Metodi ottimali per la configurazione dei controller di dominio di Windows 2000

Prima di introdurre i controller di dominio e i server membri di Windows 2000 nell'ambiente di produzione, si consiglia agli amministratori di sistema di convalidare la configurazione dei server. Nel seguente elenco di controllo sono riportati gli aspetti sui quali è opportuno concentrarsi. Alcuni degli argomenti citati richiedono ricerche che vanno oltre l'ambito di questo articolo.

Verifica del processo di installazione e avvio nel Visualizzatore eventi

Cercare nel Visualizzatore eventi (Eventvwr.msc) se sono presenti messaggi di errore e di avviso correlati al processo di installazione o di avvio. Risolvere gli eventi relativi a componenti e servizi, come richiesto.

Impostazione della dimensione del registro eventi e delle opzioni di sovrascrittura

La dimensione del registro eventi e le modalità di gestione del contenuto, ad esempio sovrascrittura quando necessario, cancellazione manuale del registro o sovrascrittura dopon giorni, dovranno essere definite in base alle esigenze di protezione e dell'attività aziendale. Considerare la possibilità di configurare criteri di protezione del sistema a livello di sito, dominio o unità organizzativa per l'implementazione della configurazione appropriata.

Verifica dell'avvio dei servizi

Dalla cartella Servizi nello snap-in Gestione computer assicurarsi che tutti i servizi impostati su Automatico nella colonna Tipo di avvio siano stati avviati senza l'intervento dell'utente o dopo tentativi ripetuti.

Disattivazione dei servizi non necessari

Impostare su Manuale il valore di avvio per i servizi non necessari o inutilizzati. I servizi soggetti a questa verifica includono:

• Il servizio Spooler di stampa per i computer che non condividono o non accedono a stampanti. Per la corretta gestione automatica degli oggetti stampante in Active Directory, è necessario che il servizio Spooler di stampa sia in esecuzione su almeno un controller di dominio in ogni sito. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
  246269

  (http://support.microsoft.com/kb/246269/ )

  Requisiti per il corretto funzionamento del servizio di eliminazione di stampanti dei servizi directory dell'azienda
• I servizi Messenger e Avvisi su tutti i server.

Considerare la possibilità di creare criteri di protezione del sistema a livello di sito, dominio o unità organizzativa per implementare la configurazione dei servizi desiderata.

Ottimizzazione del servizio Server

Tramite lo strumento Rete nel Pannello di controllo impostare l'opzione Ottimizzazione server in modo che corrisponda al ruolo del computer nell'organizzazione, in particolare per i computer i cui ruoli vengono cambiati da controller di dominio a server membri nel caso di consolidamento dei domini. L'opzione di ottimizzazione del servizio Server per i server dedicati che eseguono Terminal Server o IIS dovrà essere impostata su "Massimizza la velocità di trasmissione dati per le applicazioni di rete".

Controllo delle impostazioni di IP, DNS, WINS e del gateway predefinito

Dal prompt dei comandi digitare IPCONFIG /ALL per verificare la corretta configurazione di IP, DNS, WINS e del gateway predefinito. Per i server con Windows 2000, in particolare i controller di dominio configurati come client WINS ma che eseguono anche il servizio Server WINS, entrambi gli indirizzi WINS dovranno fare riferimento a questo server o a un server WINS remoto per evitare la registrazione incrociata.

Esecuzione di Netdiag per verificare la connessione di rete e la registrazione DNS\WINS

Dal prompt dei comandi digitare netdiag /v >c:\netdiag.mmggaa.txt dove mmggaa corrisponde alla data corrente. Esaminare il file di testo per verificare la validità della connessione di rete e della registrazione DNS\WINS. Salvare e aggiornare questo file in una cartella locale su tutti i server, in modo che possa essere esaminato ogni volta che si apportano modifiche alla configurazione del server o che si verificano problemi di rete.

Visualizzazione del nome completo del computer

Dal prompt dei comandi digitare net config rdr per visualizzare il nome completo del computer. Confrontare i risultati con il nome in Active Directory per assicurarsi che corrispondano o siano diversi, come desiderato.

