我意识到这与“我应该拥有多个域管理员帐户吗?”类似,但是我最近遇到一个问题,如果未使用管理员帐户(或启用了 UAC),Windows Server 2008 上的 NLB 会导致错误。
这是否意味着需要管理员帐户来配置服务器功能?如果是,那么在这种情况下管理员帐户的最佳做法是什么?或者这只是 Windows Server 2008 NLB 中的一个错误?
答案1
我会将其算作一个错误,但可能会有一些争议——发生的事情是 NLB 配置过程在某个阶段需要提升权限,但未能以触发提升提示的方式进行。在启用 UAC 的情况下,如果您使用内置管理员帐户,或者系统是域的一部分,则会触发域管理员帐户自动提升权限。“仅仅”是本地管理员组成员的帐户不会以这种方式行事,这会导致许多问题(例如,您无法使用帐户连接到 W2K8 系统上的远程管理共享,除非它是这本地管理员或域管理员成员)。
此行为可以通过 GPO 进行更改 - 详细信息请参见这篇 Technet 文章(它是关于 Vista 的,但它也适用于域中的 W2K8 服务器)。
答案2
这是我的做法:
- 我为每个管理员(需要一个)创建域管理员帐户。
- 这将是他们的用户名附加 user.name.adm 或类似的内容。
- 我将他们的电子邮件绑定到普通用户帐户,*.adm 帐户仅用于域管理功能,而不是上网
- 对于需要域管理员访问权限的服务(如 SCOM),我创建单独的帐户并生成极其复杂的密码keepass. 设置它并忘记它。
这是否意味着需要管理员帐户来配置服务器功能,如果是,那么在这种情况下管理员帐户的最佳做法是什么?
大多数服务器功能都需要以管理员身份进行配置,加入域后,进行 Active Directory 更改时需要域管理员身份。MSNLB 对 AD 和其他服务进行了一些更改,但我记不清在哪里了,最有可能是 DNS,但可能在 AD 中的各个容器上设置了其他选项。
此外,如果您刚刚设置了 MSNLB,请注意网络上的 ARP 请求。MSNLB 不喜欢与大型第 2 层网络配合良好,因此应将其划分为单独的网络。否则,它可能会导致一些恼人的网络问题。