活动目录管理之五种常见错误操作[转]

 通过前面的几篇文章,大家可能已经对活动目录已经有了一个大致的概念了,很多人可能已经迫不急待的开始在公司里部署活动目录了。在这里本人根据自己这些年管理活动目录的一点小小经验,再加上这些年在论坛上别人问我一些问题,稍微总结了一下,列举一下活动目录管理的常见五种错误操作,希望能够起到抛砖引玉的作用。OK,那现在我就开始班门弄斧了:

  一、安装活动目录但不安装DNS;

  一般犯这种错误的,都是在网上看到了有活动目录这么个东西,然后就开始自己动手的新手,如果是看过一些微软活动目录的官方教材或者是看过一些比较详细的活动目录的部署文章的朋友是不大会犯这种错误的。其实在安装活动目录的时候,如果你没有安装DNS的话,系统是会给出警告提示的,但一般新手都会直接忽略过去。曾经有人问过我,不安装DNS,而是用WINS,行不行?原来是NT4的域管理员经常会问这样的问题,反正我做试验的结果是,行!但是,你会发现登陆的时候非常慢。虽然它还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的,为什么?因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,如果仅仅是这个作用的话,那么可以直接用IP来进行访问,这样DNS服务器岂不是没用了?更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,但不知道大家有没有注意过,其实DNS服务器上,不仅仅是A记录,还有很多其它的如SRV记录什么的,不信的话,打开你的DNS服务器管理控制台看一下。而这些资源你没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS,不过我曾经做过一个试验,结果证明活动目录和DNS可以不装在同一台服务器上,也就是说域控制器不一定要是DNS服务器,当然如果不是迫不得已的情况下,还是建议装在一起。

  二、随意的在域控制器上安装软件;

  由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但遗憾的是很多网络管理员并没有意识到这一点。本人曾经就见过一个酒店网络的域控制器上装了不下三十个杂七杂八的软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等,实在让我稿不清楚他的域控制器究竟在起什么作用?网络服务器还是个人PC?凡是长期使用Windows的朋友都知道,Windows会越用越慢,越用越不稳定,虽然造成这种现象Windows本身也有一定的责任,但不可否认的是使用者才是主体,其中又以随意的安装和删除软件为主要原因,不知道大家注意过没有,如果你安装了一个软件,然后使用一段时间后再删除,实际上注册表中还是会有大量的这个软件的信息,而且一般的软件制造商绝对不会告诉你他这个软件究竟在注册表的哪些项目里添加了内容,这些内容有些什么用处。所以你想手动去完全删除这些垃圾信息是很难办到的,当然理论上是可以的,但实际几乎是不可能的。而且一般的软件在出厂的时候都会在Windows系统上做一系列的测试,以保证该软件在Windows能正常运行,但它却不保证和其它非Windows软件之间的兼容性,所以软件装得越多,产生冲突的机率就越大。很多朋友看到这儿,肯定会想,手动是不可能的,但可以借助第三方软件啊,比如超级兔子、优化大师什么的,这些软件都有清理注册表和提速的功能。说实话,本人的确不是很清楚这些软件的工作原理是什么,但软件终究是死的,出了问题苦果只能还是由你自己来吞,如果这些软件是用在个人PC上,本人倒还真没有什么意见,因为个人PC大不了重装系统,但是域控制器绝对不是重装一下系统这么简单的,尤其是很多网络只有一台域控制器的情况,甚至有些人还以为域控制器重装后用原来的计算机名和域名就可以和原来一样,在这里我可以很明确的告诉大家,用同名的方法是肯定行不通的。不信大家可以回去试一下!请记住:预防永远大于急救!本人的域控制器上除了活动目录和DNS,只安装了一个SUS服务器,运行已经有一年半了,没有发生过任何软件问题。

  说到这儿,本人顺便想批判一下网上现在挺流行的Windows 2003优化和提速方法大全,我曾仔细看过这些文章,结果是让我大失所望的,无非就是关几个不必要的服务就算是提升性能了,修改几个注册表的键值,就算是关机启动提速了,起用几个个人PC用的功能就算是优化了。我还专门按照上面的内容做过一次测试,结果发现关了那些服务,结果只节约出了4M左右的内存而已,你说现在硬件价格直线下降,有必要去弄这些吗?还有是提高关机还开机速度的,谁的服务器有事没事的去开机和关机啊,就算重启也会让下面的用户抱怨不已,还开机关机呢?这不是自己丢自己的饭碗吗?至于启用声音和硬件加速之类的,更是让我笑掉大牙,那是台服务器啊,怎么?准备当个人PC用啊?凡是用这些文章上的内容来修改服务器的,我不知道你们的服务器在起什么样的作用,但我可以肯定二点:1、这个服务器软件决对不是你花钱买的;2、你的网络对这个服务器没有什么依赖性,也就是说这个服务器是可有可无的。微软在Windows服务器和客户端的定价上是存在很大的差价的,没有人愿意花服务器的钱,却在当工作站用。如果有这样的人,那么要么这个服务器软件是不花钱的,要么就是不是花自己的钱。而且你长期的对服务器进行这种优化的话,你会发现会适得其反,因为上面有些修改,要重启后才能看到效果,当你做了一系列的修改后重启,而你又发现系统有些不对劲的话,你根本就不知道究竟是哪个操作引起的。甚至有可能会导致你系统的崩溃。在这里,我再次重申本人的一个观点:对于服务器而言,稳定大于一切!
 

