竭盡所能 保護(hù)活動(dòng)目錄的健康程度
公司會(huì)竭盡全力確保合適的活動(dòng)目錄備份程序、各種冗余解決方案以及其它有助于防止和減輕災(zāi)難的方案。在大多數(shù)情況下,這些方案主要是反應(yīng)性的解決方案。
很多工程師對(duì)備份已經(jīng)過(guò)于得意以至于他們忘記了一個(gè)非常重要的要素,那就是要把活動(dòng)目錄的健康放在首位。當(dāng)活動(dòng)目錄損壞時(shí),可以通過(guò)快照來(lái)恢復(fù)或者使用Ntdsutil.exe來(lái)修復(fù)。
提前預(yù)防并不意味著災(zāi)難計(jì)劃就不受重視。災(zāi)難預(yù)防的關(guān)鍵因素包括維持良好的備份,如果有的話,確保在存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)上快照已完成。然而,在活動(dòng)目錄功能里有一些技巧和竅門,它們有助于保持整個(gè)環(huán)境更加穩(wěn)定和健康。
防范活動(dòng)目錄的“意外”對(duì)象刪除
幾乎每個(gè)工程師都在活動(dòng)目錄里犯過(guò)錯(cuò)誤。有時(shí)它是一個(gè)簡(jiǎn)單的用戶名拼寫錯(cuò)誤,其它時(shí)候可能會(huì)更加嚴(yán)重。已經(jīng)存在這樣一些實(shí)例:管理員登錄到活動(dòng)目錄執(zhí)行一些管理操作,然后意外地刪除了整個(gè)組織單元(OU)。如果這個(gè)組織單元中包含了3000個(gè)用戶呢?那么現(xiàn)在該怎么辦呢?
在許多解決方案中,管理員將不得不恢復(fù)活動(dòng)目錄數(shù)據(jù)庫(kù)或者試圖找到最近的活動(dòng)目錄快照。然而,在Windows Server 2008 R2中,微軟為IT管理員提供了一個(gè)設(shè)計(jì)來(lái)防止活動(dòng)目錄對(duì)象被意外刪除的很好選項(xiàng)。這個(gè)選項(xiàng)對(duì)通過(guò)活動(dòng)目錄用戶和計(jì)算機(jī)來(lái)管理的所有對(duì)象都可用,并且當(dāng)你創(chuàng)建一個(gè)新的組織單元時(shí),它是默認(rèn)啟用的。通過(guò)選擇“防止容器被意外刪除”選項(xiàng),一個(gè)訪問(wèn)控制條目會(huì)被添加到對(duì)象的訪問(wèn)控制列表。
備注:默認(rèn)情況下,意外刪除保護(hù)僅僅對(duì)組織單元是默認(rèn)啟用的,并且不適用于用戶對(duì)象。這意味著,如果你試圖刪除一個(gè)或者多個(gè)用戶對(duì)象,即使你是位于一個(gè)受保護(hù)的組織單元內(nèi),你將會(huì)成功的(徹底刪除)。
提到這一點(diǎn),如果想要防止用戶、組或者計(jì)算機(jī)對(duì)象被意外刪除,那么你必須在對(duì)象屬性里手動(dòng)啟用這個(gè)選項(xiàng)。更改ADUC里的查看選項(xiàng),使其顯示高級(jí)特性,打開對(duì)象屬性窗口,并點(diǎn)擊對(duì)象選項(xiàng)卡。你就可以在這里選擇意外刪除保護(hù)選項(xiàng)。
通過(guò)執(zhí)行離線的碎片整理來(lái)管理活動(dòng)目錄大小
存在一些后臺(tái)運(yùn)行的預(yù)設(shè)的活動(dòng)目錄功能來(lái)保持環(huán)境健康。比如,在線維護(hù)周期保持定期檢查數(shù)據(jù)庫(kù)并且不需要管理員交互。然而,雖然數(shù)據(jù)庫(kù)里的數(shù)據(jù)會(huì)定期進(jìn)行碎片整理,但是數(shù)據(jù)庫(kù)自身具有隨著時(shí)間推移增加其規(guī)模的趨勢(shì)。
如果管理員定期清除數(shù)據(jù)庫(kù)記錄的話,這一點(diǎn)會(huì)是特別真實(shí)的。例如,一個(gè)4GB的活動(dòng)目錄很有可能只包含不到1GB的數(shù)據(jù),同時(shí)包含超過(guò)3GB的空白空間。這些空間可以通過(guò)執(zhí)行一個(gè)離線的碎片整理來(lái)回收。
在Windows Server 2008中,活動(dòng)目錄是一個(gè)服務(wù)。在任何時(shí)候,只要你想要執(zhí)行活動(dòng)目錄數(shù)據(jù)庫(kù)的維護(hù),你可以僅僅通過(guò)終止活動(dòng)目錄域服務(wù)來(lái)使其離線即可。
