管好域控制器對于一個網(wǎng)絡(luò)管理員來說，是專業(yè)性的技術(shù)體現(xiàn)。筆者通過多年經(jīng)驗，以及論壇上朋友們的種種方案，總結(jié)了域控制器的常見五種錯誤操作，希望能夠與廣大技術(shù)愛好者共享。一、不安裝DNS犯這種錯誤的大多數(shù)

管好域控制器對于一個網(wǎng)絡(luò)管理員來說，是專業(yè)性的技術(shù)體現(xiàn)。筆者通過多年經(jīng)驗，以及論壇上朋友們的種種方案，總結(jié)了域控制器的常見五種錯誤操作，希望能夠與廣大技術(shù)愛好者共享。

一、不安裝DNS

犯這種錯誤的大多數(shù)新手。因為一般在安裝活動目錄時，如果沒有安裝DNS ，系統(tǒng)會給出相應(yīng)的警告。只有新手才會直接忽略。也有朋友做過嘗試，不裝DNS ，而用WINS 是可以的，但是用戶會發(fā)現(xiàn)登陸的時候速度相當慢。雖然還是可以用Netbios 名訪問網(wǎng)上鄰居中的計算機，但其實是無法使用域資源的。這是因為在域環(huán)境網(wǎng)絡(luò)中，DNS 起到的不僅僅是一個域名解析的作用，更主要的是DNS 服務(wù)器起到一個資源定位的作用，大家對于DNS 的A 記錄應(yīng)該有很深的了解，實際上，在A 記錄之外，還有很多其它的如SRV 之類的記錄。而這些資源沒辦法用IP 直接訪問，也不是WINS 服務(wù)器能夠做到的。所以部署活動目錄請一定要安裝DNS 。

二、隨意安裝軟件

由于域控制器在域構(gòu)架網(wǎng)絡(luò)中的作用是舉足輕重的，所以一臺域控制器的高可能性是必須的，但是太多的管理員朋友忽視了這一點。筆者曾見一個酒店網(wǎng)絡(luò)的域控制器上裝了不下三十個軟件，甚至包括一些網(wǎng)絡(luò)游戲之類的軟件，如邊鋒、傳奇等，還有一些MP3播放器，VCD 播放器等。這樣直接導(dǎo)致的結(jié)果就是軟件沖突加重，而且即使是軟件卸載，也會在注冊表中存有大量無用信息，這些信息完全無法用手工方法卸載。于是，借助第三方軟件，比如超級兔子、優(yōu)化大師的，雖然這些軟件都有清理注冊表和提速的功能，但是域控制器畢竟不是個人PC ，重裝一次之后，很多網(wǎng)絡(luò)的計算機名和域名都有可能更改，影響相當大。所以，筆者認為“預(yù)防永遠大于急救”。筆者的域控制器上除了活動目錄和DNS ，只安裝了一個SUS 服務(wù)器，運行已經(jīng)有一年半了，沒有發(fā)生過任何軟件問題。畢竟，對于服務(wù)器而言，穩(wěn)定大于一切。

三、操作方法不正確

網(wǎng)絡(luò)管理員往往都是技術(shù)愛好者，所以對于自己機器的設(shè)置往往更加“個性化”。比如，有的網(wǎng)管一時興起，增加一臺額外域控制器，然后再增加一個子域，而哪天因為系統(tǒng)問題或者心情不爽，往往也不降級，直接把那些子域域控制器，額外域控制器等統(tǒng)統(tǒng)格式化，然后重裝。這樣反復(fù)操作，往往會導(dǎo)致活動目錄出錯，直到無法添加為止。筆者曾幫助一個網(wǎng)管修復(fù)域控制器，在檢查中發(fā)現(xiàn)里面莫明其妙的有很多的域控制器，但是網(wǎng)絡(luò)上卻又沒有這些域控制器，而且活動目錄經(jīng)常出錯。查過日志卻發(fā)現(xiàn)全是報錯信息，都是一些無法復(fù)制，找不到相應(yīng)的域控制器等。最終，筆者用Ntdsutil 把這些垃圾信息全部清除才解決問題。不過這種情況是比較輕微的，如果用Ntdsutil 清除活動目錄還是不正常時，那基本沒有什么解決方法，無論多么費時，都只能“重建”。

