症状：T60笔记本电脑安装SEP以后，Tamper Protection一直跳窗口，提示有程序要修改防病毒软件RTVSCAN.exe。这个窗口每秒要跳十几个，根本无法关闭。

临时性解决方案是关闭Tamper Protection的报警。但是问题仍然存在，该动作导致每秒都有十几条log被记录下来，每天都会产生几十到几百MB的日志，占用了大量磁盘空间和I/O，影响了硬盘性能。
产生的日志的位置：C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Logs

日志的内容每条都是这样的：

26041E090524,45,4,14,NB0131,SYSTEM,,,,,,,65536,"C:\Program Files\Symantec AntiVirus\Rtvscan.exe",0,,0,301    1352    C:\\WINDOWS\\system32\\IPSSVC.EXE    34    1320    C:\\Program Files\\Symantec AntiVirus\\Rtvscan.exe    C:\\Program Files\\Symantec AntiVirus\\Rtvscan.exe    0    0,,,,0,,,,,,,,,,,{091E0000-006F-0063-6500-730073003A00},,(IP)-10.86.20.146,,CN,00:15:58:30:8F:88,,,,,,,,,,,,,,,,,0,,,,,


诊断：发现是LENOVO预装的IPS Core Service的ipssvc.exe试图访问（或者扫描、修改）RTVSCAN，激起了SEP的自我保护机制。判断是ipssvc.exe和Rtvscan.exe的不兼容问题。经查，ipssvc是个VPN相关的程序，关闭对系统不会有影响。
（参http://www.processlibrary.com/directory/?files=ipssvc.exe）

解决方案：关闭IPS Core Service，并设置为Disable

某帐号每天都会被lockout，用户不厌其烦。

Troubleshooting的方法：

第一步，当帐号被锁时，用Lockoutstatus.exe工具来判断当时的登录服务器。

帐号被锁的那个相关DC会列出在Orig Lock这一列。

第二步，用eventcombMT.exe把有关Account Lockout的事件保存下来

1）填上Domain名称
2）选择DC
3）从菜单中选Searches-->Built In Searches --> Account Lockouts，这会自动给你在下面填上event id: 529, 644, 675, 676 和681
4）点Search

在output目录里面会生成一系列文本文件。

第三步，用Findstr.exe来搜索过滤这个文本文件。

Findstr.exe是windows安装好就自带的一个命令行工具

进入命令行工具后键入findstr /i user dc01-security_log.ext > .\user.txt

这样过滤后的有关该user的帐号被锁信息就被保存在了user.txt中

第四步，打开user.txt，查找644那行，看是在哪台电脑导致的account lockout

第五步，到登录那台电脑，查看有没有以下使用该帐号的情况

1) 自动的网络盘符映射
2) 用该帐号自动运行的scheduled task 或 service
3) 有没有没有断掉的terminal 连接

如果还是不能确定是哪个程序导致的帐号被lockout，那么在该电脑上安装alockout.dll，导入appinit.reg注册该dll后，重新启动。等到下次帐号被锁时，就可以查看%winroot%\debug\下的log文件来看具体是哪个process在捣鬼。

============

以上提到的几个工具，可以去微软网站下载ALTOOLS.exe，具体参Account lockout and management tools

http://technet2.microsoft.com/WindowsServer/en/library/b4145d9a-c4aa-4e0d-b5bc-cb14c7ff69cd1033.mspx

下载ALTOOLS.exe

http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

当前阶段测试Hyper-V的几点注意事项：

第一，要看硬件是不是符合条件。要支持64bit的CPU，Intel CPU要支持VT技术的，并且主板也要支持虚拟化技术，注意，必须到bios里面去enable 虚拟化功能。（我的965主板和E6600 CPU正好满足条件）

第二，安装的OS版本必须是Windows 2008 64-bit的。微软网站的RC0补丁（949219）有32bit版本和64bit版本可以下载，开始我怀疑是不是Hyper-V现在也支持32bit Windows了，经过盆盆兄解惑，知道32bit的949219补丁只带有Hyper-V的管理工具，而Hyper-V 的host必须是64-bit的OS。

第三，当前的Windows 2008 评估版中文版含的Hyper-V是beta版的，安装完了后发现Hyper-V的vmms服务报错，不能启动。这是正常的，从盆盆兄那里核实了，要装RC0（就是patch kb 949219，26.5MB）才能运行。此外，微软4月27日发布的SCVMM 2008 beta可以使用了，目前可以管理RC0，但是不能管理新出来的RC1（kb950049），而RC1比起RC0来可能修补了些bug，但是功能基本一样，所以决定先试用RC0。SCVMM beta可以到微软网站http://www.microsoft.com/scvmm去下载（记得先申请加入微软connect）。

第四，Hyper-V是Windows 2008的一个角色，就像AD或者DNS一样。可以不依赖Domain，所以，安装完Windows 2008可以在这台服务器上只安装上Hyper-V，而不安装其他角色。（事实上，你也不应该安装任何其他服务器角色，这样才能把所有资源都用到Host VM上）

第五，目前的Hyper-V 版本和Active Directory不兼容，不要把他们装在同一台机器上。

第六，Hyper-V起来以后，第一件事情是要进入Hyper-V Manager控制台（很像ISA的控制台），在右侧操作panel里面选Virtual network manager，先配置一下虚拟网络，否则你的虚机将不能配置网络。