Active Directory. Проводим профилактическое обслуживание::Журнал СА 7.2009
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 1943
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 1973
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1530
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1117
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1693
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

Электронка - 2020!

 Active Directory. Проводим профилактическое обслуживание

Архив номеров / 2009 / Выпуск №7 (80) / Active Directory. Проводим профилактическое обслуживание

Рубрика: Администрирование /  Продукты и решения

ИВАН КОРОБКО, сертифицированный специалист MCP, автор более 50 статей и двух книг.
Занимается созданием различных приложенийдля Active Directory

Active Directory. Проводим профилактическое обслуживание

Ядро контроллера домена – база данных AD, которая нуждается в обслуживании. Благодаря специально созданному для этого сервисному режиму, задача решается просто.

Данные в Active Directory автоматически оптимизируются каждые 12 часов в режиме реального времени. В ходе этой процедуры осуществляется перемещение данных из временных файлов непосредственно в файл базы ntds.dit. Но этого недостаточно, поскольку размер базы данных постоянно увеличивается при условии, что в Active Directory вносятся различные изменения: создаются новые учетные записи, изменяются их свойства и т.д.

Во время работы базы данных никаких работ по ее управлению провести невозможно, поскольку доступ к ней закрыт. Все работы по восстановлению, дефрагментации базы, проверки ее целостности можно провести в специально созданном сервисном режиме. Не стоит забывать о том, что любая база данных – это всего лишь набор файлов, а с другой стороны – набор таблиц, которые взаимосвязаны друг с другом.

Active Directory как часть файловой структуры

База данных Active Directory хранится на контроллере домена в файле NTFS.DIT, который находится в папке %SYSTEMROOT%\NTDS.

Файл базы данных имеет ряд особенностей, о которых всегда необходимо помнить:

  • Размер файла NTFS.DIT увеличивается фиксированными порциями, занимая целое число страниц, во избежание их дробления. Из-за этого размер каталога Active Directory всегда больше, чем он есть на самом деле.
  • В нормальном режиме функционирования домена файл базы данных всегда открыт и не может быть скопирован.
  • Размер открытого файла не обновляется. Фактический размер базы данных можно определить исходя из свободного пространства на жестком диске.
  • В подключенном состоянии база данных не может быть дефрагментирована. Для использования утилиты дефрагментации NTDSUTIL.EXE необходимо перезапустить домен в сервисном режиме.

Кроме файла NTDS.DIT в каталоге %SysytemRoot%\NTDS находятся вспомогательные файлы (см. рис. 1), функция которых кратко описана в таблице 1. Все перечисленные файлы обеспечивают две важных функции: отказоустойчивость базы данных и ее дефрагментацию в режиме реального времени.

Таблица 1. Файлы каталога NTDS

Название файла

Описание

NTDS.DIT

База данных Active Directory

EDD.CHK

Проверочный (checkpoint) файл

EDB.LOG

Журнал транзакций (событий). Все изменения, происходящие с каталогом Active Directory, содержатся в этом файле. Размер файла ограничивается 10 Мб.

EDBхххх.LOG

Вспомогательные журналы событий, которые создаются, когда файл EBD.LOG уже достиг 10 Мб, а данные еще не выгружены в файл NTDS.DIT. Соответственно каждый файл занимает не более 10 Мб дискового пространства

RES1.LOG

Резервный файл журнала событий

RES2.LOG

Резервный файл журнала событий

TEMP.EDB

Временный журнал, который содержит информацию о событиях, происходящих в настоящий момент

SHEMA.INI

Необязательный файл, используемый для инициализации файла NTDS.DIT во время загрузки контроллера домена

Рисунок 1. Содержимое каталога %SystemRoot%/NTDS

Рисунок 1. Содержимое каталога %SystemRoot%/NTDS

Active Directory как база данных

Файл NTDS.DIT представляет собой базу данных, состоящую из трех таблиц:

  • Схема каталога. В этой таблице хранится описание объектов: их атрибуты, соответствующие им типы данных и другая служебная информация. Схема Active Directory расширяется только в случае крайней необходимости, поэтому можно считать, что это статическая таблица.
  • Таблица ссылок. Здесь зафиксированы сопоставления полей, которые выполняются во время просмотра тех или иных значений администратором. Ярким примером является список групп, членами которых является выбранный пользователь (см. рис. 2). В каталоге Active Directory значением поля member является distinguishedname объекта. Администратор же видит не относительный составной путь к группе, а его отображаемое имя (поле cn). Таблица ссылок самая маленькая среди существующих и не поддается изменению.

Рисунок 2. Пример использования таблицы ссылок

Рисунок 2. Пример использования таблицы ссылок

  • Таблица данных. Это самая большая таблица, доступ к которой осуществляется с помощью мастеров Active Directory Users and Computers, Active Directory Sites and Services. В ней находится вся информация об объектах в домене: пользователях, группах и других сущностях, описанных в схеме. Также из этой таблицы осуществляется обращение к таблице ссылок и вывод значений, удобных для чтения.

Резервное копирование Active Directory

Перед дефрагментацией каталога Active Directory необходимо сделать резервную копию. Не стоит полагаться на собственный опыт и пренебрегать элементарными правилами работы системного администратора, ведь самое страшное, что может случиться, – это потеря данных, а не выход сервера из строя, как многие думают.

