公司會竭盡全力確保合適的活動目錄備份程序、各種冗余解決方案以及其它有助于防止和減輕災(zāi)難的方案。在大多數(shù)情況下，這些方案主要是反應(yīng)性的解決方案。

很多工程師對備份已經(jīng)過于得意以至于他們忘記了一個非常重要的要素，那就是要把活動目錄的健康放在首位。當(dāng)活動目錄損壞時，可以通過快照來恢復(fù)或者使用Ntdsutil.exe來修復(fù)。

推薦專題：聽專家講述Windows活動目錄

提前預(yù)防并不意味著災(zāi)難計劃就不受重視。災(zāi)難預(yù)防的關(guān)鍵因素包括維持良好的備份，如果有的話，確保在存儲區(qū)域網(wǎng)絡(luò)（SAN）上快照已完成。然而，在活動目錄功能里有一些技巧和竅門，它們有助于保持整個環(huán)境更加穩(wěn)定和健康。

防范活動目錄的“意外”對象刪除

幾乎每個工程師都在活動目錄里犯過錯誤。有時它是一個簡單的用戶名拼寫錯誤，其它時候可能會更加嚴(yán)重。已經(jīng)存在這樣一些實例：管理員登錄到活動目錄執(zhí)行一些管理操作，然后意外地刪除了整個組織單元(OU)。如果這個組織單元中包含了3000個用戶呢？那么現(xiàn)在該怎么辦呢？

在許多解決方案中，管理員將不得不恢復(fù)活動目錄數(shù)據(jù)庫或者試圖找到最近的活動目錄快照。然而，在Windows Server 2008 R2中，微軟為IT管理員提供了一個設(shè)計來防止活動目錄對象被意外刪除的很好選項。這個選項對通過活動目錄用戶和計算機(jī)來管理的所有對象都可用，并且當(dāng)你創(chuàng)建一個新的組織單元時，它是默認(rèn)啟用的。通過選擇“防止容器被意外刪除”選項，一個訪問控制條目會被添加到對象的訪問控制列表。

備注：默認(rèn)情況下，意外刪除保護(hù)僅僅對組織單元是默認(rèn)啟用的，并且不適用于用戶對象。這意味著，如果你試圖刪除一個或者多個用戶對象，即使你是位于一個受保護(hù)的組織單元內(nèi)，你將會成功的（徹底刪除）。

提到這一點，如果想要防止用戶、組或者計算機(jī)對象被意外刪除，那么你必須在對象屬性里手動啟用這個選項。更改ADUC里的查看選項，使其顯示高級特性，打開對象屬性窗口，并點擊對象選項卡。你就可以在這里選擇意外刪除保護(hù)選項。

通過執(zhí)行離線的碎片整理來管理活動目錄大小

存在一些后臺運行的預(yù)設(shè)的活動目錄功能來保持環(huán)境健康。比如，在線維護(hù)周期保持定期檢查數(shù)據(jù)庫并且不需要管理員交互。然而，雖然數(shù)據(jù)庫里的數(shù)據(jù)會定期進(jìn)行碎片整理，但是數(shù)據(jù)庫自身具有隨著時間推移增加其規(guī)模的趨勢。

如果管理員定期清除數(shù)據(jù)庫記錄的話，這一點會是特別真實的。例如，一個4GB的活動目錄很有可能只包含不到1GB的數(shù)據(jù)，同時包含超過3GB的空白空間。這些空間可以通過執(zhí)行一個離線的碎片整理來回收。

在Windows Server 2008中，活動目錄是一個服務(wù)。在任何時候，只要你想要執(zhí)行活動目錄數(shù)據(jù)庫的維護(hù)，你可以僅僅通過終止活動目錄域服務(wù)來使其離線即可。