Dimensione e posizione del file di paging

Impostare la dimensione e la posizione del file di paging in base alla dimensione della memoria e all'uso del server. La dimensione del file di paging può variare dalla dimensione della RAM + 12 MB, alla dimensione della RAM * 2. Per i server di importanza strategica occorrerà creare un file di paging di dimensione pari o superiore alla RAM nella stessa partizione del sistema operativo, in modo da consentire il recupero dei dettagli di arresto anomalo del sistema. Per ottimizzare le prestazioni, il file di paging può essere creato su un'unità fisica dedicata diversa dall'unità su cui risiede Windows NT, un array di unità hardware oppure distribuito su più unità fisiche in cui le operazioni di lettura e scrittura sono eseguite secondo un metodo di tipo "round-robin" fino a quando non viene utilizzato tutto lo spazio disponibile.
Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

Aggiunta del parametro /DEBUG al file Boot.ini per le operazioni di debug

Per consentire il debug post-mortem dei server, aggiungere il parametro /DEBUG al file Boot.ini. L'aggiunta di questo parametro di debug riduce le prestazioni del server del 2-3%, ma consente il collegamento di un debugger dopo l'arresto del sistema per l'esecuzione delle operazioni di debug post-mortem. Per ulteriori informazioni, vedere il seguente articolo della Microsoft Knowledge Base: Mantenere sempre i file dei simboli corrispondenti sui server per il sistema operativo di base, i service pack e gli aggiornamenti rapidi (hotfix).

Disponibilità e posizione di FSMO

In Windows NT i ruoli vengono inizialmente collocati sui controller di dominio. Questa posizione è spesso corretta per le directory con un numero limitato di controller di dominio, mentre in una directory con molti controller di dominio la posizione predefinita è difficilmente quella ottimale per la rete in uso. La posizione dei ruoli DFSMO non rientra negli argomenti discussi in questo articolo, tuttavia come regola generale considerare quanto segue:

• I ruoli master schema e master dei nomi di dominio dovranno essere collocati sullo stesso controller di dominio in quanto vengono utilizzati raramente e devono essere controllati attentamente.
• Il master infrastrutture non dovrà essere collocato sullo stesso controller di dominio su cui risiedono ruoli master RID ed emulatore PDC, se il controller di dominio è anche un server di catalogo globale. È essenziale assicurarsi che tutti i ruoli FSMO siano disponibili utilizzando una console di gestione, quale Dsa.msc o Ntdsutil.exe.

Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

Backup di Active Directory e dei principali servizi

Utilizzare l'opzione Stato del sistema dell'utilità di backup di Windows 2000 o un metodo equivalente per eseguire il backup del sistema. Sviluppare e mantenere un processo di backup per il servizio directory e tutti i servizi critici.

Eseguire il ripristino dell'intero computer, oltre a operazioni di ripristino autorevoli e non autorevoli del servizio directory e dei singoli servizi, in un ambiente di laboratorio che emuli l'infrastruttura della rete di produzione in termini di velocità, capacità e hardware.

Eseguire il backup dello stato del sistema utilizzando Ntbackup.exe o un'altra utilità di backup compatibile con Windows 2000 Active Directory. Salvare una copia dell'immagine di backup sull'unità locale di ogni controller di dominio innalzato di livello e mantenerne una copia anche al di fuori del sito. In caso di eliminazione non sarà possibile creare di nuovo account computer, oggetti Impostazioni NTDS e la parte Active Directory/file system dei criteri di sistema. Se si scopre che un oggetto importante è stato eliminato, rimuovere i controller di dominio di replica, specialmente quelli nei siti remoti che potrebbero non avere replicato l'eliminazione dell'oggetto dalla rete, in modo da consentire l'esecuzione di un'archiviazione autorevole. Microsoft consiglia di eseguire il backup dei seguenti componenti:

• Controller di dominio nel dominio principale dell'insieme di strutture.
• Controller di dominio nei domini con domini figlio.
• Oggetti Account computer per tutti i controller di dominio nell'insieme di strutture.
• Criteri del domino predefinito e dei controller di dominio predefiniti residenti in Active Directory e nella condivisione SYSVOL per tutti i domini nell'insieme di strutture.

Criteri di ripristino EFS

Sviluppare un piano per l'archiviazione e il ripristino dei certificati EFS (Crittografia file system, Encrypted File System) nel quale siano previsti la protezione e l'accesso del personale nei momenti in cui sarà probabilmente necessario. I server vengono generalmente ricostruiti in orari di minore utilizzo da 6 a 36 mesi dopo l'implementazione originale.

Criteri password del database SAM non in linea

Per ulteriori informazioni su questo aggiornamento, vedere il seguente articolo della Knowledge Base: