MR2(Maintenance Release 2)是2008年4月13日发布的SEP最新的一个补丁包，更正了上百个bug。所有使用SEP11.0的用户都有必要升级到MR2.

我最近发现的2个bug都可以通过升级到MR2来解决。这2个bug是：(1)旧的(legacy) SAV客户端在升级到SEP以后，原有的计划扫描(Scheduled Scan)仍然在执行，但是通过SEPM却没法看见，当然也没法停止。(2)SEPM首页的监控数据不刷新，包括Virus Definition Distribution的状态等，都不会刷新了。

升级MR2以后，SEPM的版本从11.0.1000.1375更新到了11.0.2000.1567

升级过程

1）首先停止SEPM服务，Start --> Run --> services.msc，找到Symantec Endpoint Protection Manager，按Stop（实际观察下来，如果你不停，升级安装程序也会帮你停的）

2）从下载的升级包，直接点SEPM的安装，和初次安装一样，只是不再会有wizard出来问你问题了，选择同意license以后就直接安装到底了。

3）一个Upgrade Wizard会自动起来，要更新数据库的schema等东西，这是个关于数据库的操作，所以要求先对数据库做一次备份。其次，要求把所有的SEP management server都停掉。（请根据第一步的做法依次把所有SEPM server服务都关掉）（注意：这里停service以后要把service.msc这个mmc窗口关掉，否则可能会失败）

4）升级成功。

升级Management server和Management console成功以后，通过auto-upgrade的方法升级客户端。

升级方法

1）登录到SEPM console

2）左边点Admin，点Install Packages，选Upgrade Groups with Package

3）选Symantec Endpoint Protection version 11.0.2000.1567 for WIN32BIT，按Next

4）选择合适的Group

5）选Download from the management server

6）关闭wizard以后。选左边Clients，选中某Group，右边窗口点Install Packages，选中该升级包（应该是Symantec Endpoint Protection version 11.0.2000.1567 for WIN32BIT）点右键，Edit...

7）去掉最下边Upgrade Schedule的勾。点OK。

注意：(1) Readme.txt里面提示，从其他版本的SEP升级到MR2，要禁用Upgrade Schedule，否则升级会失败

(2) 升级客户端，必须先升级SEP服务器端和SEP management console。

工具——ADST，又称ADRAP (Risk Assess Program for AD)

ADST (Active Directory Snapshot Tools) v5.6.2 （这次微软给我的版本）是用来做AD健康检查的工具，包括了很多小工具。

前提准备工作

权限方面要求

1. 企业管理员权限(EA)
2. 对所有Exchange 和WINS servers都有管理员权限
3. 能够通过RPC访问所有DC, DNS, WINS以及Exchange服务器
4. 操作系统必须是英文版的，而且Locale必须设置成英文版的 <——这点很特殊也很重要

软件方面要求（要预装的软件）

1. 可以装在Windows XP Pro或者Windows 2003上，（但必须是English版本）
2. Windows 2003 Support Tools
3. Windows 2003 Resource Kit
4. Microsoft .NET Framework 1.1
5. Group Policy Management Console
6. Microsoft .NET Framework 2.0
7. Microsoft Baseline Security Analyzer 2.0.1

以上前提安装完了以后，安装AdRapPublic_ENU.msi

运行的顺序

1. 更改配置Click on the Change Settings menu to configure the tool
2. 运行依赖性测试Run the ADST Dependencies test
3. 运行测试Run Test Cases
4. 分析测试结果

更改配置

主要更改了这么几个配置

1) 第2页RAP，更改了运行范围，从默认的FOREST更改为CN域。（如果是整个森林范围做，就无需更改）
2) 第1页General中，更改了2个参数，选AD Convergence和FRS Convergence，把参数值都从默认的180分钟改为30分钟

这是为了缩短测试的时间（这个值是要根据森林的大小来调整）

Dependencies Test

主要是用来测试各个DC是否能正确连接上，相应的端口（53, 88, 135, 139, 445, 3268等）是否能正确连通，主要的服务是否正常启动， LDAP, WMI, Remote Registry, Admin Share（e.g. c$, admin$）是否都正常。

