通過前面的幾篇文章,大家可能已經對活動目錄已經有了一個大致的概念了,很多人可能已經迫不急待的開始在公司裡部署活動目錄了。在這裡本人根據自己這些年管理活動目錄的一點小小經驗,再加上這些年在論壇上別人問我一些問題,稍微總結了一下,列舉一下活動目錄管理的常見五種錯誤操作,希望能夠起到拋磚引玉的作用。OK,那現在我就開始班門弄斧了:
一、安裝活動目錄但不安裝DNS;
一般犯這種錯誤的,都是在網上看到了有活動目錄這麼個東西,然後就開始自己動手的新手,如果是看過一些微軟活動目錄的官方教材或者是看過一些比較詳細的活動目錄的部署文章的朋友是不大會犯這種錯誤的。其實在安裝活動目錄的時候,如果你沒有安裝DNS的話,系統是會給出警告提示的,但一般新手都會直接忽略過去。曾經有人問過我,不安裝DNS,而是用WINS,行不行?原來是NT4的域管理員經常會問這樣的問題,反正我做試驗的結果是,行!但是,你會發現登陸的時候非常慢。雖然它還是可以用Netbios名訪問網上鄰居中的計算機,但其實是無法使用域資源的,為什麼?因為在域環境網絡中,DNS起到的不僅僅是一個域名解析的作用,如果僅僅是這個作用的話,那麼可以直接用IP來進行訪問,這樣DNS服務器豈不是沒用了?更主要的是DNS服務器起到一個資源定位的作用,大家對於DNS的A記錄應該有很深的了解,但不知道大家有沒有注意過,其實DNS服務器上,不僅僅是A記錄,還有很多其它的如SRV記錄什麼的,不信的話,打開你的DNS服務器管理控制台看一下。而這些資源你沒辦法用IP直接訪問,也不是WINS服務器能夠做到的。所以部署活動目錄請一定要安裝DNS,不過我曾經做過一個試驗,結果證明活動目錄和DNS可以不裝在同一台服務器上,也就是說域控制器不一定要是DNS服務器,當然如果不是迫不得已的情況下,還是建議裝在一起。
二、隨意的在域控制器上安裝軟件;
由於域控制器在域構架網絡中的作用是舉足輕重的,所以一台域控制器的高可能性是必須的,但遺憾的是很多網絡管理員並沒有意識到這一點。本人曾經就見過一個酒店網絡的域控制器上裝了不下三十個雜七雜八的軟件,甚至包括一些網絡游戲之類的軟件,如邊鋒、傳奇等,還有一些MP3播放器,VCD播放器等,實在讓我稿不清楚他的域控制器究竟在起什麼作用?網絡服務器還是個人PC?凡是長期使用Windows的朋友都知道,Windows會越用越慢,越用越不穩定,雖然造成這種現象Windows本身也有一定的責任,但不可否認的是使用者才是主體,其中又以隨意的安裝和刪除軟件為主要原因,不知道大家注意過沒有,如果你安裝了一個軟件,然後使用一段時間後再刪除,實際上注冊表中還是會有大量的這個軟件的信息,而且一般的軟件制造商絕對不會告訴你他這個軟件究竟在注冊表的哪些項目裡添加了內容,這些內容有些什麼用處。所以你想手動去完全刪除這些垃圾信息是很難辦到的,當然理論上是可以的,但實際幾乎是不可能的。而且一般的軟件在出廠的時候都會在Windows系統上做一系列的測試,以保證該軟件在Windows能正常運行,但它卻不保證和其它非Windows軟件之間的兼容性,所以軟件裝得越多,產生沖突的機率就越大。很多朋友看到這兒,肯定會想,手動是不可能的,但可以借助第三方軟件啊,比如超級兔子、優化大師什麼的,這些軟件都有清理注冊表和提速的功能。說實話,本人的確不是很清楚這些軟件的工作原理是什麼,但軟件終究是死的,出了問題苦果只能還是由你自己來吞,如果這些軟件是用在個人PC上,本人倒還真沒有什麼意見,因為個人PC大不了重裝系統,但是域控制器絕對不是重裝一下系統這麼簡單的,尤其是很多網絡只有一台域控制器的情況,甚至有些人還以為域控制器重裝後用原來的計算機名和域名就可以和原來一樣,在這裡我可以很明確的告訴大家,用同名的方法是肯定行不通的。不信大家可以回去試一下!請記住:預防永遠大於急救!本人的域控制器上除了活動目錄和DNS,只安裝了一個SUS服務器,運行已經有一年半了,沒有發生過任何軟件問題。
