Active Directory. Проводим профилактическое обслуживание::Журнал СА 7.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6418
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7121
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4400
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3088
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3884
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3900
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6389
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3235
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3531
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7366
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14101
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9193
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7143
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5448
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4684
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3497
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3091
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Active Directory. Проводим профилактическое обслуживание

Архив номеров / 2009 / Выпуск №7 (80) / Active Directory. Проводим профилактическое обслуживание

Рубрика: Администрирование /  Продукты и решения

ИВАН КОРОБКО, сертифицированный специалист MCP, автор более 50 статей и двух книг.
Занимается созданием различных приложенийдля Active Directory

Active Directory. Проводим профилактическое обслуживание

Ядро контроллера домена – база данных AD, которая нуждается в обслуживании. Благодаря специально созданному для этого сервисному режиму, задача решается просто.

Данные в Active Directory автоматически оптимизируются каждые 12 часов в режиме реального времени. В ходе этой процедуры осуществляется перемещение данных из временных файлов непосредственно в файл базы ntds.dit. Но этого недостаточно, поскольку размер базы данных постоянно увеличивается при условии, что в Active Directory вносятся различные изменения: создаются новые учетные записи, изменяются их свойства и т.д.

Во время работы базы данных никаких работ по ее управлению провести невозможно, поскольку доступ к ней закрыт. Все работы по восстановлению, дефрагментации базы, проверки ее целостности можно провести в специально созданном сервисном режиме. Не стоит забывать о том, что любая база данных – это всего лишь набор файлов, а с другой стороны – набор таблиц, которые взаимосвязаны друг с другом.

Active Directory как часть файловой структуры

База данных Active Directory хранится на контроллере домена в файле NTFS.DIT, который находится в папке %SYSTEMROOT%\NTDS.

Файл базы данных имеет ряд особенностей, о которых всегда необходимо помнить:

  • Размер файла NTFS.DIT увеличивается фиксированными порциями, занимая целое число страниц, во избежание их дробления. Из-за этого размер каталога Active Directory всегда больше, чем он есть на самом деле.
  • В нормальном режиме функционирования домена файл базы данных всегда открыт и не может быть скопирован.
  • Размер открытого файла не обновляется. Фактический размер базы данных можно определить исходя из свободного пространства на жестком диске.
  • В подключенном состоянии база данных не может быть дефрагментирована. Для использования утилиты дефрагментации NTDSUTIL.EXE необходимо перезапустить домен в сервисном режиме.

Кроме файла NTDS.DIT в каталоге %SysytemRoot%\NTDS находятся вспомогательные файлы (см. рис. 1), функция которых кратко описана в таблице 1. Все перечисленные файлы обеспечивают две важных функции: отказоустойчивость базы данных и ее дефрагментацию в режиме реального времени.

Таблица 1. Файлы каталога NTDS

Название файла

Описание

NTDS.DIT

База данных Active Directory

EDD.CHK

Проверочный (checkpoint) файл

EDB.LOG

Журнал транзакций (событий). Все изменения, происходящие с каталогом Active Directory, содержатся в этом файле. Размер файла ограничивается 10 Мб.

EDBхххх.LOG

Вспомогательные журналы событий, которые создаются, когда файл EBD.LOG уже достиг 10 Мб, а данные еще не выгружены в файл NTDS.DIT. Соответственно каждый файл занимает не более 10 Мб дискового пространства

RES1.LOG

Резервный файл журнала событий

RES2.LOG

Резервный файл журнала событий

TEMP.EDB

Временный журнал, который содержит информацию о событиях, происходящих в настоящий момент

SHEMA.INI

Необязательный файл, используемый для инициализации файла NTDS.DIT во время загрузки контроллера домена

Рисунок 1. Содержимое каталога %SystemRoot%/NTDS

Рисунок 1. Содержимое каталога %SystemRoot%/NTDS

Active Directory как база данных

Файл NTDS.DIT представляет собой базу данных, состоящую из трех таблиц:

  • Схема каталога. В этой таблице хранится описание объектов: их атрибуты, соответствующие им типы данных и другая служебная информация. Схема Active Directory расширяется только в случае крайней необходимости, поэтому можно считать, что это статическая таблица.
  • Таблица ссылок. Здесь зафиксированы сопоставления полей, которые выполняются во время просмотра тех или иных значений администратором. Ярким примером является список групп, членами которых является выбранный пользователь (см. рис. 2). В каталоге Active Directory значением поля member является distinguishedname объекта. Администратор же видит не относительный составной путь к группе, а его отображаемое имя (поле cn). Таблица ссылок самая маленькая среди существующих и не поддается изменению.

Рисунок 2. Пример использования таблицы ссылок

Рисунок 2. Пример использования таблицы ссылок

  • Таблица данных. Это самая большая таблица, доступ к которой осуществляется с помощью мастеров Active Directory Users and Computers, Active Directory Sites and Services. В ней находится вся информация об объектах в домене: пользователях, группах и других сущностях, описанных в схеме. Также из этой таблицы осуществляется обращение к таблице ссылок и вывод значений, удобных для чтения.

Резервное копирование Active Directory

Перед дефрагментацией каталога Active Directory необходимо сделать резервную копию. Не стоит полагаться на собственный опыт и пренебрегать элементарными правилами работы системного администратора, ведь самое страшное, что может случиться, – это потеря данных, а не выход сервера из строя, как многие думают.

