本节书摘来自异步社区《windows server 2012活动目录管理实践》一书中的第1章,第1.5节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。
域控制器在网络中的位置十分重要,和成员服务器、独立服务器截然不同,因此在使用过程中建议注意以下问题。
1.5.1 禁止在域控制器任意安装软件
域控制器在域构架网络中的作用十分重要,高可用性、性能要求都比较高。因此,建议不要在域控制器中安装应用程序(例如microsoft office系列应用程序等),娱乐性质的应用一定不要安装。建议在域控制器中仅安装ad ds域服务以及dns服务,其他基础服务(wins、dhcp、ca等)不要安装在域控制器中。网络中至少部署2台或者以上的域控制器,域控制器之间自动完成active directory数据库同步。
1.5.2 禁止随意添加/删除域控制器
域控制器不同于成员服务器,当部署多台域控制器后,域控制器之间活动目录数据库复制时刻都在进行,当随意删除域控制器且没有进行元数据清理时,会造成active directory出错,尤其是复制方面的错误。因此,不要在生产环境中随意添加/删除域控制器。
1.5.3 禁止fsmo角色的任意分配
当域控制器出现以下状况时:
服务器正常维护。
原来fsmo角色所在的域控制器由于硬件或其他的原因导致无法联机。
结果可能需要对fsmo角色进行转移。管理员可能认为,只要原来fsmo角色所在的域控制器离线,就一定要把fsmo角色转移到其他的域控制器上,能传送就传送,不能传送就夺取。
在实际工作中,根据个人经验建议除了pdc角色之外,其他角色所在的域控制器如果离线,最好等待原域控制器重新上线。因为fsmo五种角色中,除了pdc角色经常用到之外,其他的角色一般不会经常用到。
1.5.4 谨慎备份域控制器
部署域控制器后,管理员可能会对服务器使用ghost之类的备份软件进行备份,以防止出现故障时恢复使用。当使用ghost恢复时,可能把过时信息复制给其他域控制器,可能已经删除的账号又被激活,组策略还原后出现莫明其妙的问题等。因此,使用ghost之类的软件备份/还原域控制器的做法不可取,如果担心域控制器出现问题,可以在网络中多部署几台域控制器,防止域控制器离线造成的影响。
![Windows下配置Apache的SSL服务[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)