Windows 2000域控制器设置的最佳实践方法

在“事件查看器中”检查安装和启动过程

检查“事件查看器”(Eventvwr.msc)，以查找与安装或启动过程关联的错误和警告消息。根据需要，解决与组件和服务相关的事件。

设置事件查看器日志大小和覆盖设置

应该将“事件日志”大小和日志覆盖（根据需要进行覆盖，n 天之后手动清除日志或进行覆盖）定义为符合业务和安全方面的要求。请考虑在实施相应配置的站点、域或组织单元级别实施系统策略。

检查服务启动

从“计算机管理”管理单元中的 Services 文件夹中，确认在没有用户干预或多次重试的情况下启动了在“启动”列中设置为“自动”的所有服务。

禁用不必要的服务

将不必要的或未使用的服务的启动值设置为“手动”。要检查的对象包括： • 用于不共享或访问打印机的计算机的“打印后台处理程序”服务。（每个站点中至少有一个 DC 必须正在运行“打印后台处理程序”服务，以便 Active Directory 中打印机对象的自动管理能够正常工作。）有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

246269 (http://support.microsoft.com/kb/246269/EN-US/) Requirements for Proper Function of the Directory Services Printer Pruner in the Enterprise

• 所有服务器上的信使和警报器服务 请考虑在实施所需服务配置的站点、域或组织单元级别创建系统策略。

服务器服务优化

在“控制面板”的“网络”工具中，设置“服务器优化”设置，使它们符合计算机在您的组织中将起到的作用，尤其是要注意那些在合并域时其角色由域控制器改变为成员服务器的计算机。专用的“终端服务器”或 IIS 服务器的“服务器服务”应该优化，以获得“网络应用程序的最大数据吞吐量”。

检查 IP、DNS、WINS 和默认网关设置

在命令提示符下，键入 IPCONFIG /ALL，以验证 IP、DNS、WINS 和默认网关配置是否正确。对于作为 WINS 客户端但也运行“WINS 服务器”服务的 Windows 2000 服务器（尤其是域控制器），两个 WINS 地址都应该指向此服务器或远程 WINS 服务器以避免交叉注册。

运行 Netdiag 以测试网络连接和 DNS/WINS 注册

在命令提示符下，键入 netdiag /v >c:/netdiag.mmddyy.txt，其中 mmddyy 映射到今天的日期。查看该文本文件以确定网络连接和 DNS/WINS 注册是否正确。将此文件保存到所有服务器上的本地文件夹并进行更新，以便每当对服务器配置进行更改或遇到网络问题时都可以查看它。

查看完全合格的计算机名称

在命令提示符下，键入 net config rdr 以查看完全合格的计算机名称。对照 Active Directory 名称比较结果以确认它们像预定的那样匹配或有差异。

分页文件的大小和放置

根据内存大小和服务器使用情况设置分页文件的大小和放置。分页文件大小的范围可以从 RAM 大小 + 12 MB 到 RAM 大小 * 2。对于执行关键任务的服务器，应该在操作系统所在的同一分区上放置大小等于或大于 RAM 的分页文件，以允许记录故障转储。为了获得更高的性能，可以将分页文件放在与承载 Windows NT 的驱动器不同的专用物理驱动器上、硬件驱动器阵列上，或者，可以分段放在多个物理驱动器上，这样，读取和写入会以类似于“圆桌会议”的形式进行，直至用完可用空间。有关其他信息，请参见 Microsoft 知识库中的以下文章：

197379 (http://support.microsoft.com/kb/197379/EN-US/) Configuring Page Files for Optimization and Recovery

将 /DEBUG 开关添加到 Boot.ini 文件以进行调试

将 /DEBUG 开关添加到 Boot.ini 文件以启用服务器的事后调试。添加调试开关会导致服务器性能下降 2-3%，但允许在发生崩溃后挂起调试器以进行事后调试。有关其他信息，请参见 Microsoft 知识库中的以下文章：

121543 (http://support.microsoft.com/kb/121543/EN-US/) Setting Up for Remote Debugging

始终在服务器上保留核心操作系统、Service Pack 和热修复程序的匹配符号文件。

FSMO 的可用性和放置

Windows NT 在域控制器上执行最初的角色放置。对于具有很少域控制器的目录，此放置通常是正确的。在具有许多域控制器的目录中，默认放置与您的网络不大可能是最佳匹配。有关 DFSMO 角色放置的讨论已超出本文的范围，但一般说来： • 架构主机角色和域命名主机角色应该放置在同一域控制器上，因为它们很少使用且应该进行严格控制。 • 如果结构主机也是 GC 服务器，则不应位于充当着 RID 主机和 PDC 模拟器的同一个域控制器上。最重要的是，使用其中的一个管理控制台（如 Dsa.msc 或 Ntdsutil.exe）确认所有 FSMO 角色都是可用的。 有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

223346 (http://support.microsoft.com/kb/223346/EN-US/) FSMO Placement and Optimization on Windows 2000 Domains

执行 DS 和密钥服务的备份

使用“Windows 2000 备份自动系统恢复”选项或等效选项来备份系统。制定并维护目录服务和所有关键服务的备份过程。

在模拟生产网络结构的速度、容量和硬件的实验室环境中，执行整个计算机的恢复以及 DS 和各项服务的授权和非授权恢复。

使用 Ntbackup.exe 或另一个 Windows 2000 Active Directory 兼容的备份工具备份系统状态。在每个升级后的域控制器的本地驱动器上保存备份映像的副本和非现场副本。计算机帐户、“NTDS 设置”对象和“系统策略”的 Active Directory/文件系统部分在删除之后无法重新创建。如果您发现某个重要对象已被删除，请移除副本域控制器，尤其是那些远程站点中的域控制器，它们可能还没有从网络复制删除，这样，就可以执行授权存储了。Microsoft 建议备份： • 目录林根域中的域控制器。 • 具有子域的域中的域控制器。 • 目录林中所有域控制器的计算机帐户对象。 • 驻留在目录林中所有域的 Active Directory 和 SYSVOL 共享中的“默认域”和默认域控制器策略。

EFS 恢复策略

制定“加密文件系统”(EFS) 证书的存储和恢复计划，计划中要考虑到可能会需要使用这些证书的安全性和个人访问。服务器通常是在原始部署之后 6-36 个月的某个非高峰时间重新建立的。