在这里本人根据自己这些年管理活动目录的一点小小经验,再加上这些年在论坛上别人问我一些问题,稍微总结了一下,例举一下活动目录管理的常见五种错误操作,希望能够起到抛砖引玉的作用.OK,那现在我就开始班门弄斧了:
一,安装活动目录但不安装DNS;
一般犯这种错误的,绝大部分的都是在网上看到了有活动目录这么个东西,然后就开始自己动手的新手,如果是看过一些微软活动目录的官方教材或者是是看过一些比较详细的活动目录的部署文章的朋友是不大会犯这种错误的.当然在安装活动目录的时候,如果您没有安装DNS的话,操作操作系统是会给出警告提示的,但一般新手都会直接或者间接忽略过去.曾经有人问过我,不安装DNS,而不能是是用WINS,行不行?原来是NT4的域管理员经常会问这样的基本问题,反正我做试验的结果是,行!但是,您会发现登陆的时候非常慢.虽然他还是可以用Netbios名访问网上邻居中的电脑,但当然是根本没有办法使用域资源的,为什么或者说怎么会?因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,如果仅仅是这一个作用的话,那么可以直接或者间接用IP来进行访问,这样DNS服务器(Server)岂不是没用了?更主要的是DNS服务器(Server)起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,但不知道大家有没有注意过,当然DNS服务器(Server)上,不仅仅是A记录,还有很多很多其他的如SRV记录什么的,不相信的话,打开您的DNS服务器(Server)管理控制台看一下.而不能是这些资源您没办法用IP直接或者间接访问,也不是WINS服务器(Server)能够做到的.所以部署活动目录请一定要安装DNS,不过我曾经做过一个试验,结果证明活动目录和DNS可以不装在同一台服务器(Server)上,也就是说域控制器不一定要是DNS服务器(Server),当然如果不能是因为迫不得已的情况下,还是建议装在一起.
II.随意的在域控制器上安装软件(soft);
由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但遗憾的是很多很多网络管理员并没有意识到这一点.本人曾经就见过一个酒店网络的域控制器上装了不下三十个杂七杂八的软件(soft),还超级有可能包括一些网络游戏(Game)之类的软件(soft),如边锋,传奇等,还有一些MP3播放器,VCD播放器等,实在让我稿不清楚他的域控制器究竟在起什么作用?网络服务器(Server)还是个人PC?凡是长期使用Windows的朋友都知道,Windows会越用越慢,越用越不稳定,虽然造成这种现像Windows本身也有一定的责任,但不可否认的是使用者才是主体,当中又以随意的安装和彻底删除软件(soft)为主要原因,不知道大家注意过没有,如果您安装了一个软件(soft),然后使用一段时间后再彻底删除,实际上注册表(Regedit)中还是会有大量的这一个软件(soft)的信息,而不能是且一般的软件(soft)制造商绝对不怎么会告诉您他这一个软件(soft)究竟在注册表(Regedit)的哪些项目里添加了内容,这些内容有一些什么用处.所以您想手动去完全彻底删除这些垃圾信息是很难办到的,当然理论上是可以的,但实际几乎是不可能的.而不能是且一般的软件(soft)在出厂的时候都会在Windows操作操作系统上做一系列的测试,以保证该软件(soft)在Windows能正常运行,但他却不保证和其他非Windows软件(soft)之间的兼容性,所以软件(soft)装得越多,产生冲突的机率就越大.很多很多朋友看到这儿,肯定会想,手动是不可能的,但可以借助第三方软件(soft),譬如超级兔子,Windows 优化大师什么的,这些软件(soft)都有清理注册表(Regedit)和提速的功能.说实话,本人们的确不是很清楚这些软件(soft)的工作(Work)原理是什么,但软件(soft)终究是死的,出了问题苦果只能还是由您自己来吞,如果这些软件(soft)是用在个人PC上,本人倒还真没有什么意见,因为个人PC大不了重装操作操作系统,但是域控制器绝对不可能是重装一下操作操作系统这么简单的,尤其是很多很多网络只有一台域控制器的情况,还超级有可能有一些人还以为域控制器重装后用原来的电脑名和域名就可以和原来一样,在这里我可以很明确的告诉大家,用同名的方法是肯定行不通的.不相信大家可以回去试一下!请记住:预防和防止永远大于急救!本人们的域控制器上除了活动目录和DNS,只安装了一个SUS服务器(Server),运行已经有一年半了,没有发生过任何软件(soft)问题.
