需要注意的域控制器五種錯(cuò)誤操作一、不安裝DNS犯這種錯(cuò)誤的大多數(shù)新手。因?yàn)橐话阍诎惭b活動目錄時(shí)，如果沒有安裝DNS ，系統(tǒng)會給出相應(yīng)的警告。只有新手才會直接忽略。也有朋友做過嘗試，不裝DNS ，而用W

需要注意的域控制器五種錯(cuò)誤操作

一、不安裝DNS

犯這種錯(cuò)誤的大多數(shù)新手。因?yàn)橐话阍诎惭b活動目錄時(shí)，如果沒有安裝DNS ，系統(tǒng)會給出相應(yīng)的警告。只有新手才會直接忽略。也有朋友做過嘗試，不裝DNS ，而用WINS 是可以的，但是用戶會發(fā)現(xiàn)登陸的時(shí)候速度相當(dāng)慢。雖然還是可以用Netbios 名訪問網(wǎng)上鄰居中的計(jì)算機(jī)，但其實(shí)是無法使用域資源的。這是因?yàn)樵谟颦h(huán)境網(wǎng)絡(luò)中，DNS 起到的不僅僅是一個(gè)域名解析的作用，更主要的是DNS 服務(wù)器起到一個(gè)資源定位的作用，大家對于DNS 的A 記錄應(yīng)該有很深的了解，實(shí)際上，在A 記錄之外，還有很多其它的如SRV 之類的記錄。而這些資源沒辦法用IP 直接訪問，也不是WINS 服務(wù)器能夠做到的。所以部署活動目錄請一定要安裝DNS 。

二、隨意安裝軟件

由于域控制器在域構(gòu)架網(wǎng)絡(luò)中的作用是舉足輕重的，所以一臺域控制器的高可能性是必須的，但是太多的管理員朋友忽視了這一點(diǎn)。筆者曾見一個(gè)酒店網(wǎng)絡(luò)的域控制器上裝了不下三十個(gè)軟件，甚至包括一些網(wǎng)絡(luò)游戲之類的軟件，如邊鋒、傳奇等，還有一些MP3播放器，VCD 播放器等。這樣直接導(dǎo)致的結(jié)果就是軟件沖突加重，而且即使是軟件卸載，也會在注冊表中存有大量無用信息，這些信息完全無法用手工方法卸載。于是，借助第三方軟件，比如超級兔子、優(yōu)化大師的，雖然這些軟件都有清理注冊表和提速的功能，但是域控制器畢竟不是個(gè)人PC ，重裝一次之后，很多網(wǎng)絡(luò)的計(jì)算機(jī)名和域名都有可能更改，影響相當(dāng)大。對于服務(wù)器而言，穩(wěn)定大于一切。

三、操作方法不正確

網(wǎng)絡(luò)管理員往往都是技術(shù)愛好者，所以對于自己機(jī)器的設(shè)置往往更加“個(gè)性化”。比如，有的網(wǎng)管一時(shí)興起，增加一臺額外域控制器，然后再增加一個(gè)子域，而哪天因?yàn)橄到y(tǒng)問題或者心情不爽，往往也不降級，直接把那些子域域控制器，額外域控制器等統(tǒng)統(tǒng)格式化，然后重裝。這樣反復(fù)操作，往往會導(dǎo)致活動目錄出錯(cuò)，直到無法添加為止。筆者曾幫助一個(gè)網(wǎng)管修復(fù)域控制器，在檢查中發(fā)現(xiàn)里面莫明其妙的有很多的域控制器，但是網(wǎng)絡(luò)上卻又沒有這些域控制器，而且活動目錄經(jīng)常出錯(cuò)。查過日志卻發(fā)現(xiàn)全是報(bào)錯(cuò)信息，都是一些無法復(fù)制，找不到相應(yīng)的域控制器等。最終，筆者用Ntdsutil 把這些垃圾信息全部清除才解決問題。不過這種情況是比較輕微的，如果用Ntdsutil 清除活動目錄還是不正常時(shí)，那基本沒有什么解決方法，無論多么費(fèi)時(shí)，都只能“重建”。

四、FSMO 角色的任意分配

一般來說，F(xiàn)SMO 一般是不需要去管理的。正常情況下如果需要對FSMO 的角色進(jìn)行轉(zhuǎn)移的話，那么無非就是兩種情況：一是服務(wù)器的正常維護(hù)；二是原來的FSMO 角色所在的域控制器由于硬件或其它的原因?qū)е聼o法聯(lián)機(jī)。

但是目前很多網(wǎng)管碰到上述兩種情況，會采取很極端的作法，就是只要原來的FSMO 角色所在的域控制器一旦離線，就一定要把FSMO 角色轉(zhuǎn)移到其它的域控制器上，能傳送就傳送，不能傳送就奪取。但是筆者在這兒要建議大家一個(gè)字：等！除了PDC 仿真器這個(gè)角色以外，其它角