正式测试

测试主要包括这么6大块内容

查看Forest/Domain信息。从这里可以在一个表内清楚的看到FSMO角色的承担者。

Infrastructure Master不能是GC；如果Infr Master是GC的话，就必须所有DC都是GC。换言之，如果Infr Master是GC，而且存在有某DC不是GC，那么这种配置就不合理，就可能出现Infr Master这台DC宕机的单点失败。

图中Is Infrstructure GC列和AllDCsGCs两列都为False，说明我们是完全按照Best Practice配置的。

Bridgehead

Brideghead就是桥头堡，就是某个site到其他site进行AD复制的那台DC，而site内的DC都跟这台桥头堡复制。Bridgehead由ISTG （Inter site topology generator）运算后指定，通常是通过一种算法（类似于交换机的STP算法）运算出来的，而不是人工指定的，因为手工指定会导致单点失败。所以下图中Preferred IP和Preferred SMTP都是手工指定的，应该为空的才好。（原则是能自动运算得出的，就不要手工指定）
ISTG是通过一种竞选机制得出（通常是这个site的第一台服务器，如果这台服务器失败了，那么剩下的服务器比较其SID，值小的胜出）

Site Link

Cost --Site Link表格中的Cost概念和STP类似，用来计算桥头堡用。
Interval -- 指site和site之间的复制间隔，单位是分钟。如果线路特别慢，比如Modem连接的，在15分钟内无法完成一次复制的，可以把这个Interval设大点，比如60min。
Type -- IP 或者SMTP。一般都用IP，特别慢的link可以用SMTP。
Change Notification -- 一般Site和Site之间的复制，不发送Change Notification，而site内部的复制是发送Change notification的。
Site Count -- Site Link是连接2个site的link，一般Site Count应该是2，如果大于2，那么这个配置就可能存在问题。

Global Site Options

IPBASL -- IP Bridge All Site Links，就是说，中间的桥头堡就算down掉，也会桥接到其他DC来进行复制。
SMTPBASL -- SMTP Bridge All Site Links
TombstoneLifetime -- 单位是天，也就是说Deleted object多少天以后真正清理掉。

 
FFL -- Forest Functional Level

Win2K AD中叫Domain Mode，分Win2k mixed mode和Win2k Native mode，
Win2003 AD中叫Function Level，分FFL和DFL(Domain Function Level)
FFL有2种，Windows 2000 mixed和Windows 2003 Native
DFL分4种：

1. Windows 2000 Mixed Mode （混合了NT4 BDC, W2K DC 和Win2K3 DC）
2. Windows 2000 Native Mode
3. Interim mode: NT4 BDC, Win2K3 DC, no Win2K DC 通常发生在NT4直接升级到Win2K3 AD
4. Windows 2003 Native Mode:  All are Win2K3 DCs

Large Group

Large Group是指在一个组内含有超过5000个对象的组。这在Legacy的Win2K的环境下，会导致第5001个对象无法加进组。在纯Windows 2003环境下无此问题。

AD Convergence

AD汇聚是当在某一DC上进行了修改以后，AD内的所有的DC都通过复制收到这个修改的时间。此测试会修改某个在Domain Users组的description里面加一个空格，然后查看其他DC收到此修改的时间来实现的。

Subnet Information

所有的subnet都应该在森林中记录在案，如果有未定义的，则要改正。

简单记录下此次行程

7:45pm 抵达三夫，偶有微恙，感冒鼻塞喉咙痛肌肉也有点酸，原本怕拖累大家，便想临时退出，但是被队友们一鼓动，又想，兔子还患着智齿呢，大不了走不动了下撤，于是，吞了几个药丸就上车了。