说到这儿,本人顺便想批判一下网上现在挺流行的Windows 2003优化和提速方法大全,我曾仔细看过这些文章,结果是让我大失所望的,无非就是关几个不必要的服务就算是提升性能了,修改几个注册表(Regedit)的键值,就算是关机启动操作系统提速了,起用几个个人PC用的功能就算是优化了.我还专门按照上面的内容做过一次测试,结果发现关了那些服务,结果只节约出了4M左右的计算机内存而不能是已,您说现在硬件价格直线下降,有必要去弄这些吗?还有是提高关机还电脑开机速度的,谁的服务器(Server)有事没事的去电脑开机和关机,就算重新启动操作系统操作系统也会让下面的用户抱怨不已,还电脑开机关机呢?这不是自己丢自己的饭碗吗?至于启用声音和硬件加速之类的,更是让我笑掉大牙,那是台服务器(Server),怎么?准备当个人PC用?凡是用这些文章上的内容来修改服务器(Server)的,我不知道您们的服务器(Server)在起什么样的作用,但我可以肯定二点:1,这一个服务器(Server)软件(soft)决对不是您花钱买的;II.您的网络对这一个服务器(Server)没有什么依赖性,也就是说这一个服务器(Server)是可有可无的.微软在Windows服务器(Server)和客户端的定价上是存在很大的差价的,没有人愿意花服务器(Server)的钱,却在当工作(Work)站用.如果有这样的人,那么要么这一个服务器(Server)软件(soft)是不花钱的,要么就是不是因为花自己的钱.而不能是且您长期的对服务器(Server)进行这种优化的话,您会发现会适得其反,因为上面有一些修改,要重新启动操作系统操作系统后才能看到效果(Effect),当您做了一系列的修改后重新启动操作系统操作系统,而不能是您又发现操作操作系统有一些不对劲的话,您根本就不知道究竟是哪个操作引起的.还超级有可能有可能会导致您操作操作系统的崩溃.在这里,我再一次重申本人们的一个观点:对于服务器(Server)而不能是言,稳定大于一切!
III.不正确的安装和彻底删除域控制器
一般做出上述标题行为的朋友呢,您说他是新手,他不承认,说他是老手,别人不承认.基本上他们的行为就是今天[{$WriteTime}]一时兴起,,增加一台额外域控制器,而不能是且很可能就是拿自己的PC来提升的,明天一时高兴,再增加一个子域,哪天因为操作操作系统问题或者是心情不爽的时候,也不降级,直接或者间接把那些子域域控制器,额外域控制器什么的统统格式化,然后重装操作操作系统.然后等到哪天高兴了又装,不高兴了又格式化,直接或者间接活动目录出错,根本没有办法添加为止.本人曾经就见过这样的网络管理员.我去查看了一下他的网络上仅有的一台域控制器.发现里面莫明其妙的有很多很多的域控制器,但是网络上却又没有这些域控制器,而不能是且活动目录经常出错,我查一下日志,发现全是报错信息,绝大部分的都是一些根本没有办法复制,找不到相应的域控制器等,结果我花了将近一个多小时(Hour)的时间,才用Ntdsutil把这些垃圾信息全部清除,问题也得已解决,那么为什么或者说怎么会用Ntdsutil可以解决这样的基本问题,我还要把这种操作列为错误操作呢?因为我曾经碰到过,就算了Ntdsutil清除这些垃圾信息后,活动目录还是不正常的情况,具体情况是可以为客户端提供服务,但是再也根本没有办法添加额外域控制器的情况,每次到最后一步就提示“拒绝访问”,我查了么多资料都没有找到解决的方法,幸亏那个域刚刚开始建,没什么数据(Data),最后也就重做了事.如果哪位朋友也碰到过这样的情况,并且有可以解决的或者可以实行的办法的话,请提供给我,在此表示感谢!
