網絡管理員需注意的域控制器五種錯誤操作
發佈時間:2006-06-12 13:39:35 作者:SMB 責任編輯:SMB 本文來源於 《中小企業IT》採購第22期
管好域控制器對於一個網絡管理員來說,是專業性的技術體現。筆者通過多年經驗,以及論壇上朋友們的種種方案,總結了域控制器的常見五種錯誤操作,希望能夠與廣大技術愛好者共享。
一、不安裝DNS
犯這種錯誤的大多數新手。因爲一般在安裝活動目錄時,如果沒有安裝DNS,系統會給出相應的警告。只有新手纔會直接忽略。也有朋友做過嘗試,不裝DNS,而用WINS是可以的,但是用戶會發現登陸的時候速度相當慢。雖然還是可以用Netbios名訪問網上鄰居中的計算機,但其實是無法使用域資源的。這是因爲在域環境網絡中,DNS起到的不僅僅是一個域名解析的作用,更主要的是DNS服務器起到一個資源定位的作用,大家對於DNS的A記錄應該有很深的瞭解,實際上,在A記錄之外,還有很多其它的如SRV之類的記錄。而這些資源沒辦法用IP直接訪問,也不是WINS服務器能夠做到的。所以部署活動目錄請一定要安裝DNS。
二、隨意安裝軟件
由於域控制器在域構架網絡中的作用是舉足輕重的,所以一臺域控制器的高可能性是必須的,但是太多的管理員朋友忽視了這一點。筆者曾見一個酒店網絡的域控制器上裝了不下三十個軟件,甚至包括一些網絡遊戲之類的軟件,如邊鋒、傳奇等,還有一些MP3播放器,VCD播放器等。這樣直接導致的結果就是軟件衝突加重,而且即使是軟件卸載,也會在註冊表中存有大量無用信息,這些信息完全無法用手工方法卸載。於是,藉助第三方軟件,比如超級兔子、優化大師的,雖然這些軟件都有清理註冊表和提速的功能,但是域控制器畢竟不是個人PC,重裝一次之後,很多網絡的計算機名和域名都有可能更改,影響相當大。所以,筆者認爲“預防永遠大於急救”。筆者的域控制器上除了活動目錄和DNS,只安裝了一個SUS服務器,運行已經有一年半了,沒有發生過任何軟件問題。畢竟,對於服務器而言,穩定大於一切。
三、操作方法不正確
網絡管理員往往都是技術愛好者,所以對於自己機器的設置往往更加“個性化”。比如,有的網管一時興起,增加一臺額外域控制器,然後再增加一個子域,而哪天因爲系統問題或者心情不爽,往往也不降級,直接把那些子域域控制器,額外域控制器等統統格式化,然後重裝。這樣反覆操作,往往會導致活動目錄出錯,直到無法添加爲止。筆者曾幫助一個網管修復域控制器,在檢查中發現裏面莫明其妙的有很多的域控制器,但是網絡上卻又沒有這些域控制器,而且活動目錄經常出錯。查過日誌卻發現全是報錯信息,都是一些無法複製,找不到相應的域控制器等。最終,筆者用Ntdsutil把這些垃圾信息全部清除才解決問題。不過這種情況是比較輕微的,如果用Ntdsutil清除活動目錄還是不正常時,那基本沒有什麼解決方法,無論多麼費時,都只能“重建”。
四、FSMO角色的任意分配
一般來說,FSMO一般是不需要去管理的。正常情況下如果需要對FSMO的角色進行轉移的話,那麼無非就是兩種情況:一是服務器的正常維護;二是原來的FSMO角色所在的域控制器由於硬件或其它的原因導致無法聯機。
但是目前很多網管碰到上述兩種情況,會採取很極端的作法,就是隻要原來的FSMO角色所在的域控制器一旦離線,就一定要把FSMO角色轉移到其它的域控制器上,能傳送就傳送,不能傳送就奪取。但是筆者在這兒要建議大家一個字:等!除了PDC仿真器這個角色以外,其它角色所在的域控制器如果離線的話,都建議大家等,等着這臺域控制器的重新歸來,一般也就是幾天的時間,因爲在FSMO的角色中,除了PDC仿真器是經常用到的以外,其它的角色是不會常用到的。
舉個例子:以Domain Naming Master來說,它的主要作用是用來管理添加刪除域,但一般的網絡上誰會有事沒事的增加刪除域?所以如果Domain Naming Master角色所在的域控制器離線,而你又比較肯定在這臺域控制器離線這段時間裏不會增加或刪除域的話,那麼,完全沒有必要把Domain Naming Master角色傳送過來。至於奪取那就更不用說了,不到萬不得已,是絕對不能用奪取的操作的,因爲一旦奪取,那麼原來的域控制器聯機以後,FSMO角色的唯一性就不存在了。可以想象一下一個森林同時有兩個Domain Naming Master會是什麼現象?所以在奪取FSMO角色時,請大家明確一件事以後再操作,那就是:原來佔有FSMO角色的域控制器將永遠都不會再回到網絡中來。
