成:RID主控。分配可用RID池给域内的DC和防止安全主体的SID重复。在

Windows的安全子系统中，用户的标识不取决于用户名，虽然在一些权限设置时用的是用户名，但实际上

取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安

全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain

SID+RID，这就需要用到RID Master的作用。
   服务器建议:不必要使用高性能，因为很少会经常性的利用批处理或脚本向活动目录添加大量的用户，

因为只有这个时候DC先前被分配的RID池中的号码用完了，DC才会向 RID Master 去要一堆的 RID号码，

等到用完后再去跟 RID Master 去要。这个情况一般是不多的，当然高可用性是必不可少的，否则就没有

办法添加用户了。
(3)、Infrastructure Master 中文翻译成:基础架构主控。它的主要作用就是用来更新组的成员列表

，因为在活动目录中很有可能有一些用户从一个OU（组织单位）转移到另外一个OU，那么用户的DN名就发

生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的

。
服务器建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的

情况下，Infrastructure Master根本不起作用，所以一般情况下对于占有Infrastructure Master的域控

制器往忽略性能和可能性。

七、关于FSMO的规划，在规划时，按以下原则进行:
1、占有Domain Naming Master角色的域控制器必须同时也是GC;
2、不要把Infrastructure Master和GC放在同一台DC上;
3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;
4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;
5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;
6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上.

八、FSMO五种角色在网络中的分布情况查看：
1、通过图形界面查看:（GUI介面下不能一次性获得五种角色的分布，只能通过多种方法）
（1）Schema Master架构主控
  首先在“开始-运行”中输入:“regsvr32 schmmgmt”，回车，然后点击“确定”注册一下这个组件

。然后再点击“开始-运行”，输入:“MMC”，回车，进入控制台，再点击“添加”选中“Active

Directory架构”（没有进行regsvr32 schmmgmt”这一步，这里不会有这个选项），点击“添加”，然后

点“关闭”，然后点击“确定”，在控制台上选中“Active Directory架构”击“右键”，选择“操作主

机”就可以看到当前的架构主控了。
（2）、RID Master、Infrastructure Master、PDC Emulator
  点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”在域名上单击右键在出来

的菜单中选择“操作主机”在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure

Master的分布情况。
（3）、Domain Naming Master
  点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”在“Active Directory域

和信任关系”上击右键选择“操作主机”这就是“Domain Naming Master”所在的域控制器。
  以上就是用GUI来查看FSMO五种角色的分布情况，用GUI介面不但可以查看，还可以随意的改变这五种

角色的分布情况（在目标机上查看时选“更改”就可以改变角色主机），但缺点是比较麻烦，需要较多的

操作项目，如果仅仅是查看就比较的浪费时间。

2、使用命令行工具查看：
首先需要安装Support Tools，在windows2003安装光盘中的Support\Tools子文件下双击

SUPTOOLS.MSI安装支持工具，默认安装在系统盘的Program Files文件下，安装成功后，点击“开始→程

序→Windows Support Tools→Command Prompt”然后运行“netdom query fsmo”马上把当前域里的FSMO

五种角色所在的域控制器罗列出来。

3、使用VB脚本程序来查看：

Set objRootDSE = GetObject("LDAP://rootDSE")
Dim text
' Schema Master
Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))
strSchemaMaster = objSchema.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strSchemaMaster)
Set objComputer = GetObject(objNtds.Parent)
text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' Domain Naming Master
Set objPartitions = GetObject("LDAP://CN=Partitions," & _
objRootDSE.Get("configurationNamingContext"))
strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' PDC Emulator
Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))
strPdcEmulator = objDomain.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strPdcEmulator)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' RID Master
Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _
objRootDSE.Get("defaultNamingContext"))
strRidMaster = objRidManager.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strRidMaster)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Domain's RID Master FSMO: " & objComputer.Name & vbCrLf
Set objNtds = Nothing
Set objComputer = Nothing
' Infrastructure Master
Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _
objRootDSE.Get("defaultNamingContext"))
strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")
Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)
Set objComputer = GetObject(objNtds.Parent)
text=text&"Domain's Infrastructure Master FSMO: " & objComputer.Name & vbCrLf
WScript.Echo text

将上面内容复制下来，再保存为VBS文件，然后双击之运行，会出现一个对话框显示五种角色所在的域控

制器名。

九、AD角色的转移及夺取
（1）角色的转移：在域控制器都正常的情况下，在新建的额外的域控制器中使用GUI界面查看五种角色

时，单击“更改”就可以改变角色为当前主机。
（2）角色的夺取：当拥有角色的域控制器出现故障损坏的情况下，对于FSMO的角色就不能进行转移了

，这时就只能强行夺取了，需要用到ntdsutil命令行工具。以下是以DC1、DC2为域控制器，使用test.net

域为例说明命令行的步骤：(在每一步都可输入“？”号来获得帮助)
以下命令在DC2上运行，以夺取DC1上的角色。
c:\&gt;ntdsutil↙
utdsutil:roles↙( 管理 NTDS 角色所有者令牌，进入角色设置)
fsmo maintenance:connections↙（连接到一个特定域控制器）
server connectons:connect to server test.net↙（连接到服务器test.net）
绑定到 test.net ...
用本登录的用户的凭证连接 test.net
server connectons:q↙(返回到上一个菜单)
server connectons:Seize domain naming master↙(夺取域命名主控到DC2，会弹出一个对话框，选择是