8:00pm 准点发车。承蒙同学们厚爱，我占了个好地方躺平了。

0:03am 到达向导家。吃了夜宵汤面，舒坦。到房间一看，被子好新好软，睡袋都不用取出了。0:42上床定了闹钟4:30am

4:19am 有人叫早。起床。

5:10am 发车去东天目脚下

5:50am 徒步开始，不久就追上了逐步的队伍。

6:58am 抵达昭明禅寺，见菩萨我们拜拜，祈求平安。禅寺内为居士们提供免费的茶水，很苦很解渴。休整10分钟后继续前进。

7:12am 禅寺后门，有铁门，晚上是锁掉的，向导老童给我们演示，即使锁掉，也可以从边上爬过去。

接下去是不停的上坡，然后开始有点小雨了，我们路上基本没怎么休息。

8:40am 到达接近山顶的小木屋，这时候雨变的很大。在木屋里面我们补充了下能量。

8:52am 离开小木屋继续前进，8:58am抵达东天目顶，花费188分钟，海拔上升约1100米。向导说，以往的队伍5:30出发，到这里基本上要9:30am。我们速度还是很不错的。

拍照后下撤，进入密林。一路下，雨越来越大，路变的非常滑。开始坡度还平缓，后来变得陡了起来，雨大稀泥极滑，我至少滑倒4次。双手要紧抓2边的竹子才行。

这时我的LOWA鞋子开始进水了，水是从冲锋裤大腿和屁股这里渗透进去，再沿着腿流下去的。我很后悔没有穿那条带背带的冲锋裤来，这条裤子穿了4年，果然已经不能防雨了。

下撤经过蓑衣塘，又开始爬坡，好在雨势减小，坡度也不很陡。

11:03am 抵达一个山脊，有小片开阔地，我们休整了10分钟，补充能量。

之后，经过一片好地方，风景漂亮，小花朵朵，地方平整而且附近有溪流，看上去是个扎营的好地方。不料，老童说，这里叫蚂蟥谷，吓得我们加快了步伐。

遇到小溪，右转顺着溪流上去，不多远处是个看林人的房子，可惜锁了。于是我们在这里门口吃午饭。大概12:30左右。这时兔子发现被蚂蟥咬了。魔鬼拍了蜘蛛精。

12:50，我们开拔，逐步的队伍在这里下撤3人，2女1男。他们还剩下9男1女，这10个人最后都完成了全程。

向前不多远，来到防火带，一个很陡的上坡，费了好大的劲爬上去，发现，前面是一个更陡的上坡。问向导上了这个坡是不是到顶了，向导答：一坡又一坡。这里有点像清三的3000步，不过好在雨停了，路没那么滑。

2:10pm 总算到了坡顶。我们下包，钻进竹林，去仰天坪的顶峰标志位。这林子密的呀，背着包是过不去的，一路都得猫腰爬。

2:25pm 拍完照片下山，又是密竹林，讨厌！之后老童带我们走一段新路，不去茅草山了，横向切过一个山脊，3:40pm左右下到土公路上。这时我已经感觉很疲惫了。

在土公路边休息了10分钟左右，我们继续出发往桐杭岗山脚方向移动。4:30pm来到柏油公路上。逐步的7名队员跟陈向导去桐杭岗，我们按原计划和另外3个逐步的队员，沿着公路往千亩田走去。

其实不是俺不去桐杭岗，实在是已经体力不支了。之后的3.5KM公路+1KM石板路我是靠着土鸡的引诱才坚持了下来，实在是太累了。晚上6:00不到点，我们终于抵达了今天的目的地——千亩田的农家乐。

晚上的土鸡汤真真真真真真真真好喝。

吃完，我躺倒就睡着了，顾不上聊天，顾不上洗脸刷牙，顾不上烘一下湿了的鞋垫。不过还是很多人很腐败的洗了热水澡。

一夜睡足。早上起来还是喉咙痛，感觉感冒没好，身体也觉得虚弱，打算直接下撤，结果刷完牙，突然觉得精神好了。

早饭是稀饭+榨菜、咸菜和腐乳，少了点干货，虽然我喜欢吃，但总觉得没吃饱。

快8:00了，出发的时候，兔子脚跟实在痛的支持不住，脱下鞋子一看，原来后跟一个巨大的水泡，还破了，耷拉下一大块皮。于是陈向导带她先行下撤了。

我们过沼泽，切过千亩峰，8:15am 开始爬药王山，那是个大石头山。有趣。

9:15到顶。

然后又一个很长的缓坡防火带下山，这时候我觉得膝盖有点疼，走的慢就很不舒服，便一路快步下山。路上遇到一队杭州来的老人和女人团，还有狗一条，名曰丑丑。他们是来登龙王山的。