說到這兒,本人順便想批判一下網上現在挺流行的Windows 2003優化和提速方法大全,我曾仔細看過這些文章,結果是讓我大失所望的,無非就是關幾個不必要的服務就算是提升性能了,修改幾個注冊表的鍵值,就算是關機啟動提速了,起用幾個個人PC用的功能就算是優化了。我還專門按照上面的內容做過一次測試,結果發現關了那些服務,結果只節約出了4M左右的內存而已,你說現在硬件價格直線下降,有必要去弄這些嗎?還有是提高關機還開機速度的,誰的服務器有事沒事的去開機和關機啊,就算重啟也會讓下面的用戶抱怨不已,還開機關機呢?這不是自己丟自己的飯碗嗎?至於啟用聲音和硬件加速之類的,更是讓我笑掉大牙,那是台服務器啊,怎麼?准備當個人PC用啊?凡是用這些文章上的內容來修改服務器的,我不知道你們的服務器在起什麼樣的作用,但我可以肯定二點:1、這個服務器軟件決對不是你花錢買的;2、你的網絡對這個服務器沒有什麼依賴性,也就是說這個服務器是可有可無的。微軟在Windows服務器和客戶端的定價上是存在很大的差價的,沒有人願意花服務器的錢,卻在當工作站用。如果有這樣的人,那麼要麼這個服務器軟件是不花錢的,要麼就是不是花自己的錢。而且你長期的對服務器進行這種優化的話,你會發現會適得其反,因為上面有些修改,要重啟後才能看到效果,當你做了一系列的修改後重啟,而你又發現系統有些不對勁的話,你根本就不知道究竟是哪個操作引起的。甚至有可能會導致你系統的崩潰。在這裡,我再次重申本人的一個觀點:對於服務器而言,穩定大於一切!
三、不正確的安裝和刪除域控制器
一般做出上述標題行為的朋友呢,你說他是新手,他不承認,說他是老手,別人不承認。基本上他們的行為就是今天一時興起,,增加一台額外域控制器,而且很可能就是拿自己的PC來提升的,明天一時高興,再增加一個子域,哪天因為系統問題或者心情不爽的時候,也不降級,直接把那些子域域控制器啊,額外域控制器啊什麼的統統格式化,然後重裝系統。然後等到哪天高興了又裝,不高興了又格式化,直接活動目錄出錯,無法添加為止。本人曾經就見過這樣的網絡管理員。我去查看了一下他的網絡上僅有的一台域控制器。發現裡面莫明其妙的有很多的域控制器,但是網絡上卻又沒有這些域控制器,而且活動目錄經常出錯,我查一下日志,發現全是報錯信息,都是一些無法復制,找不到相應的域控制器等,結果我花了將近一個多小時的時間,才用Ntdsutil把這些垃圾信息全部清除,問題也得已解決,那麼為什麼用Ntdsutil可以解決這樣的問題,我還要把這種操作列為錯誤操作呢?因為我曾經碰到過,就算了Ntdsutil清除這些垃圾信息後,活動目錄還是不正常的情況,具體情況是可以為客戶端提供服務,但是再也無法添加額外域控制器的情況,每次到最後一步就提示“拒絕訪問”,我查了麼多資料都沒有找到解決的方法,幸虧那個域剛剛開始建,沒什麼數據,最後也就重做了事。如果哪位朋友也碰到過這樣的情況,並且有解決辦法的話,請提供給我,在此表示感謝!