)
在：号后面输入下面命令，可夺取相应角色：
Seize domain naming master    - 在已连接的服务器上覆盖域角色
Seize infrastructure master   - 在已连接的服务器上覆盖结构角色
Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色
Seize RID master              - 在已连接的服务器上覆盖 RID 角色
Seize schema master           - 在已连接的服务器上覆盖架构角色
Select operation target       - 选择的站点，服务器，域，角色和命名上下文
而在：号后面输入下面命令，可转移相应角色：
Transfer domain naming master - 将已连接的服务器定为域命名主机
Transfer infrastructure master - 将已连接的服务器定为结构主机
Transfer PDC                  - 将已连接的服务器定为 PDC
Transfer RID master           - 将已连接的服务器定为 RID 主机
Transfer schema master        - 将已连接的服务器定为架构主机

十、Exchange服务器
  一款功能强大的邮件服务器，是消息和协作服务器平台，和AD高度集成，最佳客户端为，office组件中

的OutLook.
1、安装要求：B、win2k3或win2ksp3以上。B、要AD支持。C、安装ASP.NET。D、安装IIS中的web、SMTP、

NNTP三个组件。E、服务器上不要安装自带的POP3服务，否则会和EXchange的POP3相冲突。
2、安装之前先要对架构进行拓展，在Schema Master角色的DC上以管理员登陆，在其上运行Exchange的

ForestPrep进行架构拓展，再运行 DomainPrep（域准备）用于创建 Exchange 服务器在读取和修改用户

属性时所必需的组和权限。
3、在域的成员服务器上安装Exchange，以域管理员身份在域成员服务器上登陆域（事先要把域管理员加

入到域成员服务器的本地管理员组），安装Exchange的消息与协作服务和系统管理工具。
4、在Exchange的系统管理工具中为用户创建邮箱。
5、在客户端全用outlook和Web登陆邮箱使用。

十一、CA服务器
CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份

，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。
可以在windows Server版服务器中建立CA服务器。

十二、LCS服务器
LCS是Live Communications Server的缩写，是微软出品的一款即时通讯产品。

十三、ISA服务器
ISA是Internet Security and Acceleration的缩写，是微软公司推出的一款重量级的网络安全产品，被

公认为X86架构下最优秀的企业级路由软件防火墙，具有防火墙、VPN、网页缓存与加速等功能。

十四、WPAD
WPAD是Web Proxy Auto Discovery的缩写，意思是Web代理服务器自动发现。WPAD的设计目的是让浏览器

能自动发现代理服务器，这样用户可以轻松访问互联网而且无需知道哪台计算机是代理服务器，在IE的工

具－选择－连接－局域网设置－钩选“自动检测设备”来打开本机的自动发现服务。

十五、WSUS服务器
是Windows Server Update Services的缩写，是利用WSUS服务器从微软的更新网站下载补丁，然后再发布

给内网用户，可以节省带宽，增加网络安装性。

十六、SMS
是Systems  Management Server 2003（SMS2003）是微软公司面向应用程序部署，资产管理，安全补丁

管理，移动工作团队支持所开发的企业级变更与配置管理的技术平台。SMS2003能提供桌面安全管理，资

产管理，软件分发，补丁管理、远程控制等功能，SMS在软件分发，远程控制以及和其他微软服务器集成

方面与其他桌面管理软件相比有明显的优势，是网络工程师实现企业桌面管理的一把利器。

十七、MOM
是Microsoft Operations Manager (MOM)可以被形象地视为数据中心的地震仪。它的设计目标是使系统管

理员可以监视 Windows Server 平台、诸如 IIS 和 Active Directory 这样的服务、诸如 SQL Server、

Exchange 和 BizTalk 这样的服务器产品以及业务线应用程序。像地震仪一样，MOM 的设计目标是监视和

收集事件以及从可能表示潜在问题的关键性状态变化中筛选掉噪声。

十八、Forefront Client Security的部署
旨在提供从客户机到服务器的一整套安全解决方案。Forefront的最大亮点是拥有多个安全引擎，通俗地

说就是相当于安装了多家公司的杀毒软件，而且软件之间不会发生冲突。

如果这3个网段对应着3个vlan 是不是还要分别在这三个网段中设置一台DHCP中继代理？
 
如果使用中继代理，那要超级域有何用？两个普通作用域不是一样可以实现？