Najważniejsze wskazówki dotyczące metod instalacji kontrolera domeny systemu Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 216899 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Przed rozmieszczeniem kontrolerów domeny i serwerów członkowskich systemu Windows 2000 w środowisku produkcyjnym administratorzy systemu mogą uznać za konieczne sprawdzenie poprawności konfiguracji serwerów. W tym artykule omówiono listę kontrolną obszarów, które należy uwzględnić. W przypadku niektórych wspomnianych tematów wymagane jest przeprowadzenie badań przekraczających zakres tego artykułu.

Więcej informacji

Przegląd procesu instalacji i rozruchu w Podglądzie zdarzeń

Należy sprawdzić Podgląd zdarzeń (Eventvwr.msc) w poszukiwaniu komunikatów o błędach i ostrzeżeń związanych z procesem instalacji lub rozruchu. Jeśli potrzeba, należy rozwiązać problemy ze zdarzeniami związanymi ze składnikami i usługami.

Konfigurowanie ustawienia rozmiaru i zawijania dziennika Podglądu zdarzeń

Ustawienie rozmiaru i zawijania dziennika zdarzeń (zastąpienie w przypadku konieczności, ręczne czyszczenie dziennika lub zastąpienie po n dniach) powinno być zdefiniowane zgodnie z wymaganiami dotyczącymi działalności firmy i zabezpieczeń. Należy rozważyć implementację zasad systemowych na poziomie witryny, domeny lub jednostki organizacyjnej, w której implementowana jest odpowiednia konfiguracja.

Przegląd uruchamiania usług

Korzystając z folderu Usługi w przystawce Zarządzanie komputerem, należy potwierdzić, że wszystkie usługi są skonfigurowane z ustawieniem Automatyczny w kolumnie Typ uruchomienia i są uruchamiane bez interwencji użytkownika lub wielokrotnych prób.

Wyłączenie zbędnych usług

Należy ustawić wartość Ręczny dla trybu uruchamiania zbędnych lub nieużywanych usług. Mogą to być na przykład:
  • Usługa Bufor wydruku w przypadku komputerów, które nie współużytkują drukarek i nie mają do nich dostępu. (Usługa Bufor wydruku musi być uruchomiona na co najmniej jednym kontrolerze domeny w każdej witrynie, aby zapewnić prawidłowe funkcjonowanie automatycznego zarządzania obiektami drukarek w usłudze Active Directory). Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    246269 Requirements for proper function of the Directory Services Printer Pruner in the enterprise
  • Usługi Posłaniec i Alert na wszystkich serwerach.
Należy rozważyć możliwość utworzenia zasad systemowych na poziomie witryny, domeny lub jednostki organizacyjnej, w której implementowana jest żądana konfiguracja usług.

Optymalizacja usług serwera

Należy skonfigurować ustawienie Optymalizowanie serwera w narzędziu Sieć w Panelu sterowania zgodnie z przewidywaną rolą komputera w danej organizacji, zwłaszcza w przypadku zmiany ról komputerów z kontrolerów domeny na serwery członkowskie podczas konsolidowania domen. Usługa Serwer dla dedykowanego serwera terminali lub serwerów usług IIS powinna być optymalizowana przy użyciu opcji „Maksymalizuj przepływność danych dla aplikacji sieciowych”.

Sprawdzenie ustawień protokołu IP, usługi DNS, usługi WINS i bramy domyślnej

W wierszu polecenia wpisz polecenie IPCONFIG /ALL, aby zweryfikować poprawną konfigurację protokołu IP, usługi DNS, usługi WINS i bramy domyślnej. W przypadku serwerów systemu Windows 2000 (zwłaszcza kontrolerów domeny), jednocześnie są klientami WINS i mają uruchomioną usługę Serwer WINS, oba adresy WINS powinny wskazywać ten serwer lub zdalny serwer WINS, aby uniknąć rejestracji krzyżowej.

Uruchomienie narzędzia Netdiag w celu testowania połączeń sieciowych i rejestracji DNS\WINS

W wierszu polecenia wpisz polecenie netdiag /v >c:\netdiag.mmddrr.txt, gdzie mmddrr jest bieżącą datą. Należy przejrzeć ten plik tekstowy w celu zweryfikowania prawidłowych połączeń sieciowych i rejestracji DNS\WINS. Ten plik należy zapisać i aktualizować w folderze lokalnym na wszystkich serwerach, aby umożliwić przeglądanie tego pliku zawsze w przypadku zmiany konfiguracji serwera lub występowania problemów sieciowych.

Wyświetlanie w pełni kwalifikowanej nazwy komputera

W wierszu polecenia wpisz polecenie net config rdr, aby wyświetlić w pełni kwalifikowaną nazwę komputera. Należy porównać wyniki z nazwą usługi Active Directory, aby potwierdzić zgodność lub zamierzone rozbieżności nazw.

