Melhores práticas para instalação do controlador de domínio do Windows 2000

Antes de colocar os controladores de domínio e os servidores membros do Windows 2000 em uso, os administradores de sistema devem validar a configuração do servidor. Esta lista de verificação descreve algumas das áreas nas quais você deve se concentrar. Alguns dos tópicos mencionados exigem uma pesquisa além do escopo deste artigo.

Revisão da instalação e do processo de inicialização em Visualizar eventos

Verifique em Visualizar eventos (Eventvwr.msc) se existem mensagens de erro e de aviso associadas à instalação ou ao processo de inicialização. Resolva os eventos relacionados ao componente e ao serviço conforme necessário.

Configurar o tamanho do log e as configurações de quebra de Visualizar eventos

O tamanho do log de eventos e a quebra automática do log (substitua conforme necessário, limpe o log manualmente ou substitua após n dias) devem ser definidos para atender às necessidades comerciais e de segurança. Leve em consideração a implementação de uma diretiva de sistema no nível do site, do domínio ou da unidade organizacional que implemente a configuração apropriada.

Revisar a inicialização do serviço

A partir da pasta Serviços no snap-in Gerenciamento do computador, verifique se todos os serviços configurados como Automática, na coluna Inicialização, iniciam sem a intervenção do usuário ou por meio de diversas tentativas.

Desativar serviços desnecessários

Configure o valor de inicialização para serviços desnecessários ou inutilizados como Manual. Entre os candidatos para revisão estão:

• O serviço Spooler de impressão para computadores que não compartilham ou acessam impressoras. (Pelo menos um controlador de domínio em cada site deve ter o serviço Spooler de impressão em execução para que o gerenciamento automático de objetos de impressão, no Active Directory, funcione apropriadamente.) Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
  246269  (http://support.microsoft.com/kb/246269/ ) Requisitos para o funcionamento adequado do Removedor de impressora dos serviços de diretório na empresa
• Os serviços mensageiro e alerta em todos os servidores.

Leve em consideração a criação de uma diretiva de sistema no nível do site, domínio ou unidade organizacional que implemente a configuração desejada.

Otimização do serviço Servidor

Defina a configuração de Otimização do servidor, na ferramenta Rede no Painel de controle, para combinar com a função que o computador terá na sua organização, especialmente para computadores nos quais as funções mudam de controladores de domínio para servidores membro se os domínios forem consolidados. O serviço Servidor para servidores Terminal Server ou IIS dedicados deve ser otimizado para "Maximizar a taxa de transferência de dados para os aplicativos de rede."

Verificar as configurações de IP, DNS, WINS e gateway padrão

A partir de um prompt de comando, digite IPCONFIG /ALL para verificar a configuração correta de IP, DNS, WINS e do gateway padrão. Para servidores com Windows 2000 (especialmente controladores de domínio) que são clientes WINS, mas que também executam o serviço Servidor WINS, os dois endereços WINS devem apontar para esse servidor ou um servidor WINS remoto para evitar o registro cruzado.

Executar o Netdiag para testar a conectividade de rede e o registro DNS\WINS

A partir de um prompt de comando, digite netdiag /v >c:\netdiag.ddmmaa.txt no qual ddmmaa indica a data de hoje. Revise o arquivo de texto para verificar se há boa conectividade de rede e registro DNS\WINS. Salve e atualize esse arquivo para uma pasta local em todos os servidores de modo que ele possa ser revisado sempre que houver alterações na configuração do servidor ou problemas de rede forem encontrados.

Visualizar o nome do computador totalmente qualificado

A partir de um prompt de comando, digite net config rdr para visualizar o nome do computador totalmente qualificado. Compare os resultados com relação ao nome do Active Directory para confirmar se eles combinam ou variam conforme o pretendido.

