这2天继续玩Hyper-V 2.0，结果发现几个错误，拿出来提一下，希望微软的朋友注意到并修改之。

我装的是英文企业版，然后加载了简体中文语言包。不知道直接安装中文版是不是有同样的错误，这个有待其他朋友验证。

不多说了，直接上图。

1）Turn off 和Shut down都翻译成了关闭，导致歧义。

这2项点选以后，出来的提示信息也完全相同。并没有进一步的解释。

其实Shut down是告诉操作系统软关机(逐步关闭各个应用和服务的正常关机)，而Turn off则有直接切断电源硬关机的意思。是有很大区别的。

而Hyper-V管理器中的翻译就用了关机和关闭不同的词来表达。并且在提示信息中表示的非常清楚。

2）光存储的Image文件翻译成了图像文件。

在以前的文章( http://delxu.spaces.live.com/blog/cns!D04F87F9ED029F69!1550.entry)曾经提到的那样，在创建群集之前，强烈建议先运行一个完整的validation测试，保证当前的配置（包括服务器、网络、存储）满足failover Cluster的要求。

中文版的截图：

这次验证时发现一个错误——验证磁盘故障转移(Validate Disk Failover)失败了。失败的原因是：磁盘结构受损且不可读。

Failed to write file data on cluster disk 0 partition 1, failure reason: The disk structure is corrupted and unreadable.

解决方法是重新格式化相关的磁盘分区。要注意的是：

Cluster disk 0不是Physical disk 0。查找Cluster Disk 0是哪个硬盘的方法是：先在report中点List Potential Cluster Disks，找到Cluster Disk 对应的硬盘编号。
 

然后去List All Disks那一小节，找到该磁盘对应的Physical Disk号。最后到Disk Management中格式化此硬盘分区。本例中，Cluster disk 0具有id 68e13823，对应的物理磁盘号是1，所以到磁盘管理器中格式化disk1。

Logon type 2 Interactive  本地交互登录。最常见的登录方式。
Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
Logon type 4 Batch 计划任务
Logon Type 5 Service 服务
某些服务是用一个域帐号来运行的，出现Failure常见的情况是管理员更改了域帐号密码，但是忘记重设Service中的帐号密码。
Logon Type 7 Unlock 解除屏幕锁定
很多公司都有这样的安全设置：当用户离开屏幕一段时间后，屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的，用Type 2。WindowsXP/2003起有Type 10
Logon Type 11 CachedInteractive 缓存登录
为方便笔记本电脑用户，Windows会缓存前10次成功登录的登录。

附原文：
The logon/logoff category of the Windows security log gives you the ability to monitor all attempts to access the local computer. In this article I’ll examine each logon type in greater detail and show you how some other fields in Logon/Logoff events can be helpful for understanding the nature of a given logon attempt.  

Event IDs 528 and 540 signify a successful logon, event ID 538 a logoff and all the other events in this category identify different reasons for a logon failure. However, just knowing about a successful or failed logon attempt doesn’t fill in the whole picture. Because of all the services Windows offers, there are many different ways you can logon to a computer such as interactively at the computer’s local keyboard and screen, over the network through a drive mapping or through terminal services (aka remote desktop) or through IIS. Thankfully, logon/logoff events specify the Logon Type code which reveals the type of logon that prompted the event.

Logon Type 2 – Interactive
This is what occurs to you first when you think of logons, that is, a logon at the console of a computer. You’ll see type 2 logons when a user attempts to log on at the local keyboard and screen whether with a domain account or a local account from the computer’s local SAM. To tell the difference between an attempt to logon with a local or domain account look for the domain or computer name preceding the user name in the event’s description. Don’t forget that logon’s through an KVM over IP component or a server’s proprietary “lights-out” remote KVM feature are still interactive logons from the standpoint of Windows and will be logged as such. 

Logon Type 3 – Network
Windows logs logon type 3 in most cases when you access a computer from elsewhere on the network. One of the most common sources of logon events with logon type 3 is connections to shared folders or printers. But other over-the-network logons are classed as logon type 3 as well such as most logons to IIS. (The exception is basic authentication which is explained in Logon Type 8 below.)

Logon Type 4 – Batch
When Windows executes a scheduled task, the Scheduled Task service first creates a new logon session for the task so that it can run under the authority of the user account specified when the task was created. When this logon attempt occurs, Windows logs it as logon type 4. Other job scheduling systems, depending on their design, may also generate logon events with logon type 4 when starting jobs. Logon type 4 events are usually just innocent scheduled tasks startups but a malicious user could try to subvert security by trying to guess the password of an account through scheduled tasks. Such attempts would generate a logon failure event where logon type is 4. But logon failures associated with scheduled tasks can also result from an administrator entering the wrong password for the account at the time of task creation or from the password of an account being changed without modifying the scheduled task to use the new password.

Logon Type 5 – Service
Similar to Scheduled Tasks, each service is configured to run as a specified user account. When a service starts, Windows first creates a logon session for the specified user account which results in a Logon/Logoff event with logon type 5. Failed logon events with logon type 5 usually indicate the password of an account has been changed without updating the service but there’s always the possibility of malicious users at work too. However this is less likely because creating a new service or editing an existing service by default requires membership in Administrators or Server Operators and such a user, if malicious, will likely already have enough authority to perpetrate his desired goal.

