域控制器的管理注意事项
原文转载:
http://sosoboy.blog.51cto.com/414269/117680
管好域控制器对于一个网络管理员来说,是专业性的技术体现。笔者总结了域控制器的常见五种错误操作,希望能够与广大技术爱好者共享。还请大家多多指教噢!~
一、没有安装DNS犯 这种错误的大多数新手。因为一般在安装活动目录时,如果没有安装DNS,系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试,不装DNS,而 用WINS是可以的,但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的。这是因为 在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,实 际上,在A记录之外,还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安 装DNS。
二、随意安装了软件
由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,也 是重中之重,但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下四十个软件,甚至包括一些网络游戏之类的软件,如边锋、传奇 等,还有一些MP3播放器,VCD播放器等。这样直接导致的结果就是软件冲突加重,而且即使是软件卸载,也会在注册表中存有大量无用信息,这些信息完全无 法用手工方法卸载。于是,借助第三方软件,比如超级兔子、优化大师的,虽然这些软件都有清理注册表和提速的功能,但是域控制器毕竟不是个人PC,重装一次 之后,很多网络的计算机名和域名都有可能更改,影响相当大。最后,麻烦来是来了, 所以,笔者认为“预防永远大于急救”。所以重要数据备份还是有必要的, 笔者的域控制器上除了活动目录和DNS,只安装了一个SUS服务器,运行已经有一年半了,几乎没有发生过任何软件问题。毕竟,对于服务器而言,稳定大于一 切。
三、操作方法不正确
网络管理员往往都是技术爱好者,所以对于自己机器的设置往往更加“个性化”。比如,有的网管一时 兴起,增加一台额外域控制器,然后再增加一个子域,而哪天因为系统问题或者心情不爽,往往也不降级,直接把那些子域域控制器,额外域控制器等统统格式化, 然后重装。这样反复操作,往往会导致活动目录出错,直到无法添加为止。笔者曾帮助一个网管修复域控制器,在检查中发现里面莫明其妙的有很多的域控制器,但 是网络上却又没有这些域控制器,而且活动目录经常出错。查过日志却发现全是报错信息,都是一些无法复制,找不到相应的域控制器等。最终,笔者用 Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的,如果用Ntdsutil清除活动目录还是不正常时,那基本没有什么解决方 法,无论多么费时,都只能“重建”。
四、FSMO角色的任意分配
一般来说,FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话,那么无非就是两种情况:一是服务器的正常维护;二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。
但 是目前很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其它的域控制器 上,能传送就传送,不能传送就夺取。但是笔者在这儿要建议大家一个字:等!除了PDC仿真器这个角色以外,其它角色所在的域控制器如果离线的话,都建议大 家等,等着这台域控制器的重新归来,一般也就是几天的时间,因为在FSMO的角色中,除了PDC仿真器是经常用到的以外,其它的角色是不会常用到的。
举 个例子:以Domain Naming Master来说,它的主要作用是用来管理添加删除域,但一般的网络上谁会有事没事的增加删除域?所以如果Domain Naming Master角色所在的域控制器离线,而你又比较肯定在这台域控制器离线这段时间里不会增加或删除域的话,那么,完全没有必要把Domain Naming Master角色传送过来。至于夺取那就更不用说了,不到万不得已,是绝对不能用夺取的操作的,因为一旦夺取,那么原来的域控制器联机以后,FSMO角色 的唯一性就不存在了。可以想象一下一个森林同时有两个Domain Naming Master会是什么现象?所以在夺取FSMO角色时,请大家明确一件事以后再操作,那就是:原来占有FSMO角色的域控制器将永远都不会再回到网络中 来。
五、GHOST
首先笔者必须强调,GHOST是很优秀的软件。但是正是因为太多的人将他看成“救命稻草”,但是服务器和PC、NB不一样。系统装好后,用GHOST作备份,对于单机和对等网上是无可厚非的,但是在域环境下却不能这么用。
因 为部署过活动目录的人都知道,所有的域用户都是有一个帐号和密码的,但有没有人知道其实在域内的计算机和域控制器的通讯也是要用密码的?当然这个密码是随 机的,而且是定期修改的,所以当恢复一个很久以前的GHOST备份的时候,你会发现系统无法和域控制器联系,因为密码换过了,当然这种情况的解决办法还是 很简单的,退出域,再重新加入就可以了。所以在域网络中对客户端使用GHOST还是可以忍受的,因为一个企业在同一时间大面积的进行GHOST还原的情况 笔者还没有见过。当然有一种情况是要避免的,就是当硬件配置一样,然后用GHOST进行盘对盘复制的,这样的话会有安全隐患,因为GHOST会导致SID 重复。虽然可以借助一些工具来清除,但笔者还是觉得不放心。
如果说GHOST用在域控制器上,笔者认为,除非你每天做个GHOST备份, 在活动目录上,有一个Tombstone lifetime,中文一般翻译成墓碑时间,这个时间系统默认是60天,如果一台域控制器离线的时间超过60天,那么这台域控制器就算重新接到网络中来, 其它的域控制器也不会把信息复制给它,可以说,它已经脱离这个网络了。
而且,这个备份恢复回来的GHOST是有可能把它上面的过时的信息 复制给其它的域控制器的,你可能会发些很早以前删除的帐号居然又回来了,组策略还原了等莫明其妙的问题,而且这种复制对于企业而言,是有灾难性损坏的可能 性的,要避免这种情况网管要修改注册表来控制它的出站复制,不过能避免,又何必去修改?由此可见,用GHOST恢复以前的域控制器的备份,就好比这台域控 制器从备份那天就开始离线一样,很多情况下,这种备份恢复的操作等于没有,甚至有时候还不如不备份,灾难恢复都要比它好。因此,GHOST能不用就别用