五、GHOST
首先筆者必須強調,GHOST是很優秀的軟件。但是正是因爲太多的人將他看成“救命稻草”,但是服務器和PC、NB不一樣。系統裝好後,用GHOST作備份,對於單機和對等網上是無可厚非的,但是在域環境下卻不能這麼用。
因爲部署過活動目錄的人都知道,所有的域用戶都是有一個帳號和密碼的,但有沒有人知道其實在域內的計算機和域控制器的通訊也是要用密碼的?當然這個密碼是隨機的,而且是定期修改的,所以當恢復一個很久以前的GHOST備份的時候,你會發現系統無法和域控制器聯繫,因爲密碼換過了,當然這種情況的解決辦法還是很簡單的,退出域,再重新加入就可以了。所以在域網絡中對客戶端使用GHOST還是可以忍受的,因爲一個企業在同一時間大面積的進行GHOST還原的情況筆者還沒有見過。當然有一種情況是要避免的,就是當硬件配置一樣,然後用GHOST進行盤對盤複製的,這樣的話會有安全隱患,因爲GHOST會導致SID重複。雖然可以藉助一些工具來清除,但筆者還是覺得不放心。
如果說GHOST用在域控制器上,筆者認爲,除非你每天做個GHOST備份,在活動目錄上,有一個Tombstone lifetime,中文一般翻譯成墓碑時間,這個時間系統默認是60天,如果一臺域控制器離線的時間超過60天,那麼這臺域控制器就算重新接到網絡中來,其它的域控制器也不會把信息複製給它,可以說,它已經脫離這個網絡了。
而且,這個備份恢復回來的GHOST是有可能把它上面的過時的信息複製給其它的域控制器的,你可能會發些很早以前刪除的帳號居然又回來了,組策略還原了等莫明其妙的問題,而且這種複製對於企業而言,是有災難性損壞的可能性的,要避免這種情況網管要修改註冊表來控制它的出站複製,不過能避免,又何必去修改?由此可見,用GHOST恢復以前的域控制器的備份,就好比這臺域控制器從備份那天就開始離線一樣,很多情況下,這種備份恢復的操作等於沒有,甚至有時候還不如不備份,災難恢復都要比它好。因此,GHOST能不用就別用。
一、不安裝DNS
犯這種錯誤的大多數新手。因爲一般在安裝活動目錄時,如果沒有安裝DNS,系統會給出相應的警告。只有新手纔會直接忽略。也有朋友做過嘗試,不裝DNS,而用WINS是可以的,但是用戶會發現登陸的時候速度相當慢。雖然還是可以用Netbios名訪問網上鄰居中的計算機,但其實是無法使用域資源的。這是因爲在域環境網絡中,DNS起到的不僅僅是一個域名解析的作用,更主要的是DNS服務器起到一個資源定位的作用,大家對於DNS的A記錄應該有很深的瞭解,實際上,在A記錄之外,還有很多其它的如SRV之類的記錄。而這些資源沒辦法用IP直接訪問,也不是WINS服務器能夠做到的。所以部署活動目錄請一定要安裝DNS。
二、隨意安裝軟件
由於域控制器在域構架網絡中的作用是舉足輕重的,所以一臺域控制器的高可能性是必須的,但是太多的管理員朋友忽視了這一點。筆者曾見一個酒店網絡的域控制器上裝了不下三十個軟件,甚至包括一些網絡遊戲之類的軟件,如邊鋒、傳奇等,還有一些MP3播放器,VCD播放器等。這樣直接導致的結果就是軟件衝突加重,而且即使是軟件卸載,也會在註冊表中存有大量無用信息,這些信息完全無法用手工方法卸載。於是,藉助第三方軟件,比如超級兔子、優化大師的,雖然這些軟件都有清理註冊表和提速的功能,但是域控制器畢竟不是個人PC,重裝一次之後,很多網絡的計算機名和域名都有可能更改,影響相當大。所以,筆者認爲“預防永遠大於急救”。筆者的域控制器上除了活動目錄和DNS,只安裝了一個SUS服務器,運行已經有一年半了,沒有發生過任何軟件問題。畢竟,對於服務器而言,穩定大於一切。
三、操作方法不正確
網絡管理員往往都是技術愛好者,所以對於自己機器的設置往往更加“個性化”。比如,有的網管一時興起,增加一臺額外域控制器,然後再增加一個子域,而哪天因爲系統問題或者心情不爽,往往也不降級,直接把那些子域域控制器,額外域控制器等統統格式化,然後重裝。這樣反覆操作,往往會導致活動目錄出錯,直到無法添加爲止。筆者曾幫助一個網管修復域控制器,在檢查中發現裏面莫明其妙的有很多的域控制器,但是網絡上卻又沒有這些域控制器,而且活動目錄經常出錯。查過日誌卻發現全是報錯信息,都是一些無法複製,找不到相應的域控制器等。最終,筆者用Ntdsutil把這些垃圾信息全部清除才解決問題。不過這種情況是比較輕微的,如果用Ntdsutil清除活動目錄還是不正常時,那基本沒有什麼解決方法,無論多麼費時,都只能“重建”。
四、FSMO角色的任意分配
一般來說,FSMO一般是不需要去管理的。正常情況下如果需要對FSMO的角色進行轉移的話,那麼無非就是兩種情況:一是服務器的正常維護;二是原來的FSMO角色所在的域控制器由於硬件或其它的原因導致無法聯機。
但是目前很多網管碰到上述兩種情況,會採取很極端的作法,就是隻要原來的FSMO角色所在的域控制器一旦離線,就一定要把FSMO角色轉移到其它的域控制器上,能傳送就傳送,不能傳送就奪取。但是筆者在這兒要建議大家一個字:等!除了PDC仿真器這個角色以外,其它角色所在的域控制器如果離線的話,都建議大家等,等着這臺域控制器的重新歸來,一般也就是幾天的時間,因爲在FSMO的角色中,除了PDC仿真器是經常用到的以外,其它的角色是不會常用到的。
舉個例子:以Domain Naming Master來說,它的主要作用是用來管理添加刪除域,但一般的網絡上誰會有事沒事的增加刪除域?所以如果Domain Naming Master角色所在的域控制器離線,而你又比較肯定在這臺域控制器離線這段時間裏不會增加或刪除域的話,那麼,完全沒有必要把Domain Naming Master角色傳送過來。至於奪取那就更不用說了,不到萬不得已,是絕對不能用奪取的操作的,因爲一旦奪取,那麼原來的域控制器聯機以後,FSMO角色的唯一性就不存在了。可以想象一下一個森林同時有兩個Domain Naming Master會是什麼現象?所以在奪取FSMO角色時,請大家明確一件事以後再操作,那就是:原來佔有FSMO角色的域控制器將永遠都不會再回到網絡中來。
五、GHOST
首先筆者必須強調,GHOST是很優秀的軟件。但是正是因爲太多的人將他看成“救命稻草”,但是服務器和PC、NB不一樣。系統裝好後,用GHOST作備份,對於單機和對等網上是無可厚非的,但是在域環境下卻不能這麼用。
因爲部署過活動目錄的人都知道,所有的域用戶都是有一個帳號和密碼的,但有沒有人知道其實在域內的計算機和域控制器的通訊也是要用密碼的?當然這個密碼是隨機的,而且是定期修改的,所以當恢復一個很久以前的GHOST備份的時候,你會發現系統無法和域控制器聯繫,因爲密碼換過了,當然這種情況的解決辦法還是很簡單的,退出域,再重新加入就可以了。所以在域網絡中對客戶端使用GHOST還是可以忍受的,因爲一個企業在同一時間大面積的進行GHOST還原的情況筆者還沒有見過。當然有一種情況是要避免的,就是當硬件配置一樣,然後用GHOST進行盤對盤複製的,這樣的話會有安全隱患,因爲GHOST會導致SID重複。雖然可以藉助一些工具來清除,但筆者還是覺得不放心。
如果說GHOST用在域控制器上,筆者認爲,除非你每天做個GHOST備份,在活動目錄上,有一個Tombstone lifetime,中文一般翻譯成墓碑時間,這個時間系統默認是60天,如果一臺域控制器離線的時間超過60天,那麼這臺域控制器就算重新接到網絡中來,其它的域控制器也不會把信息複製給它,可以說,它已經脫離這個網絡了。
而且,這個備份恢復回來的GHOST是有可能把它上面的過時的信息複製給其它的域控制器的,你可能會發些很早以前刪除的帳號居然又回來了,組策略還原了等莫明其妙的問題,而且這種複製對於企業而言,是有災難性損壞的可能性的,要避免這種情況網管要修改註冊表來控制它的出站複製,不過能避免,又何必去修改?由此可見,用GHOST恢復以前的域控制器的備份,就好比這臺域控制器從備份那天就開始離線一樣,很多情況下,這種備份恢復的操作等於沒有,甚至有時候還不如不備份,災難恢復都要比它好。因此,GHOST能不用就別用。