Windows 2000 和 Windows NT 4.0 的协同作战

Windows 2000 和 Windows NT 4.0 的协同作战

刘彦青

在对 Windows 2000 和 Windows NT 4.0 混合环境进行了测试后，惊奇地发现这两种系统能够很好地协同工作，希望能与大家分享我的经验。也许你也正在考虑这事儿，因此可能会需要我的建议。我们首先花些时间看看我们为什么会向 Windows 2000 升级、两种系统间的主要区别和一些对你有帮助的提示。
　　一、为什么要升级到 Windows 2000？

　　如果你正在考虑升级到 Windows 2000，你向自己提出的第一个问题可能是“为什么？”。有三个原因可能促使你在网络中采用 Windows 2000。

　　首先，也是最重要的是可以很方便地在横跨不同政治、文化和语言界线的跨国公司中进行布置。Windows 2000 灵活的、可扩展的活动目录（AD）和对全网络的控制能力消除了 Windows NT 4.0 中点对点模式的大多数限制。

　　采用 Windows 2000 的第二个原因是增强网络的安全性。Windows 2000 在安全性方面的改进是无处不在的，首先是 AD 成熟的对象安全性。在组策略、用于文件和文件夹的扩展的安全设置、即需要即用的文件加密、LAN 以及 WAN 中的 IP 安全、本机上的认证授权以及其他措施都使系统管理员对许可活动有更多的控制权。

　　第三个原因是可以在网络中取代 Windows 9x。Windows 2000 专业版和其前辈 Windows 9x 之间的差别是明显的，尤其是在功能、稳定性和健壮性方面，Windows 2000 专业版在安装和设置方面也有很大的改进，但其图形界面对 Windows 用户却是相当熟悉的。

　　二、如何做？

　　在解决了“为什么”的问题后，下一步要解决的就应该是“如何做”的问题了。Windows 2000 的升级有三种途径。可以建立一个纯 Windows 2000 域的网络来为运行 Windows 2000 的台式机和服务器提供支持，Windows 2000 域中的用户需要访问以前的 Windows NT 4.0 域中的资源时，可以很轻易地建立一个跨域的信任关系。这种方法使新的系统与老系统相互独立，其最大好处是无需同时对两种系统在用户档案、系统策略、组策略方面的差异进行管理，也显著地减少了维护和特别处理的工作量。

　　第二种方案是建立一个包括 Windows 2000 和 Windows NT 4.0 域控制器（DC）、台式机和服务器在内的 Windows 2000 混合域。当把一个 Windows NT 4.0 PDC 升级为 Windows 2000 DC 时最可能采用这种方案。我个人认为这种方案风险最大，因而在本文中论述较少。在这种方案中，必须把 PDC 升级为 DC，还要冒在升级过程中整个网络可能不能工作的风险，当把 Windows NT 4.0中的组和帐户向AD转换并把系统策略转换为相应的组策略时，Windows 2000 混合域可能会带来新的问题，而且，它还可能带来混合平台的 DC 同步和文件复制方面的问题，Windows 2000 混合域还要求系统管理员能够管理 Windows 2000 和 Windows NT 之间在用户管理方面的差别和清楚 Windows 2000 组策略中哪些功能与原来的客户机兼容。

　　最后一个方案是通过在现有的网络中增加 Windows 2000 台式机和 Windows 2000 独立服务器建立一个 Windows NT 4.0 混合域。采用这种方案，可以充分利用 Windows 2000 在性能上的提高和 Windows 2000 独立服务器的性能。与前两种方案不同，Windows NT 4.0 混合域无需改变现有的网络架构而且几乎不需要对相关人员进行培训，这是一种采用新技术时最简单、风险最低的方案。与 Windows 2000 混合域一样，Windows NT 4.0 混合域也需要同时管理多种不同的台式机平台，同时还需要清楚 Windows NT 4.0 中的系统策略中哪些对 Windows 2000 系统起作用，哪些不起作用。

　　三、平台的差异

　　不论采用哪种方案，都需要掌握两种平台之间的差异。你需要在安装、配置、用户档案、系统策略以及共享资源的发布及查找方面对平台之间的差异进行规划和管理。据有关资料显示，在采用新的操作系统时，Windows 2000 和 Windows NT 4.0 台式系统需要混合使用 10 个月，Windows 2000 和 Windows NT 4.0 服务器需要混合使用 7 个月。

　　在涉及更多的技术细节之前，我们先谈一些需要注意的事项。为了使两种系统能“和平共处”，至少需要安装 Windows NT 4.0 的 Service Pack 5，最好是能够安装 Service Pack 6，至于 Windows 2000，应该安装 SP 1。在移植之前，还应该注意的一点是 Windows NT 4.0 不支持 AD、Kerberos 认证、动态 DNS（DDNS）或网络时间协议（NTP）时间同步。在 Windows 2000 系统上，你必须升级声卡、显卡的驱动程序，“即插即用”有时会不起作用，USB 设备和驱动程序有时也会出问题，IE 还会出现各种问题。

　　Windows 2000 的 WINS、DNS 和 DDNS。假设你正在使用 Windows NT 4.0 DNS，你必须配置 Windows 2000 系统的 DNS 和 WINS 服务器地址（例如 win2000mag.com），否则，Windows 2000 系统会找不到 Windows NT 4.0 域中的 DC。同样，如果没有在 WINS 服务器中注册 Windows 2000 的名字，Windows 2000 计算机就不会出现在浏览列表中。

　　在 Windows NT 4.0 域中安装独立的 Windows 2000 服务器时，每个系统应该有一个可用的 DNS 后缀，否则系统不能解析它的名字，也找不到 Windows NT 4.0 域中的 DC。在安装独立的 Windows 2000 服务器时，安装程序不会自动地指定一个 DNS 后缀。如果你计划继续采用 Windows NT 4.0 中的 DNS 和 WINS 服务，你应该知道 Windows 2000 高级服务器的安装程序会缺省安装本机的 DNS 和 WINS 服务，如果这些独立服务器要和原来的系统进行互操作，在 Windows 2000 的安装中需要清除这些设置。

　　在由 Windows NT 4.0 向 Windows 2000 升级的过程中，setup.inf 文件中 Adapters 节中的一个问题可能使得安装程序覆盖静态的 TCP/IP 设置而将系统设置为一个 DHCP 客户。如果你需要将一个系统由 DHCP 客户机改为具有静态 TCP/IP 地址的系统，需要在完成安装后在系统运行时改变系统的地址。如果在安装过程中试图将动态地址改变为静态地址，安装程序就会停止。在安装完成重新启动机器后，检查 TCP/IP 设置，确保你的系统具有所希望的动态或静态地址。

　　所有版本的 Windows 2000 都会缺省地使能 DDNS 注册，而 Windows NT 4.0 域中的 DNS 不支持动态名字注册。为了避免 Windows NT 4.0 DNS 服务器出现错误信息，必须禁用DDNS，方法是清除网络适配器“高级 TCP/IP 设置”中 DNS 标签上的“在 DNS 中注册这个连接”。可以在 Windows 2000 的安装过程或在系统运行后在网络上登录后禁用这一功能。

　　改变一台运行 Windows 2000 的计算机的名字。在由 Windows NT 4.0 向 Windows 2000 DC 升级时，可以改变机器的名字。如果需要更改机器的名字，必须将 Windows NT 4.0 升级为独立的 Windows 2000 服务器，在安装完成后改变系统的名字，并将它做为 Windows 2000 DC。如果在安装或升级 Windows 2000 DC 并需要更改系统的名字，可以运行 Windows 2000 中的 Dcpromo 工具使之不再成为DC，改变它的名字，然后重新运行 Dcpromo 使之成为 DC。

　　你还可以改变安装了 CA 的 Windows 2000 服务器的名字。如果用一台运行 CA 的系统进行授权认证，而后又需要改变系统的名字，在改变系统的名字前应该导出所有的授权认证。为了避免使认证失效，应该保持服务器的名字长期有效。

　　四、Windows 2000 的登录问题

　　为确保 Windows 2000 系统能成功地登录 Windows NT 4.0 域，必须用 Windows NT 4.0 中的服务器管理工具为新的 Windows 2000 系统创建一个帐户。如果你拥有管理员权利，可以在安装 Windows 2000 系统前或在系统的安装过程中创建一个帐户。Windows 2000 需要缺省安装的“微软网络客户机”组件才能找到 Windows NT 4.0 DC，它向 Windows 2000 提供了 NetBIOS 名字解析功能，这是 Windows 2000 可以查找老系统中共享资源的唯一途径。如果 Windows 2000 客户机还需要登录到 Windows 2000 域，Windows 2000 域有不同的 DNS 地址，但必须选择域名改变时使 Windows 2000 自动改变 DNS 后缀的检查框，这个检查框可以通过选择“网络标识”标签上的“属性”按钮，然后选择“其他”按钮进行选择。

　　一些 Windows NT 4.0 登录限制可能使用户不能访问 Windows 2000 系统上的共享资源。例如，如果有一个 Windows NT 4.0 网络和 Windows NT 4.0 PDC，而用户需要共享 Windows 2000 服务器上的资源，如果在 Windows NT 4.0 域中限制了用户的访问时间，并选择了“登录时间用完后强制断开连接”选项，设置了这选项后，登录到 Windows NT 4.0 系统中的没有管理员权限的用户就不能共享 Windows 2000 系统上的资源了。为了解决这一问题，需要从微软的支持部门得到一个新版的 srv.sys 文件。

　　五、Windows 2000 系统的隐藏登陆

　　当从 Windows 2000 系统登录 Windows 2000 或 Windows NT 4.0 的域时，会找不到一个 DC，Windows 2000 会用一个隐藏的帐号登录到本地的计算机上，在使用 RAS、RRAS 拨号或 VPN 连接时也会出现这种情况。出现这种情况后，系统不会成为一个域的成员，不能访问网络中的资源。