Logon Type 7 – Unlock
Hopefully the workstations on your network automatically start a password protected screen saver when a user leaves their computer so that unattended workstations are protected from malicious use. When a user returns to their workstation and unlocks the console, Windows treats this as a logon and logs the appropriate Logon/Logoff event but in this case the logon type will be 7 – identifying the event as a workstation unlock attempt. Failed logons with logon type 7 indicate either a user entering the wrong password or a malicious user trying to unlock the computer by guessing the password.

Logon Type 8 – NetworkCleartext
This logon type indicates a network logon like logon type 3 but where the password was sent over the network in the clear text. Windows server doesn’t allow connection to shared file or printers with clear text authentication. The only situation I’m aware of are logons from within an ASP script using the ADVAPI or when a user logs on to IIS using IIS’s basic authentication mode. In both cases the logon process in the event’s description will list advapi. Basic authentication is only dangerous if it isn’t wrapped inside an SSL session (i.e. https). As far as logons generated by an ASP, script remember that embedding passwords in source code is a bad practice for maintenance purposes as well as the risk that someone malicious will view the source code and thereby gain the password.

Logon Type 9 – NewCredentials
If you use the RunAs command to start a program under a different user account and specify the /netonly switch, Windows records a logon/logoff event with logon type 9. When you start a program with RunAs using /netonly, the program executes on your local computer as the user you are currently logged on as but for any connections to other computers on the network, Windows connects you to those computers using the account specified on the RunAs command. Without /netonly Windows runs the program on the local computer and on the network as the specified user and records the logon event with logon type 2.

Logon Type 10 – RemoteInteractive
When you access a computer through Terminal Services, Remote Desktop or Remote Assistance windows logs the logon attempt with logon type 10 which makes it easy to distinguish true console logons from a remote desktop session. Note however that prior to XP, Windows 2000 doesn’t use logon type 10 and terminal services logons are reported as logon type 2.

Logon Type 11 – CachedInteractive
Windows supports a feature called Cached Logons which facilitate mobile users. When you are not connected to the your organization’s network and attempt to logon to your laptop with a domain account there’s no domain controller available to the laptop with which to verify your identity. To solve this problem, Windows caches a hash of the credentials of the last 10 interactive domain logons. Later when no domain controller is available, Windows uses these hashes to verify your identity when you attempt to logon with a domain account.

Conclusion
I hope this discussion of logon types and their meanings helps you as you keep watch on your Windows network and try to piece together the different ways users are accessing your computers. Paying attention to logon type is important because different logon types can affect how you interpret logon events from a security perspective. For instance a failed network logon on a server might now be surprising since users must access servers over the network all the time. But a failed network logon attempt in a workstation security log is different. Why is anyone trying to access someone else’s workstation from over the network? As you can see, it pays to understand the security log.

作者：delxu
版本：20091006

从Windows Vista sp1和Windows Server 2008开始，组策略(Group Policy)和先前的版本有了更加长足的进步。细心的管理员可能已经发现，最新版本的组策略分成了策略设置(Policy Settings)和策略首选项(Policy Preferences)两个部分。其中策略设置基本上继承了以前版本组策略的主要内容，而策略首选项则是全新的内容，为管理员提供了更多更细的设置。

组策略设置和首选项的不同之处就在于强制性。组策略设置是受管理的、强制实施的。而组策略首选项则是不受管理的、非强制性的。

对于很多系统设置来说，管理员既可以通过策略设置来实现，也可以通过策略首选项来实现，2者有相当一部分的重叠。那么什么情况下应该用策略首选项，什么情况下应该用策略设置呢？本文将为你解开这个谜团。

=========================================

（下文大多数情况下将“组策略的策略设置”简称为“策略”或“策略设置”，将“组策略的策略首选项”简称为“首选项”）

因为首选项和策略在某些管理区域相互重叠，有时候你可以通过多种方法来实现同一个特定的任务。比如，你可以通过策略来指定必须使用的登录脚本。在这些脚本中，你可以映射网络驱动器、配置打印机、创建快捷方式、复制文件和文件夹以及执行其他任务。使用首选项，你可以不需要通过登录脚本就完成相同的任务。那么，应该选择哪一种方法呢？嗯，真相是没有一个标准答案，确实是这样，这取决于你想怎么做。在下面的章节中，我将告诉你一些大致的指导意见。

当在同一个GPO中的策略和首选项发生冲突时，基于注册表的策略通常会获胜。对于不基于注册表的策略和首选项来说，最后写入的那个值获胜（这取决于策略与首选项的客户端扩展执行的顺序）判断策略设置是否是基于注册表的方法很简单，因为所有基于注册表的策略设置都定义在管理模板(Administrative Templates) 中。

控制设备安装

通过策略设置，你可以通过阻止用户安装驱动程序的方法来限制用户安装某些特定类型的硬件设备。你可以指定某个经过许可的设备可以被安装(根据设备的硬件ID)，也可以阻止特定设备的安装(还是根据设备的硬件ID)。这些策略设置仅对Windows Vista及更高版本有效，可在Computer Configuration\Policies\Administrative Templates\System\Device Installation Restrictions下找到。（注：中文版为“计算机配置\策略\管理模版\系统\设备安装限制”）

