如何使用最佳实践分析器测试服务器角色?

考虑到Windows Server 2008 R2操作系统的复杂性,了解一台服务器是否恰当安装或者服务器配置期间是否跳过了一两步。解决该过程中的这些疑虑需要一个内置在Windows Server 2008 R2的工具,它允许管理员扫描单独的服务器角色来决定它们是否按照微软建议的最佳实践来配置。

在Windows Server 2008 R2中,微软创建了角色专用版本的最佳实践分析器(Best Practices Analyzer,BPA)并将它们整合到服务器管理器(Server Manager)中。BPA可以通过打开服务器管理器访问到特定角色并导航控制台树到服务器管理器/角色/(你想要分析的角色)。当打开时,BPA就列出 在角色的概况部分(如图1)。

 
图1:角色专用版本

为了测试一个角色来确保它符合微软的最佳实践,只需点击“扫描该角色”链接,如上图所示。扫描的持续时间根据你所选的角色和互联网连接的速度而有所不同。但是在大多数情况下,扫描应该在一分钟内完成。当扫描完成,扫描结果都展示在BPA帧(图2)中。

 
图2:扫描结果

扫描本身基于一系列规则。BPA对比角色的配置和各种规则来决定服务器是否与每条规则兼容。举例来说,上图展示的扫描显示,该服务器兼容32条规则,而与另9条规则不兼容。控制台以不同的标签来显示兼容和兼容规则,这样更易于查看。

上图列出的不兼容规则已经分解成一系列错误和警告。和预想的一样,警告没有错误严重。例如,一些警告在包括以下内容的扫描中产生:
•所有域都应有至少两个用于冗余的职能(functioning)域控制器。
•目录分区DC=Lab、DC=COM应在6天内备份。
•所有在这个域中的OU都应受到保护不至于遭受意外删除。

扫描期间显示的错误信息暗示PDC竞争者管理者Lab-DC.lab.com在该林中应该配置来正确地从有效时间来源同步时间。

如果这不是一台实验室服务器,列出的所有问题都可能变得相对严重。那么是什么让错误比警告更严重呢?Kerberos协议在认证过程期间使用时间戳。如果时钟放弃同步,那么整个活动目录可能中止。这就是时间同步问题列为错误而不是警告的原因。

双击该错误会显示详细概况和该错误的解决方法(图3)。

 
图3:详情及解决方法

可能有些不兼容规则无法应用到管理员的环境中。

在这类型情况中,用户可以通过选择该规则并双击“排除结果”链接将其从结果列表中排除。这造成了该错误或警告从非兼容标签中移除并添加到排除标签中。要将结果重新添加到非兼容标签中,进入排除标签,选择该错误或警告并点击“包含结果”键。

BPA让更正任何角色特定的配置问题都变得容易。但是确定配置问题并不是一个一次性的任务。在管理员修改已报告的任何问题后,应该优先周期性地重新扫描每个角色,因为微软一直不断地更改其建议的最佳实践。