Rozmiar i lokalizacja pliku stronicowania

Rozmiar i lokalizację pliku stronicowania należy określić na podstawie rozmiaru pamięci i użycia serwera. Rozmiar pliku stronicowania może być określony w zakresie od wartości równej rozmiarowi pamięci RAM + 12 MB do RAM * 2. W przypadku serwerów o podstawowym znaczeniu dla działalności firmy plik stronicowania nie powinien być mniejszy niż rozmiar pamięci RAM i powinien być umieszczony na partycji, na której znajduje się system operacyjny, aby umożliwić rejestrowanie zrzutów awaryjnych. Aby uzyskać lepszą wydajność, należy umieścić plik stronicowania na dedykowanym dysku fizycznym niezależnym od napędu obsługującego system Windows NT lub sprzętowej macierzy dyskowej albo rozmieścić na wielu dyskach fizycznych, na których operacje odczytu i zapisu są wykonywane cyklicznie aż do chwili, kiedy dostępna pamięć zostanie zużyta.
Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
197379 Optymalne konfigurowanie plików stronicowania z możliwością odzyskiwania

Dodanie przełącznika /DEBUG do pliku Boot.ini w celu debugowania

Należy dodać przełącznik /DEBUG do pliku Boot.ini, aby uaktywnić debugowanie po awarii serwerów. Dodanie przełącznika debug powoduje zmniejszenie wydajności serwera o 2–3 procent, jednak umożliwia uaktywnienie debugera po wystąpieniu awarii. Aby uzyskać dodatkowe informacje, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
121543 Setting Up for Remote Debugging
Należy zawsze przechowywać na serwerze zgodne pliki symboli dla podstawowych składników systemu operacyjnego, dodatków Service Pack i poprawek.

Dostępność i rozmieszczenie operacji FSMO

System Windows NT początkowo rozmieszcza role na kontrolerach domeny. To rozmieszczenie jest często poprawne w przypadku katalogów z niewielką liczbą kontrolerów domeny. W katalogu z dużą liczbą kontrolerów domeny rozmieszczenie domyślne prawdopodobnie nie jest optymalne dla danej sieci. Omówienie rozmieszczenia ról FSMO przekracza zakres tego dokumentu, jednak obowiązuje ogólna reguła:
  • Role wzorca schematu i wzorca nazw domen powinny być umieszczone na tym samym kontrolerze domeny, ponieważ są sporadycznie używane i powinny być ściśle kontrolowane.
  • Wzorzec infrastruktury nie powinien znajdować się na kontrolerze domeny pełniącym rolę głównego serwera RID i emulatora PDC, jeżeli jest to również serwer wykazu globalnego (GC). Należy koniecznie potwierdzić, że wszystkie role FSMO są dostępne, przy użyciu jednej z konsol zarządzania (takich jak Dsa.msc lub Ntdsutil.exe).
Aby uzyskać dodatkowe informacje, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
223346 FSMO placement and optimization on Windows 2000 domain controllers

Wykonywanie kopii zapasowej usługi katalogowej (DS) i usług kluczy

Należy wykonać kopię zapasową systemu przy użyciu opcji wykonywania kopii zapasowej stanu systemu Windows 2000 lub jej odpowiednika. Należy opracować i stosować proces wykonywania kopii zapasowej dla usługi katalogowej i wszystkich usług krytycznych.

Należy sprawdzić w praktyce proces przywracania całego komputera, jak również autorytatywnego i nieautorytatywnego przywracania usługi katalogowej (DS) oraz indywidualnych usług w środowisku laboratoryjnym emulującym sieciową infrastrukturę produkcyjną w kategoriach prędkości, wydajności i sprzętu.

Należy wykonać kopię zapasową stanu systemu przy użyciu narzędzia Ntbackup.exe lub innego narzędzia do wykonywania kopii zapasowych, zgodnego z usługą Active Directory systemu Windows 2000. Należy zapisać kopię obrazu kopii zapasowej na dysku lokalnym każdego podwyższonego kontrolera domeny, jak również w formie kopii w innej lokalizacji. Nie można ponownie utworzyć usuniętych kont komputerów, obiektów ustawień usługi NTDS i części zasad systemowych związanych z usługą Active Directory/systemem plików. Jeżeli ważny obiekt zostanie usunięty, należy usunąć kontrolery domeny replik, zwłaszcza znajdujące się w lokacjach zdalnych, które mogły nie replikować informacji dotyczących usunięcia obiektu z sieci, dlatego możliwe jest zapisanie w trybie autorytatywnym. Firma Microsoft zaleca wykonanie następujących kopii zapasowych:
  • Kontrolery domeny w domenie katalogu głównego lasu.
  • Kontrolery domeny w domenach, dla których określono domeny podrzędne.
  • Obiekty kont komputerów dla wszystkich kontrolerów domeny w lesie.
  • Domena domyślna i domyślne zasady kontrolerów domeny, znajdujące się w usłudze Active Directory i udziale SYSVOL, dla wszystkich domen w danym lesie.

Zasady odzyskiwania systemu EFS

Należy opracować plan zapisywania i odzyskiwania certyfikatów systemu szyfrowania plików (EFS, Encrypted File System), uwzględniający dostęp służb ochrony i personelu wówczas, gdy jest to konieczne. (Serwery są zazwyczaj odbudowywane w godzinach poza szczytem około 6–36 miesięcy po oryginalnym wdrożeniu).

Zasady haseł offline menedżera SAM

Aby uzyskać informacje dotyczące tego zagadnienia, zobacz następujący artykuł z bazy wiedzy Microsoft Knowledge Base:
223301 Protection of the Administrator account in the offline SAM

Właściwości

Numer ID artykułu: 216899 - Ostatnia weryfikacja: 26 października 2007 - Weryfikacja: 5.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
Słowa kluczowe: 
kbinfo kbproductlink KB216899

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com