虽然这些限制措施能阻止新设备的安装，或阻止一个设备在拔下后并重新插入时的重新安装，但并不能阻止已存在设备的运行。

使用首选项，你可以禁用设备类(Device Classes)、某个设备、端口类(Port Classes)以及某个端口，但不能阻止驱动程序的载入。相关的首选项设置可以在Computer|User Configuration\Preferences\Control Panel Settings\Devices下找到。
（注：中文版为“计算机|用户配置\首选项\控制面板设置\设备”）

虽然用首选项可以禁用设备和端口，这并不会阻止设备驱动程序的安装。它也不会阻止具有相应权限的用户通过设备管理器(Device Manager)启用设备或端口。然而，因为组策略默认会以同样的时间间隔来刷新策略设置和首选项，首选项设置会在下一次刷新组策略的时候被重新应用。这样，除非你特别指定该首选项只应用一次且不再重新应用，该设置会每90-120分钟被应用一次。

如果你想完全锁定并阻止某个特定设备被安装和使用，可以将策略设置和首选项配合起来使用：用首选项来禁用已安装的设备，并通过策略设置阻止该设备驱动程序的重新载入。

最后要指出的是，这里提到的策略设置仅对Windows Vista或更高版本生效，而首选项则可以对安装了组策略首选项客户端扩展(Client-side Extension for Group Policy Preferences)的任何计算机生效。

文件和文件夹

通过策略可以为重要的文件和文件夹创建特定的访问控制列表(ACL)。然而，只有目标文件和文件夹存在情况下，ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\File System下找到。
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\文件系统”）

使用首选项，你可以管理文件和文件夹。对于文件，你可以通过从源计算机复制的方法来创建、更新、替换或删除一个文件或文件夹。对于文件夹，还可以指定在创建、更新、替换或删除操作时，是否删除文件夹中现存的文件和子文件夹。

文件和文件夹首选项可以应用于任何安装了组策略首选项客户端扩展的计算机上。对于文件，你可以在Computer|User Configuration\Prefernces\Windows Settings\Files下找到。对于文件夹，你可以在Computer|User Configuration\Prefernces\Windows Settings\Folders下找到。
（注：中文版对应的位置分别是“计算机|用户配置\首选项\Windows设置\文件”和“计算机|用户配置\首选项\Windows设置\文件夹”）

小技巧：组策略还提供了可用于.ini 配置文件和快捷方式的首选项。用于.ini文件的首选项仅限于修改.ini文件中特定分支的特定属性值。快捷方式首选项可用于创建文件、文件夹、URL以及在特定Shell对象(例如桌面)的快捷方式。

所以，最佳方案是同时使用文件和文件夹的策略和首选项。你可以用首选项来创建一个文件或文件夹，并通过策略对刚创建的文件或文件夹设置ACL。此外，对于文件和文件夹，应该选择“只应用一次而不再重新应用”。否则，创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。

Internet Explorer

组策略为Internet Explorer提供了非常多的策略和首选项设置，多到连不少专家都常常为哪个设置能做什么而感到困惑。下面这些是需要被关注的关键：

• Computer Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer 策略主要用来控制Internet Explorer的行为表现。这些策略配置了浏览器的安全增强并帮助锁定Internet安全区域设置。
• User Configuration\Policies\Windows Settings\Internet Explorer Maintenance 策略用来指定重要的URL，比如主页、搜索栏、联机支持页、收藏夹和链接。策略设置也被用于自定义浏览器界面，例如给IE增加自定义Logo、标题和按钮，建立默认程序、代理服务器和其他方法等。
• User Configuration\Preferences\Control Panel Settings\Internet Settings下的首选项设置允许你配置控制面板中“Internet选项”工具中的任何选项。

因为策略是被管理的而首选项是不被管理的，当你想要强制设定某些Internet Explorer选项时，应该使用策略设置。尽管你也可以使用首选项来配置Internet Explorer，但是因为首选项是非强制性的，所以用户可以自行更改设置。

电源选项

选择非常容易——为Windows Vista或更高版本选择策略；为Windows XP选择首选项。

Vista或更高版本的策略设置位于
Computer|User Configuration\Policies\Administrative Templates\System\Power Management
（中文版：“计算机|用户配置\策略\管理模板\系统\电源管理”）

Windows XP的首选项设置位于
Computer|User Configuration\Preferences\Control Panel Settings\Power Options
（中文版：“计算机|用户配置\首选项\控制面板设置\电源选项”）

控制打印机

通过组策略，你可以将打印机部署到任何支持组策略的计算机上，这是通过建立一个到现存的共享打印机上的连接来实现的。

对于Windows Vista或更高版本的计算机，可以通过位于User Configuration\Policies\Windows Settings\Deployed Printers的策略设置来部署打印机；对于更早版本的Windows计算机，可以通过在登录/启动脚本中使用PushPrinterConnection.exe来部署打印机连接。

你可以通过首选项来映射和配置打印机，这些首选项包括配置本地打印机以及映射网络打印机，包括共享网络打印机或TCP/IP网络打印机。这些首选项可以应用在任何安装了组策略首选项客户端扩展(Client-side Extension for Group Policy Preferences)的计算机上。

因为打印机首选项的设置要远比策略设置丰富的多，你可能会更倾向于使用首选项。不过，如果你已经通过策略设置部署了打印机，也没必要切换到首选项并重新部署。

控制注册表项与值

通过策略设置，可以为注册表项设置特定的访问控制列表(ACL)。然而，只有注册表项存在的情况下，ACL才能被应用。这种策略设置可以应用于任何支持组策略的计算机上。你可以在Computer Configuration\Policies\Windows settings\Security Settings\Registry下找到。
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\注册表”）

