管理域控制器需要注意的问题

    1、禁止在域控制器任意安装软件

    域控制器在域构架网络中的作用十分重要，高可用性、性能要求都比较高。因此，建议不要在域控制器中安装应用程序（例如Microsoft Office系列应用程序等），娱乐性质的应用一定不要安装。建议在域控制器中仅安装AD DS域服务以及DNS服务，其他基础服务（WINS、DHCP、CA等）不要安装在域控制器中。网络中至少部署2台或者以上的域控制器，域控制器之间自动完成Active Directory数据库同步。

    

    2、禁止随意添加/删除域控制器

    域控制器不同于成员服务器，当部署多台域控制器后，域控制器之间活动目录数据库复制时刻都在进行，当随意删除域控制器且没有进行元数据清理时，会造成Active Directory出错，尤其是复制方面的错误。因此，不要在生产环境中随意添加/删除域控制器。

    

    3、禁止FSMO角色的任意分配

    当域控制器出现以下状况时：

    ・服务器正常维护

    ・原来FSMO角色所在的域控制器由于硬件或其他的原因导致无法联机。

    结果可能需要对FSMO角色进行转移。管理员可能认为，只要原来FSMO角色所在的域控制器离线，就一定要把FSMO角色转移到其他的域控制器上，能传送就传送，不能传送就夺取。

    在实际工作中，根据个人经验建议除了PDC角色之外，其他角色所在的域控制器如果离线，最好等待原域控制器重新上线。因为FSMO五种角色中，除了PDC角色经常用到之外，其他的角色一般不会经常用到。

    

    4、谨慎备份域控制器

    部署域控制器后，管理员可能会对服务器使用Ghost之类的备份软件进行备份，以防止出现故障时恢复使用。当使用Ghost恢复时，可能把过时信息复制给其他域控制器，可能已经删除的账号又被激活，组策略还原后出现莫名其妙的问题等。因此，使用Ghost之类的软件备份/还原域控制器的做法不可取，如果担心域控制器出现问题，可以在网络中多部署几台域控制器，防止域控制器离线造成的影响。