本节书摘来自异步社区《Windows Server 2012活动目录管理实践》一书中的第1章,第1.5节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。
1.5 管理域控制器需要注意的问题
域控制器在网络中的位置十分重要,和成员服务器、独立服务器截然不同,因此在使用过程中建议注意以下问题。
1.5.1 禁止在域控制器任意安装软件
域控制器在域构架网络中的作用十分重要,高可用性、性能要求都比较高。因此,建议不要在域控制器中安装应用程序(例如Microsoft Office系列应用程序等),娱乐性质的应用一定不要安装。建议在域控制器中仅安装AD DS域服务以及DNS服务,其他基础服务(WINS、DHCP、CA等)不要安装在域控制器中。网络中至少部署2台或者以上的域控制器,域控制器之间自动完成Active Directory数据库同步。
1.5.2 禁止随意添加/删除域控制器
域控制器不同于成员服务器,当部署多台域控制器后,域控制器之间活动目录数据库复制时刻都在进行,当随意删除域控制器且没有进行元数据清理时,会造成Active Directory出错,尤其是复制方面的错误。因此,不要在生产环境中随意添加/删除域控制器。
1.5.3 禁止FSMO角色的任意分配
当域控制器出现以下状况时:
- 服务器正常维护。
- 原来FSMO角色所在的域控制器由于硬件或其他的原因导致无法联机。
结果可能需要对FSMO角色进行转移。管理员可能认为,只要原来FSMO角色所在的域控制器离线,就一定要把FSMO角色转移到其他的域控制器上,能传送就传送,不能传送就夺取。
在实际工作中,根据个人经验建议除了PDC角色之外,其他角色所在的域控制器如果离线,最好等待原域控制器重新上线。因为FSMO五种角色中,除了PDC角色经常用到之外,其他的角色一般不会经常用到。
1.5.4 谨慎备份域控制器
部署域控制器后,管理员可能会对服务器使用Ghost之类的备份软件进行备份,以防止出现故障时恢复使用。当使用Ghost恢复时,可能把过时信息复制给其他域控制器,可能已经删除的账号又被激活,组策略还原后出现莫明其妙的问题等。因此,使用Ghost之类的软件备份/还原域控制器的做法不可取,如果担心域控制器出现问题,可以在网络中多部署几台域控制器,防止域控制器离线造成的影响。