使用首选项，你可以创建、更新、替换或删除一个注册表项。相关的首选项的位置在Computer|User Configuration\Prefernces\Windows Settings\Registry。（注：中文版的位置是“计算机配置\首选项\Windows设置\注册表”）

尽管用首选项可以修改几乎任何注册表项，但是这种方法却很少被广泛使用。为什么呢？因为这相当于直接修改注册表，而直接修改注册表是一个危险的操作。你可能破坏了注册表导致系统的崩溃。所以我建议你只有在极少数必须的情况下才使用首选项来修改注册表项。你应该通过策略设置中的管理模板来修改注册表。组策略提供了很多管理模版，你还可以到微软网站为其他应用程序（比如MS Office）下载并安装额外的管理模板，来给其他应用程序管理注册表。如果某个特定的应用程序没有相应的管理模板，你还可以创建自定义的管理模板。

此外，你可能希望对注册表项的首选项“只应用一次且不再重新应用”。否则，创建、更新、替换或者删除的操作会在下一次组策略刷新时被重新应用。

控制开始菜单

说起对开始菜单的控制，策略配置和首选项有很多重叠之处。但是做法很不一样。

通过策略设置，你可以控制和限制「开始」菜单选项和不同的开始菜单行为。这些控制位于User Configuration\Policies\Adminsitrative Templates\Start Menu And Taskbar下。例如，你可以指定是否要在用户注销时清除最近打开的文档历史，或是否在“开始”菜单上禁用拖放操作。还可以锁定任务栏，移除系统通知区域的图标以及关闭所有气球通知。
（注：中文版的位置是“用户配置\策略\管理模板\「开始」菜单和任务栏”）

首选项位于User Configuration\Preferences\Control Panel Settings\Start Menu。你可以如同通过控制面板中的任务栏和「开始」菜单属性对话框一样来进行配置。不过没有关于任务栏的首选项。
（注：中文版的位置是“用户配置\首选项\控制面板设置\「开始」菜单”）

控制系统服务

对于系统服务，选择很容易。你可以通过策略设置来
* 配置服务的启动模式
* 指定服务的访问许可（谁可以开始、停止和暂停服务）

策略设置位于Computer Configuration\Policies\Windows settings\Security Settings\System Services
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\系统服务”）

首选项则用于
* 配置服务启动模式
* 配置服务操作（例如启动服务，停止服务，停止并重启服务）
* 设定用于启动服务的帐号和密码
* 设定当服务失败时计算机的恢复反应。

服务的首选项位于Computer Configuration\Preferences\Control Panel Settings\Services
（注：中文版的位置是“计算机配置\首选项\控制面板设置\服务”）

因为策略是受管理的，而首选项是不受管理的，当你想强制定义启动模式和访问许可的时候，可以用策略设置。尽管你可以用首选项来配置服务，但是因为首选项是非强制的，用户可以自行更改设置。这就是说，如果你应用了首选项并通过常规的组策略刷新机制来自动刷新，某些用户更改将会被你的首选项设置所覆盖。

控制用户和组

对于用户和组来说，选择首选项还是策略很容易。如果你想限制某个AD组或本地组的成员，你就应该用策略设置。相关策略设置的位置是Computer Configuration\Policies\Windows settings\Security Settings\Restricted Groups
（注：中文版的位置是“计算机配置\策略\Windows设置\安全设置\受限制的组”）

通过首选项，你可以创建、替换、更新或删除本地用户或本地组。

对于本地用户，还可以

* 重命名用户帐号
* 设置用户密码
* 设置用户帐号的状态标志 （比如下次登录时必须修改密码标志，帐号禁用标志等）

对于本地组，首选项还可以

* 重命名组
* 添加或删除当前用户
* 删除成员用户或成员组

本地用户和组的首选项位于Computer|User Configuration\Preferences\Control Panel Settings\Local Users And Groups
（注：中文版的位置是“计算机|用户配置\首选项\控制面板设置\本地用户和组”）

注：本文的大部分章节节选或翻译自《Windows Group Policy Administrators Pocket Consultant》第二章。如有出错请发邮件到dellxu@gmail.com指正。如有需要转载，请写明出处。

趁国庆打折，去苏宁买了个新的夏普液晶电视机，送货和安装很快，9月30日晚饭过后去买的，10月1日晚上7点就送到了。

电视装好，第一件事情就是调台。频道的顺序还是要按照我们习惯的来。我平时习惯11的位置就是CCTV-1，12是CCTV-2，依次排到22是CCTV-12。刚把CCTV-1调整到11的位置，后面出现的又是CCTV-1，再接下去一个还是CCTV-1，正纳闷呢，May在厅里说，“湖南台这次真乖，老老实实地转播中央1套的国庆联欢晚会，连芒果台标都不显示了。”新闻联播的时候，至少还让人留了个台标，这次绝了，连台标都不让放了。