过了垃圾堆，接着是个很长很陡的上坡防火带。明显感觉右腿膝盖使不出力了。10:40终于到坡顶了。大歇10分钟。

10:54am，本来不打算上龙王山顶的我们，被老年团一忽悠，又要上了，我起身发现膝盖实在痛，于是留下看包，其他人空身上去。11:07对讲机里面耗子说已经到顶了。

11:24队员们全部返回，我们午餐。

11:54出发往西天目方向。坐的太久，膝盖实在是痛的更加厉害了，期间老年团的某好心人给我喷了次药剂，逐步的队友也给我喷过红罐的白药，还是无效。于是下的非常慢。不得已，只能下撤了。

原本打算1人下撤，领队照顾俺，决定全体下撤，心中愧疚呀。还是拖累了大家没完成全部的行程，而且眼看着最后一尖了，也没多久就完成了。

中间还错过了一个下撤的路口，向前多走了30分钟，从另外一个岔路，顺着小溪下撤的。这路明显走的人少，雪灾压断的树横七竖八地倒在路中央，亏得耗子在前面一路开路。我呢只能在后面慢慢挪动步子。下坡基本靠手。还好带了双杖，帮助大了去了。半小时的路程走了1个半小时才撤到公路上。

兔子在向导家也没闲着，挖了笋，还帮我们买了茶叶，值得表扬。

最后要说的是，在加油站，我们用高压水枪冲洗了鞋和裤腿上的泥，我把雪套揭掉的时候，还没有被蚂蟥咬。作为唯一幸免的“幸运儿”却在回到家洗澡的时候发现小腿上多了一个新的蚂蟥伤口。后来听说魔鬼的洗衣机里面发现了凶手的尸体。

完。

又：膝盖养伤中。今天比昨天好多了。谢谢大家关心。

端口概述

Port 1-16 是内联刀片的downlink口
Port 17-18 是switch互联用，默认是disable的
Port 19是给Blade On-board Administrator用
Port 20-24 是uplink口

连到交换机的Console口

To access the switch locally:

1. Connect the switch DB-9 serial connector, using the null-modem serial cable to a local client device (such as a laptop computer) with VT100 terminal emulation software.

2. Open a VT100 terminal emulation session with these settings: 9600 baud rate, eight data bits, no parity, one stop bit, and no flow control.

初次配置概述

1. 登录默认密码：user级别口令： user/user，管理员口令: admin/admin

2. 修改默认口令 cfg --> sys --> access --> user --> admpw --> apply --> save

>> Main# /cfg
>> Configuration# sys
>> System# access/user/admpw
Changing ADMINISTRATOR password; validation required:
Enter current admin password:
Enter new administrator password:
Re-enter new administrator password:
New administrator password accepted.

>> System# apply
>> System# save

千万记得每次更改完配置，必须用apply才会生效，为保证重启后也继续生效，一定要save!

网络配置，21端口上联到Core 1，22端口上联到Core 2，所以要添加此端口关联到所有VLAN，并且在上联端口上enable tag，所有downlink都不需要tag

配置21和22端口为tagged

配置命令 cfg --> port 22 --> ena --> cur --> tag e --> apply --> save --> cur

配置21和22端口到网管vlan 11
（同样的配置重复操作，直到把21、22口加入到所有需要加入的vlan）

配置命令cfg --> l2 --> vlan 11 --> ena  --> add 21  --> add 22  --> apply  --> save --> cur

