部署和设置域控制器 - 最佳实践

自从 Windows 2000 Server 中引入 Active Directory 技术以来，IT 管理员就一直在使用和围绕 Active Directory 进行工作。 Windows 2000 Server 于 2000 年 2 月 17 日发布，但许多管理员在 1999 年末开始使用 Active Directory，当时 Active Directory 于 1999 年 12 月 15 日发布到生产环境 (RTM)。

部署 DC 时需要遵循一些良好实践。其中许多做法都有记录。但实施这些做法的组织并不多。

如何部署和设置域控制器

我们将跳过众所周知的良好实践，例如在一组磁盘轴上维护 Active Directory 数据库、在单独的磁盘轴上维护日志文件以及在其自己的一组磁盘轴上维护操作系统。

一些较少实施的域控制器良好实践是：

• 运行操作系统的服务器核心安装。

许多管理员都会避免更改，尤其是对于 AD DS 等非常稳定的系统。因此，当新管理员建议切换到服务器核心安装时，他常常会遭到冰冷的目光。但实际情况是，大多数管理员通过在客户端或管理计算机上启动 ADUC 或 PowerShell 来远程管理 AD DS。当在 DC 本地使用或从客户端计算机或管理计算机远程使用时，包括 Active Directory 管理中心 (ADAC) 和 Windows PowerShell 在内的所有核心管理工具的工作方式几乎相同。因此，通过迁移到服务器核心安装，管理体验不会降低。而且，您还可以获得安全性增强和一些小的性能增强。

• 请勿在 DC 上运行其他软件或服务。

过去，比如 10 年前，大多数组织都使用物理服务器，因为虚拟化还处于起步阶段。因此，当需要配置新的文件服务器、DHCP 服务器或打印服务器时，管理员通常只需利用现有服务器即可。 DC也经常被使用。快进到 2015 年，当时虚拟化已成为事实上的标准，自动化配置有助于在几分钟内交付新的虚拟机，而旧的处理方式已不再那么引人注目。现在，当您需要放置文件服务器、DHCP 服务器、打印服务器或其他应用程序服务器时，您可以配置新的 VM。或者，更好的是，您可以配置一个新的虚拟机作为实用程序服务器。实用程序服务器是托管所有应用程序和服务的服务器，这些应用程序和服务太小而无法保证专用服务器。这使您的 DC 能够坚持使用专用服务，从而带来更高的稳定性。

• 调整启动顺序并设置BIOS密码。

虽然所有读写 DC 都应位于安全的数据中心中，但仍有大量 IT 和非 IT 人员有权访问该数据中心。例如，负责冷却系统的合同电工可以访问数据中心。此外，可能还有网络人员、布线人员和具有数据中心访问权限的 IT 管理人员。任何能够物理访问 DC 的人都可以在几分钟内通过数据中心的控制台访问物理 DC。有专门的免费软件启动映像可用，您可以使用它们来启动并重置密码、安装恶意软件或访问磁盘数据（假设磁盘未加密）。为了避免这种情况，请执行以下配置：

• 确保所有可移动媒体都不属于 BIOS 启动顺序。相反，只有安装操作系统的硬盘才应成为引导顺序的一部分。如果您有虚拟 DC，这也适用于您的虚拟化主机服务器。

• 设置强 BIOS 密码。如果您不设置 BIOS 密码，有人可以更新启动顺序、启动到 Windows Server 安装介质或许多免费软件工具包、执行修复以进入命令提示符。一旦进入命令提示符，他们就可以造成严重破坏并快速重置域帐户的密码。

• 将 DC 存放在上锁的柜子中。虽然 BIOS 密码是一层安全保护，但如果攻击者能力有限，他或她可能知道如何重置 BIOS，以便重置配置并删除密码。通常，这需要访问主板。您可以通过将 DC 放在上锁的柜子中来降低此类攻击的风险。有些服务器还允许机箱锁。在高安全性环境中，您应该选择两者。

• 标准化所有域控制器的配置。

您应该尝试匹配每个 DC 的配置设置。您可以通过 System Center Configuration Manager 等部署工具使用构建自动化来完成部分任务。 DC 感兴趣的项目包括事件日志大小设置，以确保您有足够的大小来捕获审核和安全相关信息、启动设置（例如等待物理服务器上操作系统选择的超时）、固件和 BIOS 版本和设置以及硬件配置。当然，还有许多其他配置项可以通过使用组策略来标准化。主要目标是以相同方式配置 DC。

有关 Active Directory 基础的更多信息，您可以在我们的 AD 初学者教程中找到。