四、FSMO 角色的任意分配

一般來說，F(xiàn)SMO 一般是不需要去管理的。正常情況下如果需要對FSMO 的角色進行轉(zhuǎn)移的話，那么無非就是兩種情況：一是服務(wù)器的正常維護；二是原來的FSMO 角色所在的域控制器由于硬件或其它的原因?qū)е聼o法聯(lián)機。

但是目前很多網(wǎng)管碰到上述兩種情況，會采取很極端的作法，就是只要原來的FSMO 角色所在的域控制器一旦離線，就一定要把FSMO 角色轉(zhuǎn)移到其它的域控制器上，能傳送就傳送，不能傳送就奪取。但是筆者在這兒要建議大家一個字：等！除了PDC 仿真器這個角色以外，其它角色所在的域控制器如果離線的話，都建議大家等，等著這臺域控制器的重新歸來，一般也就是幾天的時間，因為在FSMO 的角色中，除了PDC 仿真器是經(jīng)常用到的以外，其它的角色是不會常用到的。

舉個例子：以Domain Naming Master來說，它的主要作用是用來管理添加刪除域，但一般的網(wǎng)絡(luò)上誰會有事沒事的增加刪除域？所以如果Domain Naming Master角色所在的域控制器離線，而你又比較肯定在這臺域控制器離線這段時間里不會增加或刪除域的話，那么，完全沒有必要把Domain Naming Master角色傳送過來。至于奪取那就更不用說了，不到萬不得已，是絕對不能用奪取的操作的，因為一旦奪取，那么原來的域控制器聯(lián)機以后，F(xiàn)SMO 角色的唯一性就不存在了?？梢韵胂笠幌乱粋€森林同時有兩個Domain Naming Master會是什么現(xiàn)象？所以在奪取FSMO 角色時，請大家明確一件事以后再操作，那就是：原來占有FSMO 角色的域控制器將永遠都不會再回到網(wǎng)絡(luò)中來。

五、GHOST

首先筆者必須強調(diào)，GHOST 是很優(yōu)秀的軟件。但是正是因為太多的人將他看成“救命稻草”，但是服務(wù)器和PC 、NB 不一樣。系統(tǒng)裝好后，用GHOST 作備份，對于單機和對等網(wǎng)上是無可厚非的，但是在域環(huán)境下卻不能這么用。

因為部署過活動目錄的人都知道，所有的域用戶都是有一個帳號和密碼的，但有沒有人知道其實在域內(nèi)的計算機和域控制器的通訊也是要用密碼的？當然這個密碼是隨機的，而且是定期修改的，所以當恢復(fù)一個很久以前的GHOST 備份的時候，你會發(fā)現(xiàn)系統(tǒng)無法和域控制器聯(lián)系，因為密碼換過了，當然這種情況的解決辦法還是很簡單的，退出域，再重新加入就可以了。所以在域網(wǎng)絡(luò)中對客戶端使用GHOST 還是可以忍受的，因為一個企業(yè)在同一時間大面積的進行GHOST 還原的情況筆者還沒有見過。當然有一種情況是要避免的，就是當硬件配置一樣，然后用GHOST 進行盤對盤復(fù)制的，這樣的話會有安全隱患，因為GHOST 會導(dǎo)致SID 重復(fù)。雖然可以借助一些工具來清除，但筆者還是覺得不放心。

如果說GHOST 用在域控制器上，筆者認為，除非你每天做個GHOST 備份，在活動目錄上，有一個Tombstone lifetime ，中文一般翻譯成墓碑時間，這個時間系統(tǒng)默認是60天，如果一臺域控制器離線的時間超過60天，那么這臺域控制器就算重新接到網(wǎng)絡(luò)中來，其它的域控制器也不會把信息復(fù)制給它，可以說，它已經(jīng)脫離這個網(wǎng)絡(luò)了。

而且，這個備份恢復(fù)回來的GHOST 是有可能把它上面的過時的信息復(fù)制給其它的域控制器的，你可能會發(fā)些很早以前刪除的帳號居然又回來了，組策略還原了等莫明其妙的問題，而且這種復(fù)制對于企業(yè)而言，是有災(zāi)難性損壞的可能性的，要避免這種情況網(wǎng)管要修改注冊表來控制它的出站復(fù)制，不過能避免，又何必去修改? 由此可見，用GHOST 恢復(fù)以前的域控制器的備份，就好比這臺域控制器從備份那天就開始離線一樣，很多情況下，這種備份恢復(fù)的操作等于沒有，甚至有時候還不如不備份，災(zāi)難恢復(fù)都要比它好。因此，GHOST 能不用就別用。