配置管理IP地址

配置命令cfg --> l3 --> if 1 --> addr --> mask --> ena --> apply --> save --> cur

配置交换机gw

配置命令cfg --> l3 --> gw 1 --> addr --> ena --> apply --> save --> cur

默认情况下http和telnet都是enable的，所以根据以上配置完以后，就可以远程telnet到交换机了，或者通过IE来管理交换机

命令解释：
cfg -- Configure ，是第一层菜单
sys -- System
l2 -- Layer 2, vlan 配置在这里做
l3 -- Layer 3, 网管IP, interface配置在这里
port -- 端口配置
ena -- enable
addr -- 设置地址
mask -- 设置掩码
cur -- current的缩写，查看当前配置
apply -- 应用配置（没apply之前cur显示的还是旧的）
save --保存配置，这样reboot后配置不会丢失

注：默认telnet/console session的保持时间是5分钟

2月14日，晴，加德满都，猴庙，帕坦，帕斯帕提那，博达纳

今天是情人节，有2个人要继续“谈朋友”，所以晚上打算分开活动。Jutton昨晚没吃到美味的韩国料理，有点心有不甘，于是打算中午去吃，当然，是和娜娜2个人去。

早上打的去了猴庙。猴庙的地形就像中山陵，一小山头，陡陡的台阶路笔直笔直的。果如其名，才走上那台阶没几步，我们就看见了猴子。然后就是一大群一大群的猴子，一点都不怕人。

猴庙的台阶路

挠痒痒的猴子们


真舒坦呀


这小猴子，长的像老头

光顾着看小猴子了，娜娜他们走出去好远了，等赶上，他们说，刚才看见有一对猴子在“做坏事体”。呀，可惜么看到闹。。。。。。

爬上小山顶，是一大佛塔。很多藏族僧人，还有各式的虔诚的信教人士，围绕着佛塔转了又转。也有信印度教的，拿了各式的供品，摆了一地。

佛塔上有大佛眼

大佛塔背后，还有一尊立着的菩萨像，显然是佛教的。建于公元7世纪。

从猴庙山上往下看，加德满都笼罩在一片灰蒙蒙中，无数老鹰飞舞着盘旋着（从照片上看，好像很多黑黑草木灰漂浮在空中。。。）

来张特写吧。老鹰
 

下山路上，看见一个眼线画的特别浓的小女孩

还有猴子打架

下一站，帕坦的杜巴广场。

帕坦的这个杜巴广场我们感觉是3个杜巴广场中最差的一个，巴德岗最好，加都的那个因为有了kumali而增色不少，而这个，更多的时间我们是在首饰店里面度过的。

趁着姑娘们在挑选首饰的当口，我在首饰店隔壁的象神庙里面发现了偷吃香油的“硕鼠”

逛帕坦前我们和Jutton娜娜分开了，他们去度他们的情人节，我们度我们的。午餐，我们又去了韩国花园饭店，在那里“偶遇”Jutton和娜娜。韩国老板娘见我们二度光临，喜出望外，忙不迭的递上名片，希望我们能多带些中国客人去。

饭毕，下一站是帕斯帕提那神庙。(门票250Rs，很贵，感觉不太值得。因为除了看烧尸和苦行僧，里面的印度教的神庙都是不让非教徒进入的）

河边的平台，就是著名的烧尸台。有一处似乎已经烧尽，工作人员用长木棍把灰烬推入河中，再用木桶从河中打水上来冲洗；有一处正在燃起熊熊大火；还有一家正开始烧尸的仪式：死者的儿子们抱着用白布包裹严实的尸体，绕着已经用木材搭好的柴堆转上三圈，然后长子嘴里嘟囔着说了些什么，祭拜了下。最后工作人员上前点燃了木材。这个过程中，家里的女眷们都是离的老远的，在角落里面偷偷的哭泣。