通過執(zhí)行一個完整的系統(tǒng)狀態(tài)備份來啟動這個過程也是一個好主意。一旦一個成功的備份通過驗證，那么請打開Windows資源管理器并定位到C:\Windows\NTDS文件夾?；顒幽夸洈?shù)據(jù)庫就存儲在NTDS.DIT文件里。你應(yīng)該注意這個文件的大小，以便你可以稍后返回并計算出你收回了多少空間。

此時，你應(yīng)該打開服務(wù)控制管理器，并終止活動目錄域服務(wù)的服務(wù)。在這步完成之后，你將會看見一條信息，告訴你一些依賴服務(wù)也需要被終止。點擊“Yes”來終止這些額外的服務(wù)。

一旦所有這些必需的服務(wù)已經(jīng)被終止，那么請在服務(wù)器上打開命令提示符，并輸入以下命令：

NTDSUTIL
Activate Instance NTDS
Files
Info

此時，你應(yīng)該會看到活動目錄數(shù)據(jù)庫使用的文件的一覽表。你現(xiàn)在就可以通過輸入以下命令來開始碎片整理過程：

Compact to c:\windows\ntds\defragged

請記住，根據(jù)你的數(shù)據(jù)庫的大小，這個過程可能會花相當(dāng)長一段時間才能完成，同時除非活動目錄域服務(wù)以及所有依賴服務(wù)都恢復(fù)在線狀態(tài)，你正在進(jìn)行碎片整理的域控制器才可用。

當(dāng)這個過程完成后，請轉(zhuǎn)到C:\Windows\NTDS文件夾并把NTDS.DIT文件重新命名為NTDS.OLD。你可以稍后刪除這個文件，但是把它保留到現(xiàn)在僅僅是以防數(shù)據(jù)庫的碎片整理副本出現(xiàn)任何錯誤?，F(xiàn)在，請把經(jīng)過碎片整理的數(shù)據(jù)庫從C:\Windows\NTDS\Defragged復(fù)制到C:\Windows\NTDS。

最后，重新啟動活動目錄域服務(wù)（依賴服務(wù)將會自動重新啟動）?，F(xiàn)在，你可以回過頭看看，參照碎片整理之前，減少了多少空間。

主動預(yù)防技巧以及最佳做法

保持你的活動目錄環(huán)境健壯的方法有許多。鑒于它的關(guān)鍵性質(zhì)，應(yīng)該采取各種方法來確保活動目錄不會崩潰。當(dāng)涉及到活動目錄的穩(wěn)定性、安全性以及健康性時，以下是一些主動預(yù)防方法的簡要列表：

在每個域里重命名或者關(guān)閉管理員賬戶（以及訪客賬戶）來防止對你的域的攻擊。

管理兩個森林之間的安全關(guān)系并簡化跨森林的管理和身份認(rèn)證。

在每個站點至少放置一個域控制器，同時為每個站點的域控制器編制一個全局目錄。

不具有它們自己的域控制器以及至少一個全局目錄的站點需要依賴其它站點來獲取目錄信息，并且效率相對較低。

當(dāng)在復(fù)制到全局目錄的目錄對象上制定權(quán)限時，請使用全局組或者通用組而不是域本地組。

始終具有最新的備份并驗證其一致性。

為了對活動目錄架構(gòu)提供額外的保護(hù)，請刪除架構(gòu)管理員組里的所有用戶，并僅當(dāng)需要進(jìn)行架構(gòu)更改時才添加一個用戶到這個組。一旦更改已經(jīng)完成，再把這個用戶從該組刪除。

通過確保合適的權(quán)限、良好的組織單元管理以及執(zhí)行預(yù)防性維護(hù)來始終監(jiān)控活動目錄的健康。

【編輯推薦】

1. 活動目錄的域控制器中如何創(chuàng)建漫游用戶？
2. 使用ADMT進(jìn)行活動目錄遷移的準(zhǔn)備工作
3. 利用組策略如何修改活動目錄域緩存登錄次數(shù)？
4. 升級Server 2008 R2活動目錄林功能級別
5. 巧用活動目錄省卻Linux認(rèn)證的麻煩