圖1:角色專用版本
為了測試一個角色來確保它符合微軟的最佳實踐��,只需點擊“掃描該角色”鏈接�,如上圖所示�。掃描的持續(xù)時間根據(jù)你所選的角色和互聯(lián)網(wǎng)連接的速度而有所不同��。但是在大多數(shù)情況下,掃描應該在一分鐘內(nèi)完成�����。當掃描完成����,掃描結果都展示在BPA幀(圖2)中。
圖2:掃描結果
掃描本身基于一系列規(guī)則���。BPA對比角色的配置和各種規(guī)則來決定服務器是否與每條規(guī)則兼容���。舉例來說,上圖展示的掃描顯示�,該服務器兼容32條規(guī)則�����,而與另9條規(guī)則不兼容�����?����?刂婆_以不同的標簽來顯示兼容和兼容規(guī)則�,這樣更易于查看�。
上圖列出的不兼容規(guī)則已經(jīng)分解成一系列錯誤和警告。和預想的一樣���,警告沒有錯誤嚴重�����。例如���,一些警告在包括以下內(nèi)容的掃描中產(chǎn)生:
•所有域都應有至少兩個用于冗余的職能(functioning)域控制器。
•目錄分區(qū)DC=Lab、DC=COM應在6天內(nèi)備份�����。
•所有在這個域中的OU都應受到保護不至于遭受意外刪除����。
掃描期間顯示的錯誤信息暗示PDC競爭者管理者Lab-DC.lab.com在該林中應該配置來正確地從有效時間來源同步時間����。
如果這不是一臺實驗室服務器,列出的所有問題都可能變得相對嚴重�。那么是什么讓錯誤比警告更嚴重呢?Kerberos協(xié)議在認證過程期間使用時間戳��。如果時鐘放棄同步�����,那么整個活動目錄可能中止��。這就是時間同步問題列為錯誤而不是警告的原因�����。
雙擊該錯誤會顯示詳細概況和該錯誤的解決方法(圖3)。
圖3:詳情及解決方法
可能有些不兼容規(guī)則無法應用到管理員的環(huán)境中���。
在這類型情況中�,用戶可以通過選擇該規(guī)則并雙擊“排除結果”鏈接將其從結果列表中排除����。這造成了該錯誤或警告從非兼容標簽中移除并添加到排除標簽中。要將結果重新添加到非兼容標簽中���,進入排除標簽����,選擇該錯誤或警告并點擊“包含結果”鍵���。
BPA讓更正任何角色特定的配置問題都變得容易�。但是確定配置問題并不是一個一次性的任務��。在管理員修改已報告的任何問題后���,應該優(yōu)先周期性地重新掃描每個角色���,因為微軟一直不斷地更改其建議的最佳實踐�����。