出于对死者的尊重，我们没有拍照。（另有迷信的说法是，不要对着鬼魂拍照，怕鬼来骚扰）

烧尸庙里面有不少苦行僧，不过和他们拍照是要给钱的。

沿着小山丘拾阶而上，山坡上有印度教的庙宇，但是很遗憾，非印度教徒不得入内。路的两边是些小佛塔，有数十个，也有小型的林迦，看上去像磨盘。

有猴，甚多，且胆大，见游客，皆猴眼圆睁，若有游客丢下什么食物，众猴一拥而上，厮打着抢夺着使劲往嘴里塞。更有胆大者，直接夺过游客手中的拎袋，翻找其中的食物。这不，把几个走在我们前面的本地姑娘吓的尖叫起来。

因为周围的猴子皆虎视眈眈，奕佳和奕磊心有惴惴焉，走的甚快，在我们前面十几米远。行到路的尽头，貌似无路，只有一门，里面有音乐声传出，似有人结婚。奕佳和奕磊便进去了。我们看见门口有牌子说，照相机、等金属物品严禁入内，就觉得隐隐有些不对劲。正在此时，哇的2个姑娘大叫着逃了出来，原来这也是一印度教的庙，严禁外人入内的，她们是被人赶出来的。姑娘们说，今天貌似有大户人家在庙中办喜事，里面还有很多穿了制服的军人参加呢。

2个姑娘吓的不轻，不过反过来说，或许人家还觉得今天晦气，不吉利了呢。其实我们的路在左边，一个很小很不引入注意的小小门洞，要弯腰低头才能过去。

LP介绍说，从这里过小桥，取小道，走20分钟，可直达博达纳大佛塔，于是我们便往那个方向慢慢踱过去。

路上经过1所学校，正要放学，孩子们都在操场上排队等候。

往前走着，路两边经常能看见很漂亮豪华的小别墅，有僧人出入，看来这里是流亡藏人的富人集居区。突然姑娘们又开始紧张起来，原来有几个男人一路尾随我们（尾行？？？），我们安慰她们，其实就是同路嘛，有啥好紧张的？可是她们总觉得那些男人一直在看她们，于是越发紧张起来。为了安慰她们，我们找了家路边的小卖部买了2瓶可乐，借故停了下来。于是那些男人超过了我们，并在前面的岔路口分开，各自回家了。

“看，不是跟踪我们的吧？”
“可是刚才他们分开的时候，还在朝我们瞄呢”姑娘们还是不放心。估计是刚才先被猴子吓了，又误闯印度教庙被吓到了，现在走在尼泊尔的小路上，越发感到不安。

好在，前面不远处，我们就又走上了大路，人不知道从哪里冒出来似的，一下子，我们就回到了嘈杂的人群中了。原来，这里就是博达纳大佛塔。

大佛塔前照个像留个念（人太多，没法全避开）

LP说，去大佛塔最好是傍晚去，因为这个时候藏人们都来转塔。果然如此。。。。。

好多藏人哦，还有很多喇嘛，不知道他们是不是在尼泊尔闹藏独的分子

说起ZD，让我想起一件事情来：

在博卡拉的时候，我帮肖肖找“化石”。在一藏人开的店里面看见几块。

他还跟我推荐他家的藏银首饰，我嫌贵，我说，我在中国也有买的，还便宜呢，他说这是Tibet的，not China，我说Tibet不就是China的一部分吗？他很生气，说Tibet is Tibet, China is China，于是我也很生气，就丢下东西，统统不买了。

这里，我们又偶遇了天是白的mm和她老公。

转完佛塔，晚上我们去了Fire & Ice吃情人节晚餐，有很正宗的pizza和很好吃的冰淇淋。据称王室惨案没有发生的时候，王子还经常带他女朋友来这家店呢。

（第十四天完）

全称Symantec Network Access Control

SNAC 客户端+SEP 客户端，有512MB内存的Windows XP是足够的。
SNAC 的LAN方案必须要802.1x交换机配合
SNAC 必须购买enforcer（一种硬件设备）和另外的SNAC license
SNAC enforcer有三种，DHCP, Gateway, LAN，如果三个功能都要，就需要买三台（同样的设备，但是一台设备只能配置成一种enforcer）
SNAC 和SEP一样是通过SEPM来管理的
SNAC 和SEP11.0结合最好

