Active Directory. Проводим профилактическое обслуживание::Журнал СА 7.2009

ИВАН КОРОБКО, сертифицированный специалист MCP, автор более 50 статей и двух книг.
Занимается созданием различных приложенийдля Active Directory

Active Directory. Проводим профилактическое обслуживание

Ядро контроллера домена – база данных AD, которая нуждается в обслуживании. Благодаря специально созданному для этого сервисному режиму, задача решается просто.

Данные в Active Directory автоматически оптимизируются каждые 12 часов в режиме реального времени. В ходе этой процедуры осуществляется перемещение данных из временных файлов непосредственно в файл базы ntds.dit. Но этого недостаточно, поскольку размер базы данных постоянно увеличивается при условии, что в Active Directory вносятся различные изменения: создаются новые учетные записи, изменяются их свойства и т.д.

Во время работы базы данных никаких работ по ее управлению провести невозможно, поскольку доступ к ней закрыт. Все работы по восстановлению, дефрагментации базы, проверки ее целостности можно провести в специально созданном сервисном режиме. Не стоит забывать о том, что любая база данных – это всего лишь набор файлов, а с другой стороны – набор таблиц, которые взаимосвязаны друг с другом.

Active Directory как часть файловой структуры

База данных Active Directory хранится на контроллере домена в файле NTFS.DIT, который находится в папке %SYSTEMROOT%\NTDS.

Файл базы данных имеет ряд особенностей, о которых всегда необходимо помнить:

Размер файла NTFS.DIT увеличивается фиксированными порциями, занимая целое число страниц, во избежание их дробления. Из-за этого размер каталога Active Directory всегда больше, чем он есть на самом деле.
В нормальном режиме функционирования домена файл базы данных всегда открыт и не может быть скопирован.
Размер открытого файла не обновляется. Фактический размер базы данных можно определить исходя из свободного пространства на жестком диске.
В подключенном состоянии база данных не может быть дефрагментирована. Для использования утилиты дефрагментации NTDSUTIL.EXE необходимо перезапустить домен в сервисном режиме.

Кроме файла NTDS.DIT в каталоге %SysytemRoot%\NTDS находятся вспомогательные файлы (см. рис. 1), функция которых кратко описана в таблице 1. Все перечисленные файлы обеспечивают две важных функции: отказоустойчивость базы данных и ее дефрагментацию в режиме реального времени.

Таблица 1. Файлы каталога NTDS

Название файла	Описание
NTDS.DIT	База данных Active Directory
EDD.CHK	Проверочный (checkpoint) файл
EDB.LOG	Журнал транзакций (событий). Все изменения, происходящие с каталогом Active Directory, содержатся в этом файле. Размер файла ограничивается 10 Мб.
EDBхххх.LOG	Вспомогательные журналы событий, которые создаются, когда файл EBD.LOG уже достиг 10 Мб, а данные еще не выгружены в файл NTDS.DIT. Соответственно каждый файл занимает не более 10 Мб дискового пространства
RES1.LOG	Резервный файл журнала событий
RES2.LOG	Резервный файл журнала событий
TEMP.EDB	Временный журнал, который содержит информацию о событиях, происходящих в настоящий момент
SHEMA.INI	Необязательный файл, используемый для инициализации файла NTDS.DIT во время загрузки контроллера домена

Рисунок 1. Содержимое каталога %SystemRoot%/NTDS

Active Directory как база данных

Файл NTDS.DIT представляет собой базу данных, состоящую из трех таблиц:

Схема каталога. В этой таблице хранится описание объектов: их атрибуты, соответствующие им типы данных и другая служебная информация. Схема Active Directory расширяется только в случае крайней необходимости, поэтому можно считать, что это статическая таблица.
Таблица ссылок. Здесь зафиксированы сопоставления полей, которые выполняются во время просмотра тех или иных значений администратором. Ярким примером является список групп, членами которых является выбранный пользователь (см. рис. 2). В каталоге Active Directory значением поля member является distinguishedname объекта. Администратор же видит не относительный составной путь к группе, а его отображаемое имя (поле cn). Таблица ссылок самая маленькая среди существующих и не поддается изменению.

Рисунок 2. Пример использования таблицы ссылок

Таблица данных. Это самая большая таблица, доступ к которой осуществляется с помощью мастеров Active Directory Users and Computers, Active Directory Sites and Services. В ней находится вся информация об объектах в домене: пользователях, группах и других сущностях, описанных в схеме. Также из этой таблицы осуществляется обращение к таблице