簡介與Windows的其它版本(例如Windows3.x和9x)不同，WindowsNT/2000具有一個完整的安全系統，它是操作系統不可分割的一部分，而且不能被禁用。Windows2000的安全系統負責在用戶登錄系統時驗證用戶的身份；控制用戶能夠訪問哪些資源、文件和應用程序；負責維護對用戶活動期間生成的安全時間進行審核跟蹤。在Windows2000安全的所有這些方面，注冊表都扮演著一個非常重要的角色。

Windows2000安全的基礎Windows2000的安全分為三個主要的部分：用戶的訪問令牌，安全帳號管理器(SecurityAccountsManger，SAM)的注冊表項中有關每個用戶訪問權限的信息，以及對系統管理員有可能審核的安全事件的記錄。1.訪問令牌訪問令牌是由Windows2000安全系統創建的軟件對象，它包含用戶在當前工作站以及網絡中其它計算機上的特權信息。訪問令牌包括的信息保存在注冊表中，并可在注冊表中直接進行操作。訪問令牌包括下列信息：.用戶安全ID(UserSecurityID，SID).組安全ID(GroupSecurityID).用戶特權.所有者的SID.主組(PrimaryGroup)的SID.缺省的訪問控制列表(AccessControlList，ACL)2.SAM注冊表項有關用戶安全設置的信息保存在注冊表配置單元HKEY_LOCAL_MacHINE的一個名為SecurityAccountsManager的子項中。SAM是Windows2000負責驗證來自各種系統工具用戶界面的用戶登錄信息有效性的服務，同時還提供包含在每個用戶訪問令牌中的信息。SAM注冊表項中的信息通常不會被直接操作，而是通過各種管理工具，例如系統策略編輯器，操作。3.審核Windows2000系統無論何時發生涉及安全的活動，都有可能產生安全事件，這些事件被158使用Windows2000注冊表管理

依次寫入一個日志文件，以便日后由系統管理員審核。這個日志文件由事件查看器控制，但是其設置是在注冊表中，而且在需要時可以查看。潛在的安全事件包括：.創建新用戶/組成員變更.程序執行/資源被訪問.登錄/注銷.安全策略變更.特權的使用.系統事件對安全造成了影響

登錄Windows2000的安全特性在用戶試圖登錄到Windows2000工作站的那一刻就開始工作了。輸入到登錄對話框中的信息被提交給本地安全授權(LocalSecurityAuthority，LSA)，這是一種根據SAM數據庫(既可以是本地的也可以是遠程的，我們將在下一部分介紹)驗證登錄信息有效性的系統安全服務。如果該過程成功，那么就會為該用戶創建一個訪問令牌并激活它。這個令牌與一個或多個可執行程序相結合創建一個主題，接著該主題就開始訪問系統。LSA使用注冊表項來確定這個過程是怎樣進行的(尤其是登錄過程中顯示的用戶界面)。

Netlogon服務Windows2000支持多臺通過Netlogon服務連接到網絡上的工作站使用一個安全數據庫。Netlogon需要基于域的網絡和主域控制器(primarydomaincontroller，PDC)提供的服務。在這種情況下，登錄對話框會顯示一個額外的編輯控件，允許輸入用來進行Netlogon驗證的域名。Netlogon的各種特性可以通過直接操作注冊表來控制。

關機安全問題還會在用戶從一臺工作站注銷并有可能關機時發生。某些用戶可能只會看到一個注銷對話框，而另外一些用戶會看到對話框中有關閉工作或關閉電源的選項。注冊表中包含有控制這些特性的條目。

定位安全事件日志文件

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要查看這個日志文件的位置可以按照下面的步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值File的條目。File的值包含用來保存安全事件日志文件的路徑和文件名。提示Windows2000事件查看程序可以用來更改Security子項中值File的設置。

確定安全事件日志文件的最大尺寸

Windows2000提供了把有關安全事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要查看安全事件日志文件以千字節計的最大尺寸可以按照下面的步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值MaxSize的條目。MaxSize的值包含安全事件日志文件所能達到的以千字節計的最大尺寸。提示Windows2000事件查看程序可以用來更改Security子項中值MaxSize的設置。MaxSize的缺省值為512。

檢查安全事件日志中事件的生存期

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要查看安全事件日志文件中事件被覆蓋前將保存多長時間可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值Retention的條目。Retention的值指定事件保存在日志文件中的秒數；日志文件中任何比這個值“新”的事件都不會被覆蓋，而比這個值“老”的則會被覆蓋。如果某個事件無法添加到已有的日志文件中，則發生一個日志滿事件。提示Windows2000事件查看程序可以用來更改值Retention的設置。Retention的缺省值是604800秒(7天)。

確定一個Windows2000服務是否日志安全事件

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要確定一個Windows2000服務是否將其事件記錄到安全日志文件中可以按照下面的步驟完成操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值Sources的條目。Sources的值包含目前將事件記錄到安全事件日志中的所有服務、應用程序、應用程序組的名稱。警告Sources的值是動態的，由Eventlog服務維護。