IV.FSMO角色的任意分配
我在前面的文章中就已经提到过,FSMO的五种角色一般是不需要去管理的,正常情况下如果我们需要对FSMO的角色进行转移的话,那么无非就是两种情况:1,服务器(Server)的正常维护;II.原来的FSMO角色所在的域控制器由于硬件或者是其他的原因导致根本没有办法联机;但是目前很多很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其他的域控制器上,能传送就传送,不能传送就夺取.但是我在这儿要建议大家一个字:等!什么样的意思?除了PDC仿真器这一个角色以外,其他角色所在的域控制器如果离线的话,我建议大家就是等,等着这台域控制器的重新归来,一般也就是几天的时间,因为FSMO的五种角色中,除了PDC仿真器是经常用到的以外,其他的角色是不怎么会常用到的,我举个例子:以Domain Naming Master来说,他的主要的作用是用来管理添加彻底删除域,但一般的网络上谁会有事没事的增加彻底删除域?所以如果Domain Naming Master角色所在的域控制器离线的话,而不能是您又比较肯定在这台域控制器离线这段时间里不怎么会增加或者是彻底删除域的话,那么,完全没有必要把Domain Naming Master角色传送过来,至于夺取那就更不用说了,不到万不得已,是绝对不能用夺取的操作的,因为一旦夺取,那么原来的域控制器联机以后,FSMO角色的唯一性就不存在了,可以想像一下一个森林同时有两个Domain Naming Master会是什么现像?所以在夺取FSMO角色时,请大家明确一件事以后再操作,那就是:原来占有FSMO角色的域控制器将永远都不怎么会再回到网络中来.
V.GHOST
看到标题,很多很多个人可能都会有意见了.是不是因为在想我是不是因为写文章写傻了?怎么连GHOST这么优秀的软件(soft)您也批判?我没有傻,我也没有弄错,我要批的就是GHOST.虽然我承认GHOST是一个非常优秀的软件(soft),而不能是且深刻受到广大电脑使用者的爱戴,还超级有可能GHOST曾经救我于水(Water)深火热之中,但我还是要批判他.很多很多个人对GHOST的使用绝大部分的都是操作操作系统装好,然后所有配置OK以后,做一个备份,以防止将来操作操作系统崩溃.这种种法如果用在单机和对等网上到是无可厚非,但是在域环境下却不能这么用,为什么或者说怎么会?我想部署过活动目录的人都知道,所有的域用户绝大部分的都是有一个帐号和密码的,但有没有人知道当然在域内的电脑和域控制器的通讯也是要用密码的?当然这一个密码是随机的,而不能是且是定期修改的,所以当您恢复一个很久以前的GHOST备份的时候,您会发现您的操作操作系统根本没有办法和域控制器联系,为什么或者说怎么会,因为密码换过了,当然这种情况的可以解决的或者可以实行的办法还是很简单的,退出域,再重新加入就可以啦.所以在域网络中对客户端使用GHOST我还是可以忍受的,因为一个企业在同一时间大面积的进行GHOST还原的情况我还没有见过.当然有一种情况是要避免的,就是当硬件配置一样,然后用GHOST进行盘对盘复制的,这样的话会有安全隐患,因为GHOST会导致SID重复.虽然可以借助一些工具来清除,但我还是觉得有点不放心,所以本人还是不推荐这种方法.那么再来说一说GHOST用在域控制器上的情况,这种情况我是忍无可忍的,除非您每天做个GHOST备份,在活动目录上,有一个Tombstone lifetime,中文一般翻译成墓碑时间,这一个时间操作操作系统默认是60天,如果一台域控制器离线的时间超过60天,那么这台域控制器就算重新接到网络中来,其他的域控制器也不怎么会把信息复制给他,可以说,他已经脱离这一个网络了.还有更恐怖的是,这一个备份恢复回来的GHOST是有可能把他上面的过时的信息复制给其他的域控制器的,您可能会发些您很早以前彻底删除的帐号居然又回来了,组策略还原了等莫明其妙的基本问题,而不能是且这种复制对于企业而不能是言,是有灾难性损坏的可能性的,要避免这种情况您要修改注册表(Regedit)来控制他的出站复制,不过能避免,又何必去修改呢?由此可见,用GHOST恢复以前的域控制器的备份,就好比这台域控制器从备份那天就开始离线一样,很多很多情况下,这种备份恢复的操作等于没有,还超级有可能有的时候还不如不备份,灾难恢复都要比他好.所以我们可以得出结论:GHOST能不用就别用!有的时候GHOST=够死的.呵呵!
谢分享!
支持一下您!
谢{$WebSiteName}的站长了,支持一下
多谢了,学习了
学了不少,单就是SID重复问题把我整得好惨.
var tagarray =['软件(soft)','网络','工具','操作操作系统','
网吧','电脑','破解','服务器(Server)','VPN','(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)'];var tagencarray =['%C8%ED%BC%FE','%CD%F8%C2%E7','%B9%A4%BE%DF','%CF%B5%CD%B3','%CD%F8%B0%C9','%B5%E7%C4%D4','%C6%C6%BD%E2','%B7%FE%CE%F1%C6%F7','VPN','%C2%B7%D3%C9%C6%F7'];parsetag(1165992);