症状：telnet到netapp设备的时候，SecureCRT占用100%的CPU资源，只能杀进程退出。用DOS提示符下的telnet，则是黑屏，左上角有提示符跳动，但是不出现login提示，并且在1分钟后自动返回DOS提示符

诊断：用console链接正常，用FilerView访问也正常，NAS应用也正常，Ping完全正常。就是Telnet的时候异常。

怀疑是前一次Telnet没正常退出，占用了session，但是也没有“too many users"之类的出错提示。在console下输入NAS01>logout telnet命令，提示说No active telnet session，排除此怀疑。

netapp资深工程师提示我修改下host文件，把自己的笔记本电脑加进去，并提示最后要有个空行，加好以后问题解决。

问题原因：出错前，我曾经修改了Host文件，添加了一行内容，但是host文件最后没有加上空行。重新试了下，在host文件中删除掉自己的笔记本电脑名的那行，但是最后留个空行，结果telnet也不会出错。说明真正的原因就在于最后少了个空行

结论：修改host文件，最后必须有空行。（提示：passwd文件的最后也必须有空行）

思路：

设置以Unix为优先，权限先安排好Unix方面的权限，测试NFS连接通过后再考虑Windows

过程：

1.设置NAS，创建Qtree，并export 出来，这个Qtree应该是Unix权限的（注意，不要用mixed权限）

2. 测试NFS链接（在Unix上的用户名，uid，gid必须和NAS上同样！尤其是uid）

3. 在NAS上添加Unix用户
不要用useradmin user add 的方法添加用户，这种方法是添加windows用户，不是unix用户

正确的添加方式是，直接修改\\nas01\etc$下面的passwd文件

添加一行，此行中的_J9..0fUw1S0VEF33aO6是密文的密码。（通过输入cifs passwd <密码>的方法获得此字符串，然后贴进passwd文件中。又最新测试发现此密码其实没关系，空的即可）

prodb:_J9..0fUw1S0VEF33aO6:101:101::/:

要注意，passwd文件必须最后有一个空行

4. 然后修改\\nas01\etc$\usermap.cfg文件，在其最后加上AD帐号和UNIX帐号的映射关系

"domain\user1" == prodb

5. 用wcc命令查看此映射是否成功

NAS01> wcc -s domain\user1
(NT - UNIX) account name(s):  (DOMAIN\user1 - prodb)
        ***************
        UNIX uid = 101

        NT membership
                DOMAIN\user1
                BUILTIN\Users
        User is also a member of Everyone, Network Users,
        Authenticated Users
        ***************

最后共享这个目录，并赋予domain\user1相应的共享权限。

Q: 客户端安装需要多少磁盘空间？
A: 至少需要700MB可用磁盘空间，否则安装会失败。

Q: 如果某客户端OS因为某种原因重装，或者长时间不在线，那么多久SEP会清理一次这种dead client?
A: 默认30天，配置见下图

Q: 为啥安装完以后没有“Network Threat Protection”组件？
A: 因为还没有重启，这个组件还没启用。

Q: 如何变更Parent Server
A: 和以前SAV采用grc.dat文件不同，现在连接到Parent server的参数（包括服务器名，IP地址等）都保存在sylink.xml中。要变更Parent Server，只需要copy sylink.xml文件到相关的客户端电脑上即可。
如何找到Sylink.xml？位置在 C:\Program Files\Symantec\Symantec Endpoint Protection\sylink.xml
如果此客户端软件是从SAV升级的，则安装位置在C:\Program Files\Symantec AntiVirus\sylink.xml

Q: 替换Sylink.xml时，提示目标文件正在被使用，怎么办？
A: 需要先停掉客户端电脑上的SEP Client Service。然后替换文件后，再重新启动。

Q: 怎么停？Services.msc中停SEO Client service的button是灰色的
A: Disable SEP Client service的方法：
1）进入SEP的安装目录；
2）键入smc -p <password> -stop 命令
Enable SEP Client service的方法：
>smc -start