定位安全事件日志中的事件描述

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要解密某個服務或應用程序寫到日志中的事件標識符，你可以查看該應用程序提供的文本文件。要找到文本文件的位置，可以按照下面的步驟操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項，其中[appname]是用引號括起的應用程序或服務的名稱。單擊該子項選取它，在右窗口中顯示其值。4)定位到值EventMessageFile的條目。EventMessageFile的值包含文檔的路徑和文件名，而該文檔包括對安全事件日志文件標識符的事件描述。

定位安全事件日志的類別描述

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要解密某個服務或應用程序寫到日志中的類別標識符，你可以查看該應用程序提供的文本文件(或者定位到一個與該應用程序相關的DLL并由附帶的應用程序提供描述)。要找到文本文件的位置，可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows第11章Windows2000的安全用用1612000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項，其中[appname]是用引號括起的應用程序或服務的名稱。單擊該子項選取它，在右窗口中顯示其值。4)定位到值CategoryMessageFile的條目。CategoryMessageFile的值包含著文檔的路徑和文件名，而該文檔包括對安全事件日志文件標識符的類別描述。提示類別和事件描述有可能被放在同一個文件中。

檢測Windows2000的某種服務所支持的所有安全事件類別

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要查看某個服務或應用程序可以向日志中寫入多少種類別標識符，可以按照下面的步驟完成：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項，其中[appname]是用引號括起的應用程序或服務的名稱。單擊該子項選取它，在右窗口中顯示其值。4)定位到值CategoryCount的條目。CategoryCount的值包含該應用程序在安全事件日志文件標識符中所使用的類別描述的總數。

確定Windows2000的某種服務所支持的安全事件類型

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要查看某個服務或應用程序可以將哪種事件類型寫入日志，可以按照下面的步驟完成注冊表的修改：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesEventLogSecurity[appname]子項，其中[appname]是用引號括起的應用程序或服務的名稱。單擊該子項選取它，在右窗口中顯示其值。4)定位到值TypesSupported的條目。TypesSupported的值包含該應用程序在安全事件日志文件標識符中使用的事件類型值。

強迫Windows2000系統在安全事件日志滿時崩潰

Windows2000提供了把有關安全的事件寫入日志文件的能力。注冊表包含有控制這個日志文件怎樣創建和維護的設置。要強迫系統在日志文件滿時崩潰，可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetControlLSA子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值CrashOnAuditFail的條目。使用DWord編輯器把CrashOnAuditFail的值設為1，強迫系統在安全事件日志由于最大尺寸或事件條目生存期設置的問題而無法擴展時崩潰。提示如果值CrashOnAuditFail不存在，則使用“編輯”|“添加值”來創建它。警告啟用該值可能會導致無法恢復的系統崩潰。

設置Netlogon服務變動日志的大小

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制以字節計的變動記錄大小的注冊表項，可以按照如下步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值ChangeLogSize的條目。使用DWord編輯器把ChangeLogSize的值設為變動記錄文件所期望的大小，以字節計。提示:保留ChangeLogSize的設置為4MB也不會造成任何損害。實際上，較大的設置可以提高效率。缺省(也是最小)的值為64K(大約200個條目)。警告:所有備份域控制器(BDC)都應該有相同的ChangeLogSize值。

管理Netlogon服務信箱消息的內存使用

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制Netlogon服務在開始丟失信箱消息(每個消息消耗非頁面式內存池的1500個字節)之前已排隊了多少個消息的注冊表項，可以按照如下步驟修改注冊表：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值MaximumMailslotMessages的條目。使用DWord編輯器把MaximumMailslotMessages的值改為希望參加排隊的消息數目。提示MaximumMailslotMessages的范圍是1到0xFFFFFFF，缺省值為500。警告把MaximumMailslotMessages的值設置得太低可能會導致丟失信箱信件。

微調Netlogon服務信箱消息的處理性能

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制Netlogon服務在開始丟失過期信箱信件(這可以防止Netlogon在過載環境中處理無效的消息)之前某個信箱消息等待處理的秒數的注冊表項，可以按照如下步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值MaximumMailslotTimeout的條目。使用DWord編輯器把MaximumMailslotTimeout的值改為信箱消息等待Netlogon處理的時間，以秒為單位。

提示:MaximumMailslotTimeout的范圍是5到0xFFFFFFF秒，缺省值為10。警告:把MaximumMailslotTimeout的值設置得太低可能會導致丟失信箱信件。