Резервное копирование, а точнее слепок состояния системы (System state), выполняется в нормальном режиме работы контроллера домена с помощью утилиты NTBACKUP.EXE. Эта процедура включает в себя копирование таких элементов как:

  • каталог Active Directory (файлы NTDS.DIT, EDB.CHK, EDB*.LOG, RES1.LOG, RES2.LOG);
  • системные компоненты (реестр, база зарегистрированных классов COM+, SYSVOL, кластер);
  • сервисы, связанные с функционированием Active Directory (сервер сертификатов, DNS).

Перечень компонентов зависит от конфигурации вашего домена.

Запуск утилиты осуществляется из командной строки с помощью команды NTBACKUP. Для создания резервной копии системы (System State) необходимо запустить соответствующий мастер, вызвав Backup Master в меню Tools и в предлагаемом меню выбрав вариант Only back up the System State data (см. рис. 3).

Рисунок 3. Запуск мастера создания резервной копии

Рисунок 3. Запуск мастера создания резервной копии

Далее остается выбрать путь резервного копирования системы и инициализировать процесс. Результатом работы мастера является файл с расширением BKF. По умолчанию предлагается имя backup.bkf.

Запуск контроллера домена в сервисном режиме

Для входа в сервисный режим контроллера домена его необходимо перезагрузить и вызвать меню загрузки с помощью клавиши <F8>, в появившемся меню (см. рис. 4) выбрать Directory Services Restore Mode. Режим представляет собой еще одну модификацию Safe Mode, созданного специально для управления базой данной Active Directory в сервисном режиме. Большинство манипуляций с базой Active Directory осуществляется с помощью утилиты NTDSUTIL.EXE, входящей в комплект операционной системы.

Рисунок 4. Вызов Directory Services Restore Mode

Рисунок 4. Вызов Directory Services Restore Mode

Возможности оболочки NTDSUTIL

Восстановление, дефрагментация и другие сервисные манипуляции с базой данных Active Directory осуществляются с помощью оболочки NTDSUTIL.EXE, лишенной графического интерфейса. По умолчанию файл NTDSUTIL.EXE находится в каталоге %SystemRoot%\System32.

После запуска оболочки необходимо инициализировать нужный режим работы с помощью одной из команд, приведенной в таблице 2.

Управление файлами NTDS базы данных

Для входа в режим управления файлами базы данных необходимо войти в режим FILES (см. таблицу 2). Для этого наберите FILES и нажмите клавишу <ENTER> в командной строке оболочки NTDSUTIL.

Таблица 2. Режимы работы утилиты NTDSUTIL

Команда

Описание режима работы

Authoritative restore

Надежное восстановление DIT базы данных

Configurable Settings

Настройка параметров соединения с доменом

Domain management

Подготовка к созданию нового домена

Files

Управление файлами NTDS базы данных

Group Membership Evaluation

Управление идентификаторами безопасности SID пользователей групп и пользователей

LDAP Policies

Управление политиками протокола LDAP

Metadata cleanup

Очистка метаданных

Roles

Управление ролями контроллера домена

Semantic database analysis

Семантический анализ базы данных

Set DSRM Password

Сброс пароля учетной записи администратора для безопасного режима восстановления каталога

Все профилактическое обслуживание Active Directory осуществляется в этом режиме. Работы состоят из нескольких этапов, которые могут исключаться, переставляться и т.д. В случае серьезных проблем с каталогом Active Directory приведенный регламент не подходит.

Проводимые работы можно разбить на три этапа:

  • получение информации о базе данных;
  • резервное копирование базы данных;
  • проверка на наличие ошибок в Active Directory.

Получение информации

Получаемая в ходе проверки информация позволит проконтролировать состояние файлов базы данных, внутренних взаимосвязей и получить реальный размер базы данных Active Directory. Для получения информации используются три команды:

CHECKSUM. Определяет контрольную сумму файла ба-зы данных NTDS.DIT. Одновременно определяется размер файла, количество страниц в Active Directory.

INFO. С помощью этой команды осуществляется анализ всех файлов (см. рис. 5), участвующих в процессе работы Active Directory (см. таблицу 1).

INTEGRITY. Осуществляется логическая проверка взаимосвязей в базе данных Active Directory.

Рисунок 5. Пример работы команды INFO

Рисунок 5. Пример работы команды INFO

Дефрагментация базы данных

Дефрагментация базы данных позволит сократить размер базы и убрать из нее «пустые» страницы. Для выполнения этой процедуры используют команду COMPACT TO %S, %S – путь к каталогу, в который будет записана дефрагментированная база данных Active Directory. Таким образом, используя дефрагментацию, администратор параллельно создает резервную копию Active Directory.

Проверка базы данных Active Directory

Для проверки и восстановления базы данных Active Directory используется команда RECOVER, которая инициализирует вызов утилиты esentutl.exe. После выполнения команды на экране появляется отчет (см. рис. 6).

Рисунок 6. Проверка базы данных Active Directory

Рисунок 6. Проверка базы данных Active Directory

Каждый новый пакет обновлений для сервера (service pack), каждая новая версия Windows Server таят в себе потенциальную опасность для целостности Active Directory. Регулярная проверка состояния базы данных позволит предотвратить неприятные последствия, а резервное копирование – восстановить ее максимально быстро. Вдобавок ко всему дефрагментация базы данных позволит увеличить скорость работы контроллера домена.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru