Рекомендации по настройке контроллера домена Windows 2000

Переводы статьи Переводы статьи
Код статьи: 216899 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Перед включением контроллеров домена и рядовых серверов под управлением Windows 2000 в рабочую среду следует проверить их настройку, при этом необходимо уделить особое внимание следующим вопросам. Некоторые из них требуют выполнения проверок, описание которых выходит за рамки этой статьи.

Дополнительная информация

Анализ процесса установки и загрузки с помощью средства «Просмотр событий»

С помощью средства просмотра событий (Eventvwr.msc) просмотрите ошибки и предупреждения, связанные с процедурой установки и загрузки. При необходимости устраните неполадки, возникающие в работе служб и компонентов.

Выбор размера журнала событий и способа очистки

Размер журнала событий и способ его очистки (перезаписывать в случае необходимости, удалять содержимое вручную, перезаписывать по истечении n дней) следует выбирать с учетом особенностей работы организации и требований к обеспечению безопасности. Для реализации соответствующей настройки рассмотрите возможность применения системной политики на уровне сайта, домена или организационного подразделения.

Проверка запуска служб

В оснастке «Управление компьютером» откройте папку «Службы» и убедитесь, что все службы с типом запуска «Авто» запускаются с первой попытки и без вмешательства пользователя.

Отключение неиспользуемых служб

Для неиспользуемых служб установите тип запуска «Вручную». Как правило, к числу таких служб относятся следующие.
  • Служба «Диспетчер очереди печати» на компьютерах, которые не отправляют задания на печать и не предоставляют общий доступ к принтерам (для правильной работы автоматического управления объектами-принтерами в Active Directory служба «Диспетчер очереди печати» должна быть запущена как минимум на одном контроллере домена на каждом узле). Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
    246269 Условия, необходимые для правильной работы службы удаления принтеров в организации (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  • Службы сообщений и оповещений на всех серверах.
Для реализации соответствующей настройки рассмотрите возможность создания системной политики на уровне сайта, домена или организационного подразделения.

Оптимизация службы сервера

С помощью средства «Сеть» панели управления выберите для параметра «Оптимизация сервера» значение, соответствующее роли, отведенной компьютеру в рамках организации (в особенности для компьютеров, которые при консолидации доменов превращаются из контроллеров домена в рядовые серверы). На серверах терминалов и серверах IIS для данного параметра необходимо установить значение «макс. пропускная способность для сетевых приложений».

Проверка параметров IP, DNS, WINS и основного шлюза

Для проверки правильности настройки IP, DNS, WINS и основного шлюза запустите на выполнение команду IPCONFIG /ALL из командной строки. На серверах под управлением Windows 2000 (особенно на контроллерах домена), которые являются клиентами WINS, но на которых при этом работает служба сервера WINS, во избежание перекрестной регистрации оба WINS-адреса должны указывать либо на это сервер, либо на удаленный сервер WINS.

Проверка возможности подключения к сети и регистрации DNS и WINS с помощью команды Netdiag

Запустите в командной строке на выполнение команду netdiag /v >c:\netdiag.ммддгг.txt, где ммддгг соответствует текущей дате. Откройте текстовый файл, созданный при выполнении данной команды, и проверьте параметры подключения к сети, а также параметры регистрации DNS и WINS. Создайте подобный файл на каждом сервере, сохраните его в локальной папке и регулярно обновляйте. Сведения, хранящиеся в этом файле, позволяют отслеживать изменение настройки сервера и помогают при устранении неполадок в работе сети.

Проверка полного имени компьютера

Для определения полного имени компьютера запустите в командной строке на выполнение команду net config rdr. Убедитесь, что это имя соответствует имени, указанному в Active Directory, или отличается от него предусмотренным образом.

