活动目录管理之五种常见错误操作

核心提示： 四、FSMO角色的任意分配我在前面的文章中就已经提到过，FSMO的五种角色一般是不需要去管理的，活动目录管理之五种常见错误操作(4)，正常情况下如果我们需要对FSMO的角色进行转移的话，那么无非就是两种情况:1、服务器的正常维护;2、原来的FSMO角色所在的域控制器由于硬件或其它的原因导致

四、FSMO角色的任意分配

我在前面的文章中就已经提到过，FSMO的五种角色一般是不需要去管理的，正常情况下如果我们需要对FSMO的角色进行转移的话，那么无非就是两种情况:1、服务器的正常维护;2、原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机;但是目前很多网管碰到上述两种情况，会采取很极端的作法，就是只要原来的FSMO角色所在的域控制器一旦离线，就一定要把FSMO角色转移到其它的域控制器上，能传送就传送，不能传送就夺取。但是我在这儿要建议大家一个字:等!什么意思?除了PDC仿真器这个角色以外，其它角色所在的域控制器如果离线的话，我建议大家就是等，等着这台域控制器的重新归来，一般也就是几天的时间，因为FSMO的五种角色中，除了PDC仿真器是经常用到的以外，其它的角色是不会常用到的，我举个例子:以Domain Naming Master来说，它的主要作用是用来管理添加删除域，但一般的网络上谁会有事没事的增加删除域?所以如果Domain Naming Master角色所在的域控制器离线的话，而你又比较肯定在这台域控制器离线这段时间里不会增加或删除域的话，那么，完全没有必要把Domain Naming Master角色传送过来，至于夺取那就更不用说了，不到万不得已，是绝对不能用夺取的操作的，因为一旦夺取，那么原来的域控制器联机以后，FSMO角色的唯一性就不存在了，可以想象一下一个森林同时有两个Domain Naming Master会是什么现象?所以在夺取FSMO角色时，请大家明确一件事以后再操作，那就是:原来占有FSMO角色的域控制器将永远都不会再回到网络中来。

五、GHOST

看到标题，很多人可能都会有意见了。是不是在想我是不是写文章写傻了?怎么连GHOST这么优秀的软件你也批判?我没有傻，我也没有弄错，我要批的就是GHOST。虽然我承认GHOST是一个非常优秀的软件，而且深受广大电脑使用者的爱戴，甚至GHOST曾经救我于水深火热之中，但我还是要批判它。很多人对GHOST的使用都是系统装好，然后所有配置OK以后，做一个备份，以防止将来系统崩溃。这种种法如果用在单机和对等网上到是无可厚非，但是在域环境下却不能这么用，为什么?我想部署过活动目录的人都知道，所有的域用户都是有一个帐号和密码的，但有没有人知道其实在域内的计算机和域控制器的通讯也是要用密码的?当然这个密码是随机的，而且是定期修改的，所以当你恢复一个很久以前的GHOST备份的时候，你会发现你的系统无法和域控制器联系，为什么，因为密码换过了，当然这种情况的解决办法还是很简单的，退出域，再重新加入就可以了。所以在域网络中对客户端使用GHOST我还是可以忍受的，因为一个企业在同一时间大面积的进行GHOST还原的情况我还没有见过。当然有一种情况是要避免的，就是当硬件配置一样，然后用GHOST进行盘对盘复制的，这样的话会有安全隐患，因为GHOST会导致SID重复。虽然可以借助一些工具来清除，但我还是觉得有点不放心，所以本人还是不推荐这种方法。那么再来说说GHOST用在域控制器上的情况，这种情况我是忍无可忍的，除非你每天做个GHOST备份，在活动目录上，有一个Tombstone lifetime，中文一般翻译成墓碑时间，这个时间系统默认是60天，如果一台域控制器离线的时间超过60天，那么这台域控制器就算重新接到网络中来，其它的域控制器也不会把信息复制给它，可以说，它已经脱离这个网络了。还有更恐怖的是，这个备份恢复回来的GHOST是有可能把它上面的过时的信息复制给其它的域控制器的，你可能会发些你很早以前删除的帐号居然又回来了，组策略还原了等莫明其妙的问题，而且这种复制对于企业而言，是有灾难性损坏的可能性的，要避免这种情况你要修改注册表来控制它的出站复制，不过能避免，又何必去修改呢?由此可见，用GHOST恢复以前的域控制器的备份，就好比这台域控制器从备份那天就开始离线一样，很多情况下，这种备份恢复的操作等于没有，甚至有时候还不如不备份，灾难恢复都要比它好。因此:GHOST能不用就别用!有时候GHOST=够死的。呵呵!

照旧，E-MAIL:hzswg@sohu.com，欢迎指正!