大众广泛认为活动目录是不需要维护的,但是VAR还是有机会提供一些清理、优化和其它活动目录管理服务。
活动目录(AD)以活动目录服务数据库为中心。这个数据库在脱离混乱时能更高效地执行。一个已经适当归位一年的AD数据库可能包含不必要的对象。解决方案提供商可以提供活动目录管理服务,包括清理这些不必要的对象和优化AD以获得***化的性能。
活动目录清理服务
不必要的活动目录对象往往分成两大类:用户帐户和计算机帐户。活动目录管理服务还能清除其它类的对象,但是用户和计算机帐户最普通的(也是最容易识别的)两种。
通常,有些用户已经不在公司工作,还有一些用户不需要帐户,但他们的活动目录用户帐户仍然存在。执行活动目录清理服务时识别这些用户帐户的一个方法就是使用叫做AD Tidy的免费工具来确定用户上一次登入的时间。
提醒一下,你不能仅仅因为某个用户很长时间没有登入就认为删除这个帐户是安全的。在大型企业中,不删除但关闭前员工的帐户是常见现象。这是因为Exchange Server将邮箱内容和用户帐户绑定在一起。因此,如果你删除一个用户账户,你就删除了与这个帐户相关的所有邮件。这种情况下,***是针对不需要的用户帐户生成一个清单,让你的用户来决定哪些帐户应该删除。当然,在从AD中移除内容前创建一个备份文件就***不过了。
清除计算机帐户就要安全得多了。在域中添加一个服务器或工作站的过程会为这台机器创建一个计算机帐户。如果一个计算机退役了,但是没有从域中粉碎,那么计算机帐户还保留在AD中,即使这台计算机技术上不再属于这个域了。
说到活动目录清理以及清除计算机帐户,你需要知道的一件事就是清除计算机帐户并没有必要清除对这个计算机帐户的引用。例如,想像一下Exchange服务器崩溃时,你的客户决定用另一台服务器来替代它,这台服务器的名字也不一样了。这样的情况中,你可以安全地在AD中删除老服务器的云计算机帐户,因为这台服务器不会再次使用了。但是,其它留下的服务器还是会把崩溃的服务器当作是Exchange组织的一部分,因为AD数据库仍然包括对这台服务器的引用,即使是它的计算机帐户已经删除了。要除掉不想要的老服务器引用,你会使用ADSI编辑工作来手动地编辑AD。
活动目录优化服务
通常关于活动目录优化你没必要做什么,因为Windows Server执行一个自动的维护周期,按照常规基础清理数据库碎片。但是当AD数据库中有物件删除时,它们由空白区代替。这个碎片整理程序整合所有空白区,但是对缩小数据库并没有帮助。
在多数情况下,你不用担心从AD数据库中回收再利用磁盘空间,但是在有些特殊情形下,这些活动目录优化是有必要的。例如,如果在NTDS.DIT文件的卷上剩余空间不足500MB,有你也许想要试着缩小AD数据库。同样地,如果数据库所在的卷上剩余的可用磁盘空间只有20%或少于NTDS.DIT文件的大小,你应该考虑缩小数据库。
如果日志文件偶然和数据库保留在相同的卷上,那么这个卷至少要包含1GB的可用空间,并且至少应该有足够的可用空间来安置增长率为20%的数据库和日志文件。
整合AD数据库需要重启服务器到活动目录恢复模式,并且使用NTDSUTIL来缩小数据库。相似的程序来可用来重新安置这个数据库。
你必须在域控制器离线前创建一个完整系统状态备份,因为流程执行不当可能毁掉这个域控制器。这个流程也可能因为数据库中未被发现的崩溃而失效。
尽管活动目录优化可以手动地执行,但是还有大量产品专门用来自动化这个过程。如果你决定为客户提供活动目录管理服务,你可以使用这些产品来朝着有利的方向发展。如果客户更青睐于自己维护活动目录,你可以向他们推销你的活动目录清理产品。