Размер и расположение файла подкачки

Установите размер и местонахождение файла подкачки в соответствии с объемом памяти и назначением сервера. Размер файла подкачки может находиться в диапазоне от (объем ОЗУ + 12) МБ до (объем ОЗУ)*2 МБ. На серверах, выполняющих критически важные задания, файл подкачки размером не менее объема ОЗУ необходимо расположить в разделе, в котором установлена операционная система. Это позволяет сохранять файл аварийного дампа. Для повышения производительности сервера файл подкачки можно поместить на специально выделенный физический диск (отличный от диска, на котором установлена операционная система), на массив жестких дисков или распределить на несколько дисков, на которых операции чтения и записи выполняются циклически до полного исчерпания доступного пространства.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
197379 Настройка файлов подкачки для оптимизации и восстановления в Windows Server 2003, Windows 2000 и Windows NT

Добавление в файл Boot.ini параметра /DEBUG для отладочных целей

Для выполнения отладки после неустранимого сбоя в работе сервера добавьте в файл Boot.ini параметр /DEBUG. Использование этого параметра снижает производительность сервера на 2-3%, однако позволяет подключить отладчик в случае аварийного завершения работы сервера. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
121543 Настройка компьютера для удаленной отладки (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Всегда храните на сервере соответствующие файлы символов для основной операционной системы, пакетов обновления и исправлений.

Наличие и размещение ролей FSMO

Исходное размещение ролей FSMO на контроллерах домена выполняется операционной системой Windows NT. Для каталогов, которые содержат небольшое количество контроллеров домена, операционная система обычно выбирает наилучший вариант размещения, однако для каталогов, содержащих большое число контроллеров домена, размещение по умолчанию, как правило, не является оптимальным. Размещение ролей FSMO выходит за рамки вопросов, обсуждаемых в этой статье, однако в общем случае следует руководствоваться следующими правилами.
  • Роли хозяина схемы и хозяина именования домена используются редко и должны жестко контролироваться, поэтому их следует расположить на одном контроллере домена.
  • Роль хозяина инфраструктуры не следует назначать контроллеру домена, который одновременно является хозяином RID, эмулятором основного контроллера домена и сервером глобального каталога. С помощью одной из консолей управления (например Dsa.msc или Ntdsutil.exe) обязательно убедитесь, что доступны все роли FSMO.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
223346 Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000

Создание резервной копии службы каталогов и других важных служб

Создайте резервную копию состояния системы Windows 2000 с помощью режима «Архивация состояния системы» или аналогичного средства. Разработайте правила создания резервной копии службы каталогов и других важных служб и придерживайтесь этих правил.

Отработайте процедуру восстановления всего компьютера, а также принудительного и непринудительного восстановления службы каталогов и отдельных служб в тестовой среде, имитирующей реальную среду в отношении скорости, размера и оборудования.

Создайте резервную копию состояния системы с помощью программы Ntbackup.exe или другого средства архивирования, совместимого с Active Directory Windows 2000. Храните экземпляр резервной копии на локальном диске каждого контроллера домена, а также на автономном компьютере. Учетные записи компьютеров, объекты параметров NTDS, а также разделы системной политики, относящиеся к Active Directory и файловой системе, невожможно восстановить в случае удаления. Если удален важный объект, для выполнения принудительного восстановления удалите реплики контроллеров домена (в особенности — расположенные в удаленных сайтах), которые могли не получить изменения из сети. Корпорация Майкрософт рекомендует создавать резервные копии следующих объектов:
  • контроллеров домена в корневом домене леса;
  • контроллеров домена в доменах, имеющих дочерние домены;
  • объектов учетных записей компьютеров для всех контроллеров домена в лесу;
  • политики домена и политики контроллеров домена по умолчанию (располагается в Active Directory и в общей папке SYSVOL) для всех доменов в лесу.

Политика восстановления EFS

Разработайте план хранения и восстановления сертификатов файловой системы EFS (шифрующая файловая система) с учетом обеспечения их безопасности и получения доступа при необходимости. Как правило, восстановление серверов осуществляется в часы минимальной нагрузки спустя 6–36 месяцев с момента исходного развертывания.

Политика автономных паролей SAM

Для получения сведений по даннму вопросу щелкните следующий номер статьи базы знаний Майкрософт:
223301 Защита учетной записи администратора в автономном диспетчере SAM (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 216899 - Последний отзыв: 26 октября 2007 г. - Revision: 5.1
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Datacenter Server
Ключевые слова: 
kbinfo kbproductlink KB216899

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com