四、FSMO角色的任意分配
我在前面的文章中就已經提到過,FSMO的五種角色一般是不需要去管理的,正常情況下如果我們需要對FSMO的角色進行轉移的話,那麼無非就是兩種情況:1、服務器的正常維護;2、原來的FSMO角色所在的域控制器由於硬件或其它的原因導致無法聯機;但是目前很多網管碰到上述兩種情況,會采取很極端的作法,就是只要原來的FSMO角色所在的域控制器一旦離線,就一定要把FSMO角色轉移到其它的域控制器上,能傳送就傳送,不能傳送就奪取。但是我在這兒要建議大家一個字:等!什麼意思?除了PDC仿真器這個角色以外,其它角色所在的域控制器如果離線的話,我建議大家就是等,等著這台域控制器的重新歸來,一般也就是幾天的時間,因為FSMO的五種角色中,除了PDC仿真器是經常用到的以外,其它的角色是不會常用到的,我舉個例子:以Domain Naming Master來說,它的主要作用是用來管理添加刪除域,但一般的網絡上誰會有事沒事的增加刪除域?所以如果Domain Naming Master角色所在的域控制器離線的話,而你又比較肯定在這台域控制器離線這段時間裡不會增加或刪除域的話,那麼,完全沒有必要把Domain Naming Master角色傳送過來,至於奪取那就更不用說了,不到萬不得已,是絕對不能用奪取的操作的,因為一旦奪取,那麼原來的域控制器聯機以後,FSMO角色的唯一性就不存在了,可以想象一下一個森林同時有兩個Domain Naming Master會是什麼現象?所以在奪取FSMO角色時,請大家明確一件事以後再操作,那就是:原來占有FSMO角色的域控制器將永遠都不會再回到網絡中來。
五、GHOST
看到標題,很多人可能都會有意見了。是不是在想我是不是寫文章寫傻了?怎麼連GHOST這麼優秀的軟件你也批判?我沒有傻,我也沒有弄錯,我要批的就是GHOST。雖然我承認GHOST是一個非常優秀的軟件,而且深受廣大電腦使用者的愛戴,甚至GHOST曾經救我於水深火熱之中,但我還是要批判它。很多人對GHOST的使用都是系統裝好,然後所有配置OK以後,做一個備份,以防止將來系統崩潰。這種種法如果用在單機和對等網上到是無可厚非,但是在域環境下卻不能這麼用,為什麼?我想部署過活動目錄的人都知道,所有的域用戶都是有一個帳號和密碼的,但有沒有人知道其實在域內的計算機和域控制器的通訊也是要用密碼的?當然這個密碼是隨機的,而且是定期修改的,所以當你恢復一個很久以前的GHOST備份的時候,你會發現你的系統無法和域控制器聯系,為什麼,因為密碼換過了,當然這種情況的解決辦法還是很簡單的,退出域,再重新加入就可以了。所以在域網絡中對客戶端使用GHOST我還是可以忍受的,因為一個企業在同一時間大面積的進行GHOST還原的情況我還沒有見過。當然有一種情況是要避免的,就是當硬件配置一樣,然後用GHOST進行盤對盤復制的,這樣的話會有安全隱患,因為GHOST會導致SID重復。雖然可以借助一些工具來清除,但我還是覺得有點不放心,所以本人還是不推薦這種方法。那麼再來說說GHOST用在域控制器上的情況,這種情況我是忍無可忍的,除非你每天做個GHOST備份,在活動目錄上,有一個Tombstone lifetime,中文一般翻譯成墓碑時間,這個時間系統默認是60天,如果一台域控制器離線的時間超過60天,那麼這台域控制器就算重新接到網絡中來,其它的域控制器也不會把信息復制給它,可以說,它已經脫離這個網絡了。還有更恐怖的是,這個備份恢復回來的GHOST是有可能把它上面的過時的信息復制給其它的域控制器的,你可能會發些你很早以前刪除的帳號居然又回來了,組策略還原了等莫明其妙的問題,而且這種復制對於企業而言,是有災難性損壞的可能性的,要避免這種情況你要修改注冊表來控制它的出站復制,不過能避免,又何必去修改呢?由此可見,用GHOST恢復以前的域控制器的備份,就好比這台域控制器從備份那天就開始離線一樣,很多情況下,這種備份恢復的操作等於沒有,甚至有時候還不如不備份,災難恢復都要比它好。因此:GHOST能不用就別用!有時候GHOST=夠死的。呵呵!
照舊,E-MAIL:[email protected],歡迎指正!