防止經由網橋/路由器的信箱消息阻塞

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制Netlogon是否對因網橋/路由器問題(通常是網橋/路由器無法在過期之前對報文的目的地進行解密)引起的信箱消息阻塞敏感的注冊表項，可以按照如下步驟修改注冊表：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值MailslotDuplicateTimeout的條目。使用DWord編輯器把MailslotDuplicateTimeout的值改為0，禁止忽略Netlogon復制信箱消息(這樣做會因網橋/路由器引起的消息阻塞而導致問題)。提示值MailslotDuplicateTimeout的范圍是從0到5秒。較高的設置可以避免處理復制消息，但是會阻塞來自客戶的重試企圖。

設置BDC脈沖的頻率

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制在向BDC發送脈沖指示進行更新之前PDC多少秒收集一次變化的注冊表項，可以按照如下步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值Pulse的條目。使用DWord編輯器把Pulse的值改為兩次發送更新脈沖之間的延遲時間(以秒為單位)。提示值Pulse的范圍是從60(1分鐘)到172800(2天)，缺省值是300(5分鐘)。第11章Windows2000的安全用用165

管理BDC脈沖的并發

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。你可以使用注冊表來控制一次發出多少個BDC更新通知(脈沖)(期望PDC能夠同時處理遠程過程調用以便更新遠程數據庫)。要做到這一點，可按照如下步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值PulseConcurrency的條目。使用DWord編輯器把PulseConcurrency的值改為PDC能夠處理的并發BDC數據庫更新的個數。你需要在PDC服務器的負載和會導致失敗的過期BDC數據庫之間找到一個平衡點。提示值PulseConcurrency的范圍是從1到500個并發脈沖，缺省值是20。

控制BDC脈沖的ping操作

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。你可以訪問注冊表項來控制PDC給某個BDC發送更新脈沖(ping)的最大間隔秒數，而不管BDC的數據庫是否需要更新。要做到這一點，可以按照下面的步驟修改注冊表：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值PulseMaximum的條目。使用DWord編輯器把PulseMaximum的值改為PDC/BDC兩次脈沖ping操作之間的等待時間(以秒為單位)。提示值PulseMaximum的范圍是從60(1分鐘)到172800(2天)，缺省值是72000(2小時)。

防止BDC脈沖超時

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制在被標記為超時之前BDC必須在多少秒以內響應PDC脈沖的注冊表項，可以按照下面的步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值PulseTimeout1的條目。使用DWord編輯器把PulseTimeout1的值改為網絡維護有效的BDC脈沖響應所希望的時間(以秒為單位)。提示值PulseTimeout1的范圍是從1到120，缺省值是5。

防止BDC復制超時

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制在被標記為超時之前BDC必須在多少秒以內完成部分數據庫復制的注冊表項，可以按照下面的步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值PulseTimeout2的條目。使用DWord編輯器把PulseTimeout2的值改為網絡完成部分BDC數據庫的復制所希望的時間(以秒為單位)。注意，這個值只有在BDC數據庫的傳輸因為尺寸問題需要多個遠程過程調用(remoteprocedurecall,RPC)時才會使用。提示值PulseTimeout2的范圍是從60(1分鐘)到3600(1小時)，缺省值是300(5分鐘)。

防止BDC脈沖響應通信阻塞

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。你可以使用注冊表控制BDC在用RPC調用初始化數據庫復制來響應PDC脈沖之前隨機等待的秒數(這樣可以防止復制通信被阻塞，因為所有的BDC脈沖都試圖同時更新)。要做到這一點，可以按照如下步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值Randomize的條目。使用DWord編輯器把Randomize的值改為基于經驗和網絡流量需求的秒數。提示值PulseTimeout2的范圍是從0到120，缺省值是1。警告Randomize的值必須小于PulseTimeout1的設置。

根據網絡條件配置BDC的復制

作為基于域的Windows2000網絡一部分的工作站可以使用遠程數據庫進行登錄驗證，這種服務稱為Netlogon。有許多注冊表條目都可以控制Netlogon的操作。要訪問控制分配給更新BDC的系統資源的百分數，可以按照如下步驟進行操作：1)打開“開始”菜單并選擇“運行”。單擊“瀏覽”按鈕開始瀏覽直到找到Windows2000的根目錄(通常是WINNT)為止。進入System目錄并找到Regedt32.exe，將其選入對話框并單擊“確定”按鈕。注冊表編輯器啟動，將所有的配置單元分別顯示在不同的層疊子窗口中。2)選擇“窗口”菜單項HKEY_LOCAL_MACHINE，其子窗口顯示。最大化該窗口以便于使用。3)使用左窗口的樹型控件定位到SYSTEMCurrentControlSetServicesNetlogonParameters子項。單擊該子項選取它，在右窗口中顯示其值。4)定位到值ReplicationGovernor的條目。使用DWord編輯器把ReplicationGovernor的值改為0到100之間的設置，它表示每個復制調用所使用的傳輸緩沖內存以及BDC完成未完成的復制請求所需時間量的百分數。在更改該設置必須小心，因為在通信負載很重的環境中BDC復制可能無法完成。警告設置ReplicationGovernor的值等于0將關閉BDC數據庫復制。