啊！原来如此啊。算了，不用调了，这个时间点，几十个频道全都一模一样是CCTV-1。

真好！真和谐！

其实，何苦弄那么多卫视呢。建议把全国的地方卫视全部取消，编个号，从CCTV-1编到CCTV-61；

另外，为了和谐、整齐、一致，我还有以下建议：

建议立法禁止五颜六色的衣服，全中国人民都穿灰色中山装，既具有规模效应，又体现了整齐划一的精神风貌；
建议把全国的报纸都取消掉，直接给全中国人民每个人订一份人民日报。
建议所有的网站全部复制人民网，版权费用都付给人民网，将天朝的山寨风和抄袭风发扬到极致。

夏日，楼下的儿童嬉水池又开放了，几个孩子在水池里面嬉闹，大声喧哗着，乃至尖叫。那一定是在表达他们开心到了极点的那种兴奋心情。

喧哗声尖叫声分贝甚高，从楼底直入云霄。

我问May，你曾这么尖叫过么？又问，他们应该是极其兴奋，你曾这么兴奋到尖叫么？再问，你有多久没这么兴奋过，兴奋到尖叫了？或者这么说，虽然成年人了，会控制情绪，纵然极度开心极度兴奋也不会纵声尖叫，但是多久没有体验这种开心到想要尖叫的兴奋了？再再问，今后的生活中发生什么事情，能让你再度如此兴奋？

问的同时，我也自问。

亲爱的你，有没有想过这个问题呢？


问题：
1. 你曾尖叫过么？
2. 你曾开心地兴奋到尖叫吗？
3. 最近的一次极度开心是什么事情？
4. 你有多久没这么开心到极点，兴奋到想要尖叫？
5. 今后的生活中发生什么事情，能让你再度如此兴奋？

最近一期《南方人物周刊》(09年9月28日出版)的封面报道——60人的中国梦，有点意思。调查包含了7个问题，抽取了各行各业各个阶层的60人来回答。答案是五花八门，但也基本上反映出了些许现实，至少报道看上去很真实，没有被和谐。

这7个问题是：

1. 小时候你的梦想是什么？
2. 你对现在的生活状况满意么？
3. 你希望的生活是什么样子的？
4. 你现在的生活的精神动力是什么？
5. 对你而言什么最重要？
6. 你现在的梦想是？
7. 你对中国的未来有何期待？


扪心自问，作答如下：

1. 小时候你的梦想是什么？
当科学家，比如理论物理学家或者天文物理学家。

2. 你对现在的生活状况满意么？
满意。有一个聪明、可爱、漂亮、既上得厅堂又下得厨房的、有事业有收入的、高智商和高情商的、我爱的也爱我的老婆，我十分满意。

3. 你希望的生活是什么样子的？
每年能有连续的一个月不用工作，可以用来探索世界走遍天下。

4. 你现在的生活的精神动力是什么？
保持自己快乐的心态，进而感染周围的朋友和家人。

5. 对你而言什么最重要？
健康。生理和心理的双重健康。我自己的和家人们、朋友们的生理和心理的双重健康。

6. 你现在的梦想是？
能够有足够的钱和闲暇时间去走遍天下。

7. 你对中国的未来有何期待？
希望在我有生之年中国能维持稳定和繁荣，使得我现在还在积攒的养老金可以足够养老。
希望在我有生之年，中国的大好山河没有被糟蹋殆尽。


同学们朋友们，欢迎把你的真实的答案回复在下。



P.S. 《南方人物周刊》中60人的回答:
封面人物(一)
封面人物(二)
封面人物(三)
封面人物(四)
封面人物(五)
封面人物(六)

终于读完了。

从9月4日入手到今天，耗时1个月，终于在10月之前读完了。

这是我第一本从首页读到末页的英文原版计算机书。

庆祝一下。

博主注：从版本号上看，此文原创者写于2006年9月4日，但是网上搜了很久也没找到原创作者的名字和博客URL，在这里只能说抱歉了。文章写的实在是好，深入浅出，非常适合当作培训教材。忍不住转载一下。（莫非是开心网的转帖瘾犯了。。。笑。。。）

相关URL: http://www.ixpub.net/archiver/tid-638595.html

=========以下为转帖的原文=============

内容：存储和相关基础知识
范围：限opensystem和windows
版本：Version 0.1 build 20060904

有些新手总是在各式各样的概念里绕来绕去，弄的不亦乐乎。所以我就把我的一些理解写了下来，供您参考。我说的不局限于任何一种具体产品和厂家，也可能有些说法和某些厂家的说法不一样，但是我觉得应该算的上是本原的东西，有以不变应万变之功效，呵呵，见笑。

1、关于HBA
HBA的全称为Host Bus Adapter，即主机总线适配器。

a、总线适配器是个什么东西呢？
我们首先要了解一下主机的结构，一台计算机内部多半由两条总线串在起来(当然实际情况会有不同，这里只讨论常见的，简单的情况)，一条总线叫系统总线，一条叫I/O总线。系统总线上接了CPU，MEmory，cache什么的，I/O总线上接的就是外围设备，现如今最常见的就是PCI总线了。这两条总线之间用桥接的芯片或者说电路连接起来。举个形象的例子，就好比一个城市里，有两条主干道，一条属于行政区，一条属于商业区，中间有个环岛，将两条主干道连接到了一起，系统总线就好比行政区里的主干道，而I/O总线就好比商业区的主干道。系统总线和I/O总线的带宽的单位都是以Gbyte来记，但是显而易见的是，行政区的主干道和商业区的主干道相比的话，前者肯定更“核心”，更宽，更顺畅，设计的要求也高。
我们知道，在向公仆部门要求服务的时候，是要有一些接口的部门和程序的，而桥接芯片的作用就是连接和协调两条总线的工作的。
虽然I/O总线的速度和系统总线的带宽相比要低很多，但是好歹也是以G来计量的，而我们知道外围设备的速度，往往只有几百兆，甚至几十k而已，怎么协调工作呢？好比卖煎饼果子摊子不能直接戳到城市主干道上，怎么办？好办，在主干道边上开个2000平米的小吃城，把摊子都收进去好了。那么主机总线适配器的作用也就是这个，我们就是要把外设组织起来，连接到I/O总线上去！HBA就是指Host和I/O BUS直接的一个适配器，也好比一个水管工常说的“双通”。

b、常见的HBA有哪些呢？
比如显卡，网卡，scsi卡，1394卡等等。我要拿出来说的就是FCHBA和ATA&IDE。我们通常说的什么Emulex的LP9002，什么Qlogic的QLA2340都是FCHBA卡，就是将Fibre Channel的设备和IO总线连接起来的适配器。ATA也是一种适配器技术，我们PC主板上的ATA接口，就是一个磁盘适配器的对外接口，要强调的就是，ATA说的是适配器技术，IDE是说得存储外设技术，比如我们可以说IDE硬盘，IDE光驱，说ATA接口，但是说IDE接口，ATA硬盘就不时那么合适了，虽然很多情况下，大家都习惯把他们混在一起说。
描述HBA的时候，有几个主要的规范要说一下
  > 一个承上，就是说，HBA和IOBUS怎么连，我们经常说的PCI接口卡，就是指这个HBA卡是要插在PCI BUS上的PCI slot上的，但是现在的计算机上，不仅仅只有PCI总线而已，大家碰到的时候留意。
  >一个启下，就是说HBA要和外设怎么连，这样的规范就很多了。
  >再说HBA本身，比如带宽，比如运行机制(protocol等)，独立处理能力等等
Tips：有时候我们看到的一块卡，看到的实际是一个物理的卡，有的时候实际上是多个Adapter，好比一家机构，挂多个牌子，有的时候，一块卡有两条通道，好比一家公司，有两套人马。

2、关于lun

a、lun的概念
   lun的全称是logical unit number，也就是逻辑单元号。我们知道scsi总线上可挂接的设备数量是有限的，一般为6个或者15个，我们可以用target ID(也有称为scsi id的)来描述这些设备，设备只要一加入系统，就有一个代号，我们在区别设备的时候,只要说几号几号就ok了。
   而实际上我们需要用来描述的对象，是远远超过该数字的，于是我们引进了lun的概念，也就是说lun id的作用就是扩充了target id。每个target下都可以有多个lun device，我们通常简称lun device为lun，这样就可以说每个设备的描述就有原来的target x变成target x lun y了,那么显而易见的,我们描述设备的能力增强了.就好比,以前你给别人邮寄东西,写地址的时候,可以写:
   xx市人民大街54号 xxx(收)
   但是自从高楼大厦越来越多,你不得不这么写:
   xx市人民大街54号xx大厦518室 xxx (收)
   所以我们可以总结一下,lun就是我们为了使用和描述更多设备及对象而引进的一个方法而已,一点也没什么特别的地方。

b、lun是什么东西？
   lun id不等于某个设备,只是个号码而已,不代表任何实体属性,在我们的实际环境里,我们碰到的lun可能是磁盘空间,可能是磁带机,或者是media changer等等.
   lun的神秘之处(相对于一些新手来说)在于，它很多时候不是什么可见的实体，而是一些虚拟的对象。比如一个阵列柜，主机那边看作是一个target device，那为了某些特殊需要，我们要将磁盘阵列柜的磁盘空间划分成若干个小的单元给主机来用，于是就产生了一些什么逻辑驱动器的说法，也就是比target device级别更低的逻辑对象，我们习惯于把这些更小的磁盘资源称之为lun0,lun1,lun2....什么的。而操作系统的机制使然，操作系统识别的最小存储对象级别就是lun device，这是一个逻辑对象，所以很多时候被称之为logical device。
   有人说，我的windows里，就认到一个磁盘呀，没看到什么lun的说法，是不是lun=physical disk呢？回答是否定的，只要你注意，磁盘的属性里就可以看到有一个lun的值，只是因为你的disk没有被划分为多个存储资源对象，而将整个磁盘当作一个lun来用，lun id默认为零，如此而已。
   我们曾经碰到过这样的问题，比如有人问，我们有一个磁盘阵列，连到了两个主机上，我们划分了一个lun给两个主机认到，然后我们想，先在操作系统将磁盘分为两个区，让两个主机分别使用两个分区，然后再出现某一台主机宕机之后，使用集群软件将该分区切换到另外一个主机上去，这样可行吗？答案也是否定的，集群软件操作的磁盘单元是lun，而不是分区，所以该操作是不可行的。当然，在一些环境，一般也是一些要求比较低的环境，可以在多个主机上挂载不同的磁盘分区，但是这种情况下，实际上是没有涉及到磁盘的切换的，所以在一些高要求的环境里，这种情况根本就不允许存在。
   还要说明的地方是，在有些厂商和有些产品的概念里，lun id被绑定到了具体的device上，比如ibm的一些带库，整个带库只有一个target id，然后changer,tape drive被分别分配为lun0,lun1,lun2.....，但是我们要注意到，这只是产品做了特别设计，也是少数情况。