　　更糟的是，出现这种情况后 Windows 2000 不会通知你，如果注销登录，屏幕上会出现你希望登录的域名而不是本机系统的名字。要判断Windows 2000 系统登录类型的唯一方法是检查环境变量 LOGONSERVER，在命令行方式下键入：echo %logonserver% 就会显示这一变量。如果 LOGONSERVER 的值是你的系统的名字，Windows 2000 就用隐藏帐户进行了登录；如果 LOGONSERVER 的值是一个 DC 的名字，Windows 2000 就登录到了该域上。

　　用户也可以改变这一情形，在用隐藏帐号登录时让 Windows 2000 显示相关的信息，但必须对要求显示这一信息的系统注册表进行修改。
　　在注册表编辑器中找到 Winlogon 后加入 REG_SZ 类型的 ReportControllerMissing 项，并将其值设置为 TRUE，注意一定要用大写。为了保证能对每个用户进行修改，找到 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，加入 REG_DWORD 类型的 ReportDC，并将其值设置为 1。

　　六、Windows 2000 的时间同步

　　在 Windows NT 4.0 域中安装一个 Windows 2000 系统后不久，就会发现 Windows 2000 向系统事件日志中反复发出消息源为 W32Time、Event ID 为 64 的警告消息，而且还会发现“由于网络有问题，时间服务长时间找不到可与之同步的域控制器。”的消息，每个 Windows 2000 系统都会寻找一个 Windows 2000 DC 准确地定义时间，当没有可用的时间服务器或找不到时间源时，你就会看到这条消息。

　　在 Windows NT 4.0 域中向Windows 2000提供时间服务的方法有几种。可以配置一台具有 NTP 功能的路由器从外部时间源设置时间，并让所有的 Windows 2000 系统向路由器询问时间。可以安装自己的基于 NTP 的时间服务器。如果没有其他的选择，还可以配置每台 Windows 2000 系统使其独立地与外部时间源进行同步。一旦你有了非 Windows 2000 的时间源，你需要在命令行方式下键入下面的命令指示操作系统询问指定的 NTP 时间源：

　　net time /setsntp: | 　指定的 NTP 时间源

　　net time /querysntp　显示 NTP 时间源

　　w32tm /s　在指定时间源后对时间进行同步

　　1、复位 Windows 2000 的时间服务

　　把一台 Windows 2000 系统从 Windows NT 4.0 域转向 Windows 2000 域时，Windows 2000 系统不会与 Windows 2000 DC 进行同步，必须把时间服务重新设置为其缺省模式。W32Time 服务的参数存储在注册表中的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters 处。当你指定一个 NTP 时间源时，时间服务就会增加一个类型为 REG_SZ 的 Ntpserver 条目，并根据在定义时是指定的计算机名或 IP 地址，把其值设置为计算机名或 IP 地址。

　　要将 Windows 2000 的时间服务设置为缺省模式，必须删除 Ntpserver 条目，将 Type 条目改为 nt5DS，在 Windows 2000 域中对时间进行同步，确保已经正确地修改了注册表。可以通过增加一个 REG_DWORD 类型的 Period 条目并将其值设置为微软的 Q223184 文档中提供的一个值。可以将间隔设置为每 2 天 1 次、3 天 1 次、1 周 1 次或每 45 分钟 1 次，直至出现 3 次很好的同步，然后再设置为每天 1 次或 3 次，还可以把间隔设置为一个固定的数字。

　　2、安装 Windows NT 4.0 NTP 时间服务器

　　安装 Windows Windows NT 4.0 服务器资源工具包中的 w32time.exe，可以使一台运行 Windows NT 4.0 的系统作为 NTP 服务器，然后就可以配置 Windows 2000 系统来测试Windows NT 4.0 NTP 时间服务器。如果采用这种方法，一定要从微软的 FTP 站点上下载 w32time.exe 的升级版，因为发行的资源工具包中的 w32time.exe 不包括可以作为 NTP 时间服务器的 W32Time 扩展。

　　要正确地配置 Windows NT 4.0 的 W32Time 服务，需要修改 w32time.ini 文件。在一个纯文本文件编辑器中打开它，并把 LocalNTP 的值设置为yes。中止 Windows NT 4.0 的时间服务，让它重新读取 w32time.ini 文件文件，然后用下面的命令重新启动它：

　　net stop w32time

　　w32time update

　　net start w32time

　　七、Windows 2000 中的 NetBIOS 和文件共享

　　Windows NT 4.0 域通过每个共享的 NetBIOS 名字发布和查找共享资源。由于微软在开发 Windows 2000 时最主要的目标就是消除对自己的专有通讯协议的依赖，因此 Windows 2000 采用了服务器消息块（SMB）来