15.2
事件查看器
通过使用事件查看器 如图 15.1和事件日志,用户可以收集有关硬件、软件、系统问题的信息并监视 Windows 2000 安全事件。
|
第十五章 系统的诊断与修复
|
|
本章内容包括: |
首先,管理员利用 Active Directory 、组策略及 Kerberos 验证等工具,建立一整套完善的安全策略,保证系统的安全可靠性,将人为造成破坏的可能降到最低。
其次,利用系统备份、配置容错能力(如磁盘镜像、RAID)、病毒检查、磁盘碎片整理等工具保证将由硬件问题引起的系统故障降低到最低。
第三,在实施以上步骤后,管理员还要利用事件查看器、网络监视器、系统信息实时监视系统,从而实现及时发现问题解决问题,保证系统的安全稳定。
管理员可以通过设定系统异常的反应措施、制作紧急修复盘、安全模式启动、故障恢复控制台、自动系统恢复等措施,保证当系统发生问题的时候及时的排除问题。
管理员还可以通过任务管理器和性能监视器监测系统的运行性能,发现系统的瓶颈,提高系统的性能。返回页首>>>
|
15.2
事件查看器 |
|
15.2.1
Windows 2000 以三种日志方式记录事件:
应用程序日志
应用程序日志包含程序所记录的事件。例如,数据库程序可记录程序日志中的文件错误。程序开发人员决定监视哪个事件。
安全日志
安全日志包括有效和无效的登录尝试以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。例如,如果用户已经启用登录和注销审核,则登录到系统的尝试将记录在安全日志中。
系统日志
系统日志包含 Windows 2000
的系统组件记录的事件。例如,在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows
2000 预先确定由系统组件记录的事件类型。
注意:
§ 启动 Windows 2000 时事件日志服务会自动启动。
§ 所有用户都可查看应用程序和系统日志。只有系统管理员才能访问安全日志。
§ 在默认情况下,安全日志是关闭的。要启用安全日志,请使用组策略来设置审核策略。管理员也可在注册表中设置审核策略,以便当安全日志满出时使系统停止响应。
15.2.2 事件查看器显示这些事件的五种类型:
错误
重要的问题,如数据丢失或功能丧失。例如,如果在启动过程中某个服务加载失败,这个错误将会被记录下来。
警告
并不是非常重要,但有可能说明将来的潜在问题的事件。例如,当磁盘空间不足时,将会记录警告。
信息
描述了应用程序、驱动程序或服务的成功操作的事件。例如,当网络驱动程序加载成功时,将会记录一个信息事件。
成功审核
成功的审核安全访问尝试。例如,用户试图登录系统成功会被作为成功审核事件记录下来。
失败审核
失败的审核安全登录尝试。例如,如果用户试图访问网络驱动器并失败了,则该尝试将会作为失败审核事件记录下来。
启动 Windows 2000 时,EventLog 服务会自动启动。所有用户都可以查看应用程序和系统日志。只有管理员才能访问安全日志。
在默认情况下,安全日志是关闭的。可以使用组策略来启用安全日志。管理员也可在注册表中设置审核策略,以便当安全日志满出时使系统停止响应。返回页首>>>
15.3
事故恢复
计算机故障就是任何导致计算机无法启动或继续运行的事件。计算机出现故障的原因小到一个硬件损坏,大到整个系统丢失(例如在发生火灾或类似事件)。Windows
2000 在遇到此类事件时,会报告一个"停止"错误消息,并显示一些必要的信息,用户和 Microsoft 产品支持服务工程师可利用这些信息确定并识别问题所在。
故障恢复就是在发生故障后恢复计算机,使用户能够登录并访问系统资源。Windows 2000 提供以下选项可帮助用户识别计算机故障并进行恢复:
安全模式
用户可以使用安全模式启动选项来启动系统,在该模式下只启动最少的必要的服务。安全模式选项包括最后一次的正确配置,如果新安装的设备驱动程序在启动系统时出现问题,该选项尤其有用。
故障恢复控制台
如果安全模式不起作用,用户可以考虑使用故障恢复控制台选项。建议只有高级用户和管理员才使用该选项。使用安装光盘或从光盘创建的软盘来启动系统。然后,就可以访问"故障恢复控制台",这是一个命令行界面,可从该处执行诸如启动或停止服务、访问本地驱动器(包括格式化成
NTFS 文件系统的驱动器)等任务。详细信息,请参阅故障恢复控制台。
紧急修复盘
如果安全模式和故障恢复控制台不起作用,而且事先已做了适当的高级准备,则可以试着用紧急修复磁盘来修复系统。紧急修复磁盘可以帮助修复内核系统文件。
|
15.3.1
安全模式 |
§ 安全模式可帮助用户诊断问题。如果以安全模式启动时没有再出现故障现象,用户可以将默认设置和最小设备驱动程序排除在可能的原因之外。如果新添加的设备或已更改的驱动程序产生了问题,用户可以使用安全模式删除该设备或还原更改。