通過(guò)執(zhí)行一個(gè)完整的系統(tǒng)狀態(tài)備份來(lái)啟動(dòng)這個(gè)過(guò)程也是一個(gè)好主意。一旦一個(gè)成功的備份通過(guò)驗(yàn)證,那么請(qǐng)打開Windows資源管理器并定位到C:\Windows\NTDS文件夾。活動(dòng)目錄數(shù)據(jù)庫(kù)就存儲(chǔ)在NTDS.DIT文件里。你應(yīng)該注意這個(gè)文件的大小,以便你可以稍后返回并計(jì)算出你收回了多少空間。
此時(shí),你應(yīng)該打開服務(wù)控制管理器,并終止活動(dòng)目錄域服務(wù)的服務(wù)。在這步完成之后,你將會(huì)看見一條信息,告訴你一些依賴服務(wù)也需要被終止。點(diǎn)擊“Yes”來(lái)終止這些額外的服務(wù)。
一旦所有這些必需的服務(wù)已經(jīng)被終止,那么請(qǐng)?jiān)诜?wù)器上打開命令提示符,并輸入以下命令:
NTDSUTIL Activate Instance NTDS Files Info
此時(shí),你應(yīng)該會(huì)看到活動(dòng)目錄數(shù)據(jù)庫(kù)使用的文件的一覽表。你現(xiàn)在就可以通過(guò)輸入以下命令來(lái)開始碎片整理過(guò)程:
Compact to c:\windows\ntds\defragged
請(qǐng)記住,根據(jù)你的數(shù)據(jù)庫(kù)的大小,這個(gè)過(guò)程可能會(huì)花相當(dāng)長(zhǎng)一段時(shí)間才能完成,同時(shí)除非活動(dòng)目錄域服務(wù)以及所有依賴服務(wù)都恢復(fù)在線狀態(tài),你正在進(jìn)行碎片整理的域控制器才可用。
當(dāng)這個(gè)過(guò)程完成后,請(qǐng)轉(zhuǎn)到C:\Windows\NTDS文件夾并把NTDS.DIT文件重新命名為NTDS.OLD。你可以稍后刪除這個(gè)文件,但是把它保留到現(xiàn)在僅僅是以防數(shù)據(jù)庫(kù)的碎片整理副本出現(xiàn)任何錯(cuò)誤。現(xiàn)在,請(qǐng)把經(jīng)過(guò)碎片整理的數(shù)據(jù)庫(kù)從C:\Windows\NTDS\Defragged復(fù)制到C:\Windows\NTDS。
最后,重新啟動(dòng)活動(dòng)目錄域服務(wù)(依賴服務(wù)將會(huì)自動(dòng)重新啟動(dòng))。現(xiàn)在,你可以回過(guò)頭看看,參照碎片整理之前,減少了多少空間。
主動(dòng)預(yù)防技巧以及最佳做法
保持你的活動(dòng)目錄環(huán)境健壯的方法有許多。鑒于它的關(guān)鍵性質(zhì),應(yīng)該采取各種方法來(lái)確保活動(dòng)目錄不會(huì)崩潰。當(dāng)涉及到活動(dòng)目錄的穩(wěn)定性、安全性以及健康性時(shí),以下是一些主動(dòng)預(yù)防方法的簡(jiǎn)要列表:
在每個(gè)域里重命名或者關(guān)閉管理員賬戶(以及訪客賬戶)來(lái)防止對(duì)你的域的攻擊。
管理兩個(gè)森林之間的安全關(guān)系并簡(jiǎn)化跨森林的管理和身份認(rèn)證。
在每個(gè)站點(diǎn)至少放置一個(gè)域控制器,同時(shí)為每個(gè)站點(diǎn)的域控制器編制一個(gè)全局目錄。
不具有它們自己的域控制器以及至少一個(gè)全局目錄的站點(diǎn)需要依賴其它站點(diǎn)來(lái)獲取目錄信息,并且效率相對(duì)較低。
當(dāng)在復(fù)制到全局目錄的目錄對(duì)象上制定權(quán)限時(shí),請(qǐng)使用全局組或者通用組而不是域本地組。
始終具有最新的備份并驗(yàn)證其一致性。
為了對(duì)活動(dòng)目錄架構(gòu)提供額外的保護(hù),請(qǐng)刪除架構(gòu)管理員組里的所有用戶,并僅當(dāng)需要進(jìn)行架構(gòu)更改時(shí)才添加一個(gè)用戶到這個(gè)組。一旦更改已經(jīng)完成,再把這個(gè)用戶從該組刪除。
通過(guò)確保合適的權(quán)限、良好的組織單元管理以及執(zhí)行預(yù)防性維護(hù)來(lái)始終監(jiān)控活動(dòng)目錄的健康。
【編輯推薦】