c、存储和主机的电气独立时代的lun的概念
还有很多新手总是把阵列里面的磁盘和主机的内部磁盘的一些概念搞混淆了。
在磁盘阵列和磁带库大行其道的时代，存储越来越智能化，越来越像一个独立的机器，实际上存储和主机的电气独立本来就是一个必然趋势，俗话说得好，儿大要分家嘛。在存储越来越重要的时代，存储要自立门户是必然的事。
如果我们把存储当作一个独立的主机来看，理解起来就很简单了。我们说到lun的概念的时候，我们就要将分为两个层面。一个层面就是在阵列这个机器的os识别到的范围，一个层面就是服务器的os识别到的范围。这两个层面是相对独立的，因为如果我们把存储当作一个主机来看，那么它自然有自己的device，target，lun之说，而服务器也有自己的device,target,lun之说；另外一方面，这两个层面又是相互关联的，一个阵列的控制系统，大多都有虚拟化的功能，阵列想让主机看到什么样的东西，主机才能看到相应的东西。当然，服务器识别到的最小的存储资源，就是lun级别的。那么主机的HBA卡看到的存储上的存储资源就靠主要两个东西来定位，一个就是存储系统的控制器(target)，一个就是lun id，这个lun是由存储的控制系统给定的，是存储系统的某部分存储资源。

d、lun masking，lun mapping
我们有了独立的磁盘阵列用了之后，服务器只要看到存储的控制系统，就有可能使用磁盘阵列的磁盘资源，但是磁盘阵列不可能只为某一个服务器来使用，所以他必须管制主机使用某部分磁盘资源。这个管制分为两个部分：一部分就是lun mapping,类似于绿色通道，就是保证服务器能看到某部分存储资源,一部分就是lun masking，类似于警戒线，就是保证服务器只可访问给它分配的存储资源，而没分配给服务器的资源，就不要染指了。
实现lun masking和lun mapping有三种方法：一个是基于存储控制系统来设置，一个是基于存储交换系统来设置，一个是基于服务器os来设置。
基于存储控制系统得设置，是比较常见的设置，比如很多磁盘阵列的控制系统，本身就能设置lun被某服务器看到。比如FastT的partition功能。
基于存储交换系统的设置，也是一种常用的方法，比如常说的zoning。
基于服务器os的设置，比较少采用，一般采用安装某些操作系统上安装某些软件来实现，因为这个方法全靠服务器自觉，所以比较少用，呵呵。

e、lun的multi-path
现在，存储网络越来越发达了，一个lun有多条通路可以访问也不是新鲜事了。
服务器使用多个HBA连接到存储网络，存储网络又可能是由多个交换设备组成，而存储系统又可能有多个控制器和链路，lun到服务器的存储网络链路又可能存在着多条不同的逻辑链路。那么，必然的，同一个physical lun在服务器上必然被识别为多个设备。因为os区别设备无非用的是总线，target id，lun id来，只要号码不同，就认为是不同的设备。
由于上面的情况，多路径管理软件应运而生了，比如emc的powerpath，这个软件的作用就是让操作系统知道那些操作系统识别到lun实际上是一个真正的physical lun，具体的做法，就是生成一个特别的设备文件，操作系统操作这个特殊的设备文件。而我们知道，设备文件+driver+firmware的一个作用，就是告诉操作系统该怎么使用这个设备。那么就是说，多路径管理软件从driver和设备文件着手，告诉了操作系统怎么来处理这些身份复杂的lun。

3、关于备份(Backup)和高可用性(High availability)
备份，从字面的意思来理解，其实就是现时存在和应用的一个实体的后备实体；
高可用性，即是指我们硬件的环境、设施、数据、应用系统等，在复杂环境下可用的能力和可能性达到一个较高的值；
在现实世界里，我们都讲究有一个稳定，可靠，所以我们经常在计算机环境设计里，涉及到高可用性和备份等等元素。
我首先把这两个词拿出来说，就是不想让新手们在什么双机热备，数据备份亚，集群等等概念里晕的不也乐乎。

对于备份我主要说说以下几个方面：
    a、设备的备份
    设备的备份，也就是我们在现时使用的设备之外，采取相同或者类似的设备做后备。
    比如我们在服务器上采用冗余电源，也叫后备电源，我们使用单独的硬盘来做RAID的备用盘，也叫热备盘。
    如果我们采取单独的一台服务器来做后备，这就成了主机的备份，主机的备份有很多种方式，比较著名的就是所谓的cluster，所谓的双机热备和双机容错，我很不喜欢鼓捣这些概念，我一概称他们为主机热备，因为他们有一个共同的特点，就是都是为了实现主机的备份，即某一个主机失效了，有另外一个主机顶替它来运行。实现主机热备的软件有很多，比如IBM的HACMP，HP的MCSG，SUN的sun cluster，Compaq的Ture Cluster，Veritas的VCS，EMC的autostart，ROSE HA等等