Localização e dimensionamento do arquivo de paginação

Defina o tamanho do arquivo de paginação e sua localização com base no tamanho da memória e no uso do servidor. Um arquivo de paginação pode variar de + 12 MB do tamanho da RAM para * 2 do tamanho da RAM. Para servidores essenciais, um arquivo de paginação igual ou maior que o tamanho da memória RAM deve ser colocado na mesma partição que o sistema operacional para permitir o registro de despejos de memória. Para obter um melhor desempenho, o arquivo de paginação pode ser colocado em uma unidade física dedicada, separada da unidade que hospeda o Windows NT, em uma matriz de unidade de hardware ou ficar de modo temporário em diversas unidades físicas, nas quais ocorrem leitura e gravação de maneira rotativa (round-robin-like), até que o espaço disponível seja consumido.
Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

Adicionar a opção /DEBUG ao arquivo Boot.ini para depuração

Adicione a opção /DEBUG ao arquivo Boot.ini para permitir depurações post-mortem de seus servidores. A adição da opção de depuração causa uma diminuição de 2 a 3 por cento no desempenho do sistema, mas permite que um depurador seja acoplado uma vez que uma falha tenha ocorrido para depuração post-mortem. Para obter informações adicionais, leia o seguinte artigo na Base de Dados de Conhecimento da Microsoft: Sempre mantenha os arquivos de símbolos correspondentes para o sistema operacional principal, para os service packs e para os hotfixes no servidor.

Localização e disponibilidade do FSMO

O Windows NT realiza um posicionamento inicial de funções em controladores de domínio. Esse posicionamento geralmente é correto para diretórios com poucos controladores de domínio. Em um diretório com muitos controladores de domínio é improvável que o posicionamento padrão seja a melhor combinação para a rede. Uma discussão sobre o posicionamento da função DFSMO está além do escopo desse documento, mas como uma regra geral:

• As funções do mestre de esquema e do mestre de nomeação de domínio devem ser posicionadas no mesmo controlador de domínio já que raramente são usadas e devem ser bem controladas.
• O mestre de infra-estrutura não deve estar localizado no mesmo controlador de domínio que detém as funções mestre de RID e emulador PDC se ele também for um servidor GC. Mais importante de tudo, confirme que todas as funções de FSMO estão disponíveis usando um dos consoles de gerenciamento (como Dsa.msc ou Ntdsutil.exe).

Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

Realizar um backup dos serviços DP e de chaves

Use a opção Backup do estado do sistema do Windows 2000, ou um equivalente, para fazer o backup do sistema. Desenvolva e mantenha um processo de backup para o serviço de diretório e todos os serviços essenciais.

Pratique restaurações de todo o computador assim como restaurações autoritativas e não-autoritativas dos serviços DP e individual em um ambiente de laboratório que emule a infra-estrutura de sua rede de produção em termos de velocidade, capacidade e hardware.

Faça um backup do estado do sistema usando o Ntbackup.exe ou outro utilitário de backup compatível com o Windows 2000 Active Directory. Salve uma cópia da imagem do backup na unidade local de cada controlador de domínio promovido, assim como uma cópia externa. Contas do computador, objetos de configurações do NTDS e a parte do sistema do arquivo/Active Directory da diretiva de sistema não podem ser recriados caso haja uma exclusão. Se você descobrir que um objeto importante foi excluído, remova os controladores de domínio duplicados, especialmente aqueles nos sites remotos que possam não ter duplicado a exclusão da rede, de modo que um armazenamento autoritativo possa ser executado. A Microsoft recomenda o backup de:

• Controladores de domínio no domínio raiz da floresta.
• Controladores de domínio em domínios que possuem domínios filho.
• Objetos da conta de computador para todos os controladores de domínio na floresta.
• Diretiva de domínio padrão e de controladores de domínio padrão que residem no Active directory e no compartilhamento SYSVOL para todos os domínios na floresta.

Diretiva de recuperação EFS

Desenvolva um plano para armazenamento e recuperação de certificados EFS (Sistema de arquivos criptografados) que levam em consideração a segurança e o acesso pessoal em momentos nos quais serão, provavelmente, necessários. Os servidores são normalmente reconstruídos durante um horário no qual o uso não é intenso, de 6 a 36 meses após a implantação original).

Diretiva de senha SAM offline

Para obter informações sobre esse tópico, consulte o seguinte artigo na Base de Dados de Conhecimento da Microsoft: