DFS 命名空間的組態資料是由管理和維護使用 DFS 的 Api 的管理工具。DFS Api 會通知 Active Directory 網域控制站與 DFS 命名空間伺服器的相關設定的變更。這種行為防止變得失去關聯的組態資料,並保證組態資料的一致性。如果禁止通知程序,或是其他一切資料都刪除牌或輸牌,請遵循此處所列移除組態資料的清除步驟。這些變更不是可復原的除非您的系統狀態備份網域控制站或命名空間伺服器。
如需有關修復程序,DFS 命名空間的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件: 969382在 Windows 2003] 及 [2008年伺服器的 DFS Namespace 修復處理程序
網域型 DFS 命名空間,請移除 AD DS 的命名空間的組態資料。移除程序之前, 您必須準確地識別故障或不一致的命名空間相關聯的物件。若要移除 AD DS 的命名空間的組態資料,請依照下列步驟執行: 開啟 [Adsiedit.msc] 工具。這項工具會被包含在 Windows Server 2008,且需要安裝 AD DS 角色或工具。這個工具適用於 Windows Server 2003 支援工具。
以網域為基礎的 DFSN,「 Windows Server 2008 模式" HKEY_LOCAL_MACHINE \Software\Microsoft\Dfs\Roots\domainV2 獨立的 DFSN HKEY_LOCAL_MACHINE \Software\Microsoft\Dfs\Roots\Standalone 以網域為基礎的 DFSN,在 「 Windows 2000 伺服器模式 」 HKEY_LOCAL_MACHINE\Software\Microsoft\Dfs\Roots\Domain 如更多有關 Windows 2000 Server 登錄儲存位置,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]: 224384HOW TO: 強制刪除 DFS 設定資訊 如果找不到名為具有相同的不一致的命名空間的登錄機碼,使用 Dfsutil.exe 工具來移除登錄機碼。比方說,執行下列命令: dfsutil / 清除 /server:servername/share:sharename/verbose
附註servername的預留位置裝載命名空間的伺服器名稱現況的sharename版面配置區的根目錄共用名稱。 或者,您也可以手動刪除機碼。 在命名空間伺服器上,您可以在 Windows Server 2003 或 Windows Server 2008 中的 DFS 命名空間服務登錄在服務上的變更重新啟動 DFS 服務。 移除已從命名空間伺服器的命名空間相關聯的檔案共用。這個步驟的程序,可能導致索引 ddl 的失敗,因為 DFS 命名空間可能會封鎖命名空間建立命名空間。
Windows 2003 Server 開啟 [電腦管理] MMC 嵌入式管理單元。若要這樣做,請執行 Compmgmt.msc 工具。 展開 [系統工具],展開 [共用資料夾],然後按一下共用 DFS 命名空間共用中,以滑鼠右鍵按一下,然後按一下 [停止共用。如果您收到下列錯誤訊息時,您必須重新啟動伺服器,並再試一次使用電腦管理] MMC 嵌入式管理單元移除共用: 「 系統無法停止共用<\\server\share> ,因為共用的資料夾設為分散式檔案系統 (DFS) 命名空間根目錄 」 Windows 2008 Server 開啟"共用與存放管理 」 MMC 嵌入式管理單元。若要這樣做,請執行 StorageMgmt.msc 工具。 這個命名空間中,共用上按一下滑鼠右鍵,然後按一下 [停止共用。如果您收到下列錯誤訊息時,您就必須重新啟動伺服器,並使用電腦管理] MMC 嵌入式管理單元移除共用: 系統無法停止共用<\\server\share> ,因為共用的資料夾設為分散式檔案系統 (DFS) 命名空間根目錄
(4) 重啟以後,新建一個同名帳戶Admin,它的SID應該和以前是完全一樣。如果不相信的話,可以借助GetSID或者PsGetSID等工具測試一下。 2.“破解”EFS 接下來的方法就非常簡單了,用新建的Admin帳戶身份登錄系統,隨便加密一個檔,然後註銷,用管理員帳戶登錄系統,把原來保留的設定檔複製到C:\Documents and Settings\Admin資料夾下。 再用Admin帳戶登錄系統,現在可以解密原來的EFS檔了。 疑難排解 1.如果已經重裝系統,那怎麼辦? “聲明”部分提到的那篇文章裡提到,如果還記得原來帳戶的密碼,並且設定檔沒有被刪除的話,還有希望。這時候可以借助sysinternals的NEWSID工具把系統的電腦SID重設為原來的值,再用前面描述的方法構造所需的RID,這樣就可以獲得所需的帳戶SID。剩餘步驟完全一樣。 http://www.sysinternals.com/Utilities/NewSid.html
2.有用戶曾經遇到這樣的問題:登錄系統時收到提示說密碼過期,需要重設,重設密碼登錄後發現打開EFS文件。 KB890951提到這個問題。其解釋是因為在修改密碼時,系統還沒有載入設定檔(有點語焉不詳),原文如下: This problem occurs because the user profile for the current user is not loaded correctly after you change the password. 設定檔和EFS有何相干?看完本文,大家應該知道,EFS的私密金鑰和主金鑰都是保存在設定檔裡的。由於設定檔沒有載入,所以主金鑰的加密版本沒有得到更新(沒有跟上帳戶密碼的變化),導致主金鑰無法正確解密,從而無法解密私密金鑰和FEK。這就是問題的真正原因。 該KB提供了一個內部補丁,可以解決這個問題。KB890951的連結如下: http://support.microsoft.com/kb/890951
3.有關公開金鑰的問題 為了容易理解,筆者故意忽略了公開金鑰。公開金鑰保存也保存在帳戶的設定檔裡: %UserProfile%\Application Data\Microsoft\SystemCertificates\My\Certificates 在EFS恢復的操作中,必須確保公開金鑰也要複製到新帳戶的設定檔裡。儘管看起來公開金鑰與EFS解密無關(它負責加密)。 原來,加密檔$EFS屬性的DDF欄位裡除了有帳戶SID和加密的FEK副本外,還有公開金鑰的指紋資訊(Public Key Thumbprint)和私密金鑰GUID信息(私密金鑰的某種散列值)。 系統在掃描加密檔$EFS屬性中的DDF欄位時,根據使用者設定檔裡的公開金鑰中所包含的公開金鑰指紋和私密金鑰GUID資訊,當然還有帳戶的SID,來判斷該帳戶是否具有對應的DDF欄位,從而判斷該用戶是否屬於合法的EFS檔擁有者。 所以公開金鑰也很重要。 當然公開金鑰是可以“偽造”的(可以偽造出所需的公開金鑰指紋和私密金鑰GUID),以欺騙EFS系統,具體方法可以參考國外的那篇原稿,此處不再贅述。 加強EFS的安全 由於EFS把所有的相關金鑰都保存在Windows分區,所以這可能給EFS帶來一定的安全隱患。目前有一些協力廠商工具號稱可以破解EFS,這些工具首先攻擊SAM配置單中繼檔,嘗試破解帳戶密碼,從而破解帳戶密碼→主金鑰的加密金鑰→主金鑰→EFS私密金鑰→FEK的“金鑰鏈”。