§ 某些情况下安全模式不能帮助用户解决问题,例如当启动系统所必需的
Windows
系统文件已经毁坏或损坏时。在此情况下,紧急修复磁盘
(ERD) 能够提供帮助。
安全模式选项包括:
安全模式
只使用基本文件和驱动程序(鼠标 -
串行鼠标除外、监视器、键盘、大容量存储器、基本视频、默认系统服务并且无网络连接)启动
Windows 2000。如果计算机没有使用安全模式成功启动,则可能需要使用紧急修复磁盘
(ERD) 功能以修复用户的系统。
网络安全模式
只使用基本文件和驱动程序以及网络连接来启动 Windows
2000。
命令提示符的安全模式
使用基本的文件和驱动程序启动 Windows 2000。登录后,屏幕出现命令提示符,而不是
Windows 桌面、"开始"菜单和任务栏。
|
启用启动记录 |
目录服务恢复模式
不适用于 Windows 2000 Professional。这是针对 Windows 2000 Server 操作系统的,并只用于还原域控制器上的
SYSVOL 目录和 Active Directory 目录服务。
调试模式
启动 Windows 2000,同时将调试信息通过串行电缆发送到其他计算机。
使用"最后一次正确的配置"启动 Windows 2000
步骤1 单击"开始",然后单击"关闭系统"。
步骤2 单击"重新启动",然后单击"确定"。
步骤3 在看到消息"请选择要启动的操作系统"后,请按 F8。
步骤4 使用箭头键高亮显示"最近一次的正确配置",然后按 ENTER。
必须关闭 NUM LOCK,数字键盘上的箭头键才能工作。
步骤5 使用箭头键高亮显示操作系统,然后按 ENTER。返回页首>>>
15.4
故障恢复控制台
如果安全模式 和其他启动选项不能工作,则可以考虑使用"恢复控制台";然而,只有用户是高级用户或管理员(可以使用基本命令标识和定位有问题的驱动程序和文件)时,才推荐用户使用该方法。"恢复控制台"是命令行控制台,在使用计算机
CD 驱动器中的启动光盘或使用从创建的软盘启动计算机后即可使用。有关如何从启动光盘中创建软盘的详细信息,
要使用"恢复控制台",用户需要以 Administrator 帐户登录。该控制台提供了可用于执行简单操作的命令(例如转到不同的目录中或查看目录)和功能更强大的操作命令(例如修复启动扇区)。通过在"恢复控制台"的命令提示符下,键入
help,可以获得这些命令的帮助信息。
使用"恢复控制台",可以启动和停止服务,在本地驱动器(包括用 NTFS 文件系统格式化的驱动器)上读、写数据,从软盘或 CD 上复制数据,修复启动扇区或主引导记录,并执行其他管理任务。如果需要通过从软盘或
CD-ROM 上复制文件来修复系统,或需要重新配置使计算机无法正常启动的服务,则"恢复控制台"特别有用。例如,可以使用"恢复控制台"用软盘中的正确副本替换被覆盖或损坏的驱动程序文件。
1.启动计算机并使用"恢复控制台"
步骤1 在适当的驱动器中,插入"Windows 2000 安装"光盘或用该光盘创建的第一张软盘。
对于不能从 CD 驱动器中启动的系统,必须使用软盘。
对于可从 CD 驱动器中启动的系统,可以使用 CD 或软盘。
步骤2 重新启动计算机,如果使用软盘,要在系统提示下依次插入每张软盘。
步骤3 当开始基于文本部分的安装时,请根据提示,按 R 键选择修复或恢复选项。
步骤4 当系统提示时,按 C 键选择"修复控制台"。
步骤5 按照屏幕上的说明,重新插入为启动系统而创建的一张或多张软盘。
步骤6 如果有双启动或多启动系统,请选择需要从"恢复控制台"中访问的 Windows 2000 安装。
步骤7 系统提示时,键入 Administrator 的密码。
步骤8 在系统提示处,键入"恢复控制台"命令,键入 help 可获得一系列命令的帮助信息,或者键入 help commandname 获得特定命令的帮助信息。
步骤9 要退出"恢复控制台"并重新启动计算机,请键入 exit。
2.从运行 Windows
2000 的计算机上使用"恢复控制台"
步骤1 将 Windows 2000 光盘插入到光盘驱动器中。
步骤2 单击"文件",然后单击"运行"。
步骤3 在"打开"框中,键入命令:
d:\i386\winnt32 /cmdcons (d 是指派给 CD-ROM 驱动器的驱动器号)
步骤4 重新启动计算机并从可用操作系统列表中选择故障恢复控制台选项。
步骤5 系统提示时,键入 Administrator 的密码。
步骤6 在系统提示处,键入"恢复控制台"命令,键入 help 可获得一系列命令的帮助信息,或者键入 help commandname 获得特定命令的帮助信息。
步骤7 要退出"恢复控制台"并重新启动计算机,请键入 exit。返回页首>>>
|
15.5
紧急修复磁盘 |
|