    b、数据的备份
    数据的备份，就是我们在现时使用的数据之外，实现或设置另外一份不同物理体现的、内容相同的的有效数据拷贝
    比如我们将生产数据拷贝到磁带上，就是一种数据备份方式。
    比如我们将生产数据复制到磁盘的另一个分区，另一个文件系统，或者拷贝到别的主机的磁盘上，等等，都是一种数据备份的方式。
    实现数据备份的软件有很多，比如一些磁带操作的小工具，tar，cpio等，大的工具软件有什么EMC Networker, Symantec Netbackup，CommVault，tapeware等等，数据复制的工具就更多了，操作系统的复制命令呀，emc replicator呀，srdf等等

    c、应用系统的备份
    应该说应用系统的备份，包含了以上两种备份，因为一个完善的应用系统，其设备和数据都是要求有备份的，那么初次之外，做为一个应用系统，除了设备和数据，他还包含了业务程序，人员，业务逻辑，外部环境等等一系列让应用跑起来的东西。
    在这个层面，就有一个比较热火的东西，那就是常说的远程容灾。远程容灾，就是在生产系统环境之外，在相隔较远的物理空间，构建相同或类似的一个应用系统，以达到在必要的时候顶替原生产系统工作的目标。
    要实现远程容灾的目的，除了我们说的外部环境，比如机房，电力，后勤保障，人员配备，业务程序之外，我们比较着重的一个环节，就是数据的问题，也就是我们在两个系统之间要保证数据的相对一致，实现这个目标的方法有很多，比如磁盘阵列之间的卷复制，比如两个主机之间文件系统上的复制，等等。当然，在一个系统里，把数据用磁带导出来，快递到另外一个系统地点，在用磁带把数据导进取，也不能说不是一个办法，但是这样操作，经常会和业务的逻辑相违背（呵呵，这么麻烦又耽误时间，估计一般很难接受）。

对于高可用性，我要说的是：
    可用性，即是指在各种复杂环境下，我们的数据，应用等计算资源都可以保持使用的能力和可能性。比如服务器配备冗余电源，就提高了服务器的可用性，好理解，一个电源工作不正常或者能力不够的是候，服务器不受影响嘛。再比如，我们的磁盘阵列采用双控制器，当某个控制器和链路工作不正常的时候，数据的访问能平滑的过渡到另外一个控制器上和链路上，这也是提高了数据和存储设备的可用性。
    那么什么是高可用性呢，我们就是一切为了提高系统可用性的实现方法和结果。
    要拿出来说的就是cluster，或者双机什么的。我们为了实现生产的应用系统的高可用性，其中一个环节就是实现服务器的高可用性，就是某服务器失效或者能力不足时，应用能平滑的过渡到另外的主机上，也就是说对于应用系统来说，服务器保证了相对的可用
那备份和高可用性有什么区别呢？
    那我要说，这根本没有可比性！因为这是两个不同的概念，他们的着眼点是不同的。备份只是保证了有后备，而高可用性则是为了保证应用的尽快恢复。
    打个比方，我们说备份就好比买保险，买保险不能保证你平安无事，但是肯定能减轻损失。我们说搞可用性，就是安全气囊，ABS，能让你快速的重新开始或者说将危险消弭于萌芽时刻。
    所以说我们做备份和提高可用性，两手都不可放松，也不互相矛盾。就好比买了好车，你就不买保险，或者你买了保险，就可以飙车，都是愚蠢的。

* Windows磁盘分基本(basic)磁盘和动态(dynamic)磁盘。
* 基本(Basic disk)是传统的磁盘类型，动态磁盘是Windows 2000新引入的概念。
* 基本磁盘不支持多分区卷，动态磁盘支持多分区卷。
* 基本磁盘只支持从Windows NT升级携带过来的多分区卷。这只发生在Windows2000时。Windows2003开始不支持基本磁盘上的多分区卷。
* 基本磁盘可以单向转换为动态磁盘（在保留磁盘中分区和数据的同时）。但是动态磁盘无法转换回去。只能删除动态磁盘中的所有的卷，清空后再转换成基本磁盘。
* 基本磁盘转换成动态磁盘，至少要有1MB的可用磁盘空间。
* 笔记本电脑的硬盘、移动硬盘、位于1394或USB总线上的磁盘，以及共享的集群服务器硬盘总是基本磁盘，不能用动态磁盘。
* 动态磁盘上的多分区卷提供的新特性：尺寸变化(弹性)，可靠性(raid 1)，性能(raid 0)
* Windows默认将磁盘当作基本磁盘。
* Microsoft推荐你用基本磁盘。除非你需要动态磁盘的多分区特性。
* 注：实践中，很少用Windows自带的多分区特性。(俗称软raid)。通常使用性能更好可靠性更高的硬件阵列卡来构造Raid磁盘阵列。所以在多数情况下动态磁盘基本没有需求。
* 因为基本磁盘不支持多分区卷，只支持单分区的简单卷，所以，对基本磁盘而言，卷和分区是一个概念，有时候可以混用。
* 也有些文档或者书籍为了更好地区分这2者，特地在说到基本磁盘的时候用术语“分区”(partition)，而提起动态磁盘的时候使用术语“卷”(volume)。
* 五种特别的类型：活动(Active)，启动(Boot)，故障转储(Crash Dump)，页面文件(Page File)，系统(System)
* 下图显示的是一个Windows 7 的硬盘分区，请特别注意，系统分区(也是活动分区)是一个100MB的存放WinRE的保留分区，而不是如同以往是C:

基本磁盘转动态磁盘
* 扇区>512字节的不能转
* 必须至少1MB可用空间，少于1MB不能转
* 便携式电脑不能转