  三、不正确的安装和删除域控制器

  一般做出上述标题行为的朋友呢,你说他是新手,他不承认,说他是老手,别人不承认。基本上他们的行为就是今天一时兴起,,增加一台额外域控制器,而且很可能就是拿自己的PC来提升的,明天一时高兴,再增加一个子域,哪天因为系统问题或者心情不爽的时候,也不降级,直接把那些子域域控制器啊,额外域控制器啊什么的统统格式化,然后重装系统。然后等到哪天高兴了又装,不高兴了又格式化,直接活动目录出错,无法添加为止。本人曾经就见过这样的网络管理员。我去查看了一下他的网络上仅有的一台域控制器。发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错,我查一下日志,发现全是报错信息,都是一些无法复制,找不到相应的域控制器等,结果我花了将近一个多小时的时间,才用Ntdsutil把这些垃圾信息全部清除,问题也得已解决,那么为什么用Ntdsutil可以解决这样的问题,我还要把这种操作列为错误操作呢?因为我曾经碰到过,就算了Ntdsutil清除这些垃圾信息后,活动目录还是不正常的情况,具体情况是可以为客户端提供服务,但是再也无法添加额外域控制器的情况,每次到最后一步就提示“拒绝访问”,我查了么多资料都没有找到解决的方法,幸亏那个域刚刚开始建,没什么数据,最后也就重做了事。如果哪位朋友也碰到过这样的情况,并且有解决办法的话,请提供给我,在此表示感谢!

  四、FSMO角色的任意分配

  我在前面的文章中就已经提到过,FSMO的五种角色一般是不需要去管理的,正常情况下如果我们需要对FSMO的角色进行转移的话,那么无非就是两种情况:1、服务器的正常维护;2、原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机;但是目前很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其它的域控制器上,能传送就传送,不能传送就夺取。但是我在这儿要建议大家一个字:等!什么意思?除了PDC仿真器这个角色以外,其它角色所在的域控制器如果离线的话,我建议大家就是等,等着这台域控制器的重新归来,一般也就是几天的时间,因为FSMO的五种角色中,除了PDC仿真器是经常用到的以外,其它的角色是不会常用到的,我举个例子:以Domain Naming Master来说,它的主要作用是用来管理添加删除域,但一般的网络上谁会有事没事的增加删除域?所以如果Domain Naming Master角色所在的域控制器离线的话,而你又比较肯定在这台域控制器离线这段时间里不会增加或删除域的话,那么,完全没有必要把Domain Naming Master角色传送过来,至于夺取那就更不用说了,不到万不得已,是绝对不能用夺取的操作的,因为一旦夺取,那么原来的域控制器联机以后,FSMO角色的唯一性就不存在了,可以想象一下一个森林同时有两个Domain Naming Master会是什么现象?所以在夺取FSMO角色时,请大家明确一件事以后再操作,那就是:原来占有FSMO角色的域控制器将永远都不会再回到网络中来。

 五、GHOST

  看到标题,很多人可能都会有意见了。是不是在想我是不是写文章写傻了?怎么连GHOST这么优秀的软件你也批判?我没有傻,我也没有弄错,我要批的就是GHOST。虽然我承认GHOST是一个非常优秀的软件,而且深受广大电脑使用者的爱戴,甚至GHOST曾经救我于水深火热之中,但我还是要批判它。很多人对GHOST的使用都是系统装好,然后所有配置OK以后,做一个备份,以防止将来系统崩溃。这种种法如果用在单机和对等网上到是无可厚非,但是在域环境下却不能这么用,为什么?我想部署过活动目录的人都知道,所有的域用户都是有一个帐号和密码的,但有没有人知道其实在域内的计算机和域控制器的通讯也是要用密码的?当然这个密码是随机的,而且是定期修改的,所以当你恢复一个很久以前的GHOST备份的时候,你会发现你的系统无法和域控制器联系,为什么,因为密码换过了,当然这种情况的解决办法还是很简单的,退出域,再重新加入就可以了。所以在域网络中对客户端使用GHOST我还是可以忍受的,因为一个企业在同一时间大面积的进行GHOST还原的情况我还没有见过。当然有一种情况是要避免的,就是当硬件配置一样,然后用GHOST进行盘对盘复制的,这样的话会有安全隐患,因为GHOST会导致SID重复。虽然可以借助一些工具来清除,但我还是觉得有点不放心,所以本人还是不推荐这种方法。那么再来说说GHOST用在域控制器上的情况,这种情况我是忍无可忍的,除非你每天做个GHOST备份,在活动目录上,有一个Tombstone lifetime,中文一般翻译成墓碑时间,这个时间系统默认是60天,如果一台域控制器离线的时间超过60天,那么这台域控制器就算重新接到网络中来,其它的域控制器也不会把信息复制给它,可以说,它已经脱离这个网络了。还有更恐怖的是,这个备份恢复回来的GHOST是有可能把它上面的过时的信息复制给其它的域控制器的,你可能会发些你很早以前删除的帐号居然又回来了,组策略还原了等莫明其妙的问题,而且这种复制对于企业而言,是有灾难性损坏的可能性的,要避免这种情况你要修改注册表来控制它的出站复制,不过能避免,又何必去修改呢?由此可见,用GHOST恢复以前的域控制器的备份,就好比这台域控制器从备份那天就开始离线一样,很多情况下,这种备份恢复的操作等于没有,甚至有时候还不如不备份,灾难恢复都要比它好。因此:GHOST能不用就别用!有时候GHOST=够死的。呵呵!

posted on 2005-12-16 08:50 System And Net 阅读(212) 评论(0)  编辑 收藏 引用 所属分类: net
只有注册用户登录后才能发表评论。