Windows 2000 網域控制站安裝的最佳實務方法

文章翻譯 文章翻譯
文章編號: 216899 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

在正式使用 Windows 2000 網域控制站和成員伺服器之前,系統管理員可能想要驗證伺服器的設定。本檢查清單針對某些區域進行討論。某些討論主題需要進行的研究會超出本文的範圍。

其他相關資訊

檢視事件檢視器中的安裝和開機程序

檢查「事件檢視器」(Eventvwr.msc) 以取得與安裝或開機程序有關的錯誤和警告訊息。視需要解決元件和服務的相關事件。

設定事件檢視器記錄檔大小和換行設定

您應該定義「事件記錄檔」大小和記錄檔換行 (需要時覆寫、手動清除記錄檔或在 n 天後覆寫) 以符合商業與安全性需求。考量在站台、網域或組織單位層級中實作系統原則,實作適當的設定。

檢視服務啟動

在電腦管理嵌入式管理單元的 [服務] 資料夾中,確認所有在 [啟動] 資料欄內設定為 [自動] 的服務,都已經在不需要使用者介入或多次重試的情況下啟動。

停用不必要的服務

將不必要或用不到的服務啟動值設定為 [手動]。檢視的候選對象包含:
  • 電腦的 Print Spooler 服務並未共用或存取印表機(每個站台最少要有一台網域控制站執行 Print Spooler 服務,以便使 Active Directory 中的印表機物件自動管理能夠正常運作)。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    246269 Requirements for Proper function of the Directory Services Printer Pruner in the enterprise
  • 所有伺服器上的信差服務與警訊器服務。
考量在站台、網域或組織單位層級中建立系統原則,實作想要的服務設定。

伺服器服務最佳化

在 [控制台] 的 [網路] 工具中設定 [伺服器最佳化] 設定,以符合電腦在組織中將扮演的角色,特別是針對合併網域時,角色從網域控制站變更為成員伺服器的電腦。專用的 Terminal Server 或 IIS 伺服器的 [伺服器] 服務,應該最佳化為 [網路應用程式的資料輸送量最大化]。

檢查 IP、DNS、WINS 和預設閘道設定

在命令提示字元輸入 IPCONFIG /ALL 檢查正確的 IP、DNS、WINS 和預設閘道設定。對於角色為 WINS 用戶端,但是同時執行 [WINS 伺服器] 服務的 Windows 2000 伺服器 (特別是網域控制站) 而言,兩個 WINS 位址都應該指向此伺服器或是遠端 WINS 伺服器,以避免交互登錄。

執行 Netdiag 以測試網路連線和 DNS\WINS 登錄

在命令提示字元輸入 netdiag /v >c:\netdiag.mmddyy.txt,其中 mmddyy 會對應到今天的日期。檢視文字檔案以得知網路連線和 DNS\WINS 登錄是否正確。將此檔案儲存並更新至所有伺服器的本機資料夾中,以便在變更伺服器設定或遇到網路問題時可以檢視此檔案。

檢視完整格式的電腦名稱

在命令提示字元輸入 net config rdr 以檢視完整格式的電腦名稱。將結果與 Active Directory 名稱比較,以確認其相符或如期望般變更。

分頁檔案調整大小和位置

根據記憶體大小和伺服器用途,設定分頁檔案大小和位置。分頁檔案大小範圍從 RAM 大小 + 12 MB 到 RAM 大小 * 2。針對具有重大任務的伺服器,等於或大於 RAM 大小的分頁檔案應該置於與作業系統相同的磁碟分割中,才能允許記錄損毀傾印。為了提供更高效能,分頁檔案可以置於專屬的實體磁碟機,與裝載 Windows NT 的磁碟機、硬體磁碟陣列,或使用「類似遞迴」的方式讀取與寫入的階段性跨越多重實體磁碟機區隔開來,直到可用空間用完為止。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
197379 Configuring page files for optimization and recovery in Windows Server 2003, in Windows 2000, and in Windows NT

將 /DEBUG 切換參數新增至 Boot.ini 檔案中,以進行偵錯

將 /DEBUG 切換參數新增至 Boot.ini 檔案中,以啟用伺服器的事後剖析偵錯。新增偵錯參數會造成伺服器的效能降低 2 到 3 個百分比,但是能夠在發生損毀時連接偵錯器以便進行事後剖析偵錯。如需詳細資訊,請參閱「Microsoft 知識庫」中的下列文件:
121543 Setting Up for Remote Debugging
持續比對伺服器上核心作業系統、Service Pack 和 Hotfix 的符號檔案。

FSMO 可用性和位置

Windows NT 會在網域控制站上執行初始角色放置。這項放置操作對使用少數網域控制站的目錄而言通常是正確的。在使用許多網域控制站的目錄中,預設放置應該不是最符合網路的方式。討論 DFSMO 角色放置已經超出本文件的範圍,但是一般規則為:
  • 架構主機和網域命名主機角色應該置於相同的網域控制站中,因為其不常使用並且應該嚴加控管。
  • 基礎結構主機不應該置於與提供 RID 主機和 PDC 模擬器角色相同的網域控制站中 (如果該主機也是 GC 伺服器的話)。更重要的是,請確認所有的 FSMO 角色都可以使用其中一個管理主控台 (例如 Dsa.msc 或 Ntdsutil.exe)。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
223346 在 Windows 2000 網域控制站上安置與最佳化 FSMO

執行 DS 和金鑰服務的備份

請使用 [Windows 2000 備份系統狀態] 選項或相等工具來備份系統。開發與維護目錄服務和所有重要服務的備份程序。

在模擬正式網路基礎結構的速度、容量和硬體的實驗室環境中,練習還原整個電腦以及授權和未經授權還原 DS 與個別服務。

使用 Ntbackup.exe 或另一個 Windows 2000 Active Directory 相容的備份公用程式來備份系統狀態。將備份影像以及離站備份儲存到每個升級的網域控制站的本機磁碟中。您無法在刪除後重新建立電腦帳戶、NTDS 設定物件以及 [系統原則] 的 Active Directory/檔案系統部份。如果發現重要物件被刪除,請移除複寫網域控制站,特別是遠端站台中尚未透過網路複寫刪除動作的網域控制站,以便能夠執行授權儲存。Microsoft 建議備份:
  • 樹系根網域中的網域控制站。
  • 網域中有子網域的網域控制站。
  • 樹系中所有網域控制站的電腦帳戶物件。
  • Active directory 中的預設網域和預設網域控制站原則,以及樹系中所有網域的 SYSVOL 共用。

EFS 修復原則

開發儲存與修復「加密檔案系統」(EFS,Encrypted File System) 憑證的計劃,該計劃會考量到安全性和人員存取的需求時機。在原始部署後,通常在離峰時間約 6 至 36 個月後會重建伺服器)。

離線 SAM 密碼原則

如需有關此主題的資訊,請參閱「Microsoft 知識庫」中的下列文件:
223301 離線 SAM 中系統管理員帳戶的保護措施

屬性

文章編號: 216899 - 上次校閱: 2007年10月26日 - 版次: 5.1
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
關鍵字:?
kbinfo kbproductlink KB216899
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com