色所在的域控制器如果離線的話，都建議大家等，等著這臺域控制器的重新歸來，一般也就是幾天的時(shí)間，因?yàn)樵贔SMO 的角色中，除了PDC 仿真器是經(jīng)常用到的以外，其它的角色是不會常用到的。

舉個(gè)例子：以Domain Naming Master來說，它的主要作用是用來管理添加刪除域，但一般的網(wǎng)絡(luò)上誰會有事沒事的增加刪除域？所以如果Domain Naming Master角色所在的域控制器離線，而你又比較肯定在這臺域控制器離線這段時(shí)間里不會增加或刪除域的話，那么，完全沒有必要把Domain Naming Master角色傳送過來。至于奪取那就更不用說了，不到萬不得已，是絕對不能用奪取的操作的，因?yàn)橐坏Z取，那么原來的域控制器聯(lián)機(jī)以后，F(xiàn)SMO 角色的唯一性就不存在了?？梢韵胂笠幌乱粋€(gè)森林同時(shí)有兩個(gè)Domain Naming Master 會是什么現(xiàn)象？所以在奪取FSMO 角色時(shí)，請大家明確一件事以后再操作，那就是：原來占有FSMO 角色的域控制器將永遠(yuǎn)都不會再回到網(wǎng)絡(luò)中來。

五、GHOST

首先必須強(qiáng)調(diào)，GHOST 是很優(yōu)秀的軟件。但是正是因?yàn)樘嗟娜藢⑺闯伞熬让静荨保欠?wù)器和PC 、NB 不一樣。系統(tǒng)裝好后，用GHOST 作備份，對于單機(jī)和對等網(wǎng)上是無可厚非的，但是在域環(huán)境下卻不能這么用。

因?yàn)椴渴疬^活動目錄的人都知道，所有的域用戶都是有一個(gè)帳號和密碼的，但有沒有人知道其實(shí)在域內(nèi)的計(jì)算機(jī)和域控制器的通訊也是要用密碼的？當(dāng)然這個(gè)密碼是隨機(jī)的，而且是定期修改的，所以當(dāng)恢復(fù)一個(gè)很久以前的GHOST 備份的時(shí)候，你會發(fā)現(xiàn)系統(tǒng)無法和域控制器聯(lián)系，因?yàn)槊艽a換過了，當(dāng)然這種情況的解決辦法還是很簡單的，退出域，再重新加入就可以了。所以在域網(wǎng)絡(luò)中對客戶端使用GHOST 還是可以忍受的，因?yàn)橐粋€(gè)企業(yè)在同一時(shí)間大面積的進(jìn)行GHOST 還原的情況筆者還沒有見過。當(dāng)然有一種情況是要避免的，就是當(dāng)硬件配置一樣，然后用GHOST 進(jìn)行盤對盤復(fù)制的，這樣的話會有安全隱患，因?yàn)镚HOST 會導(dǎo)致SID 重復(fù)。雖然可以借助一些工具來清除，但筆者還是覺得不放心。

如果說GHOST 用在域控制器上，除非你每天做個(gè)GHOST 備份，在活動目錄上，有一個(gè)Tombstone lifetime，中文一般翻譯成墓碑時(shí)間，這個(gè)時(shí)間系統(tǒng)默認(rèn)是60天，如果一臺域控制器離線的時(shí)間超過60天，那么這臺域控制器就算重新接到網(wǎng)絡(luò)中來，其它的域控制器也不會把信息復(fù)制給它，可以說，它已經(jīng)脫離這個(gè)網(wǎng)絡(luò)了。

而且，這個(gè)備份恢復(fù)回來的GHOST 是有可能把它上面的過時(shí)的信息復(fù)制給其它的域控制器的，你可能會發(fā)些很早以前刪除的帳號居然又回來了，組策略還原了等莫明其妙的問題，而且這種復(fù)制對于企業(yè)而言，是有災(zāi)難性損壞的可能性的，要避免這種情況網(wǎng)管要修改注冊表來控制它的出站復(fù)制，不過能避免，又何必去修改? 由此可見，用GHOST 恢復(fù)以前的域控制器的備份，就好比這臺域控制器從備份那天就開始離線一樣，很多情況下，這種備份恢復(fù)的操作等于沒有，甚至有時(shí)候還不如不備份，災(zāi)難恢復(fù)都要比它好。因此，GHOST 能不用就別用。

附：關(guān)于第五點(diǎn)的見解。 在域控制的網(wǎng)絡(luò)，相信很多人都碰到過這樣的情況——在域中一臺正常使用的電腦，你把它Ghost 備份C 盤，幾個(gè)月之后，這臺電腦因?yàn)榉N種原因系統(tǒng)損壞了，需要還原以前做的備份，等還原后用再用域用戶登陸，結(jié)果發(fā)現(xiàn)登陸不上，提示聯(lián)系不到域控制器，必須用本地管理員登陸后，脫離域再加域才行。