Резервное копирование, а точнее слепок состояния системы (System state), выполняется в нормальном режиме работы контроллера домена с помощью утилиты NTBACKUP.EXE. Эта процедура включает в себя копирование таких элементов как:

  • каталог Active Directory (файлы NTDS.DIT, EDB.CHK, EDB*.LOG, RES1.LOG, RES2.LOG);
  • системные компоненты (реестр, база зарегистрированных классов COM+, SYSVOL, кластер);
  • сервисы, связанные с функционированием Active Directory (сервер сертификатов, DNS).

Перечень компонентов зависит от конфигурации вашего домена.

Запуск утилиты осуществляется из командной строки с помощью команды NTBACKUP. Для создания резервной копии системы (System State) необходимо запустить соответствующий мастер, вызвав Backup Master в меню Tools и в предлагаемом меню выбрав вариант Only back up the System State data (см. рис. 3).

Рисунок 3. Запуск мастера создания резервной копии

Рисунок 3. Запуск мастера создания резервной копии

Далее остается выбрать путь резервного копирования системы и инициализировать процесс. Результатом работы мастера является файл с расширением BKF. По умолчанию предлагается имя backup.bkf.

Запуск контроллера домена в сервисном режиме

Для входа в сервисный режим контроллера домена его необходимо перезагрузить и вызвать меню загрузки с помощью клавиши <F8>, в появившемся меню (см. рис. 4) выбрать Directory Services Restore Mode. Режим представляет собой еще одну модификацию Safe Mode, созданного специально для управления базой данной Active Directory в сервисном режиме. Большинство манипуляций с базой Active Directory осуществляется с помощью утилиты NTDSUTIL.EXE, входящей в комплект операционной системы.

Рисунок 4. Вызов Directory Services Restore Mode

Рисунок 4. Вызов Directory Services Restore Mode

Возможности оболочки NTDSUTIL

Восстановление, дефрагментация и другие сервисные манипуляции с базой данных Active Directory осуществляются с помощью оболочки NTDSUTIL.EXE, лишенной графического интерфейса. По умолчанию файл NTDSUTIL.EXE находится в каталоге %SystemRoot%\System32.

После запуска оболочки необходимо инициализировать нужный режим работы с помощью одной из команд, приведенной в таблице 2.

Управление файлами NTDS базы данных

Для входа в режим управления файлами базы данных необходимо войти в режим FILES (см. таблицу 2). Для этого наберите FILES и нажмите клавишу <ENTER> в командной строке оболочки NTDSUTIL.

Таблица 2. Режимы работы утилиты NTDSUTIL

Команда

Описание режима работы

Authoritative restore

Надежное восстановление DIT базы данных

Configurable Settings

Настройка параметров соединения с доменом

Domain management

Подготовка к созданию нового домена

Files

Управление файлами NTDS базы данных

Group Membership Evaluation

Управление идентификаторами безопасности SID пользователей групп и пользователей

LDAP Policies

Управление политиками протокола LDAP

Metadata cleanup

Очистка метаданных

Roles

Управление ролями контроллера домена

Semantic database analysis

Семантический анализ базы данных

Set DSRM Password

Сброс пароля учетной записи администратора для безопасного режима восстановления каталога

Все профилактическое обслуживание Active Directory осуществляется в этом режиме. Работы состоят из нескольких этапов, которые могут исключаться, переставляться и т.д. В случае серьезных проблем с каталогом Active Directory приведенный регламент не подходит.

Проводимые работы можно разбить на три этапа:

  • получение информации о базе данных;
  • резервное копирование базы данных;
  • проверка на наличие ошибок в Active Directory.

Получение информации

Получаемая в ходе проверки информация позволит проконтролировать состояние файлов базы данных, внутренних взаимосвязей и получить реальный размер базы данных Active Directory. Для получения информации используются три команды:

CHECKSUM. Определяет контрольную сумму файла ба-зы данных NTDS.DIT. Одновременно определяется размер файла, количество страниц в Active Directory.

INFO. С помощью этой команды осуществляется анализ всех файлов (см. рис. 5), участвующих в процессе работы Active Directory (см. таблицу 1).

INTEGRITY. Осуществляется логическая проверка взаимосвязей в базе данных Active Directory.

Рисунок 5. Пример работы команды INFO

Рисунок 5. Пример работы команды INFO

Дефрагментация базы данных

Дефрагментация базы данных позволит сократить размер базы и убрать из нее «пустые» страницы. Для выполнения этой процедуры используют команду COMPACT TO %S, %S – путь к каталогу, в который будет записана дефрагментированная база данных Active Directory. Таким образом, используя дефрагментацию, администратор параллельно создает резервную копию Active Directory.

Проверка базы данных Active Directory

Для проверки и восстановления базы данных Active Directory используется команда RECOVER, которая инициализирует вызов утилиты esentutl.exe. После выполнения команды на экране появляется отчет (см. рис. 6).

Рисунок 6. Проверка базы данных Active Directory

Рисунок 6. Проверка базы данных Active Directory

Каждый новый пакет обновлений для сервера (service pack), каждая новая версия Windows Server таят в себе потенциальную опасность для целостности Active Directory. Регулярная проверка состояния базы данных позволит предотвратить неприятные последствия, а резервное копирование – восстановить ее максимально быстро. Вдобавок ко всему дефрагментация базы данных позволит увеличить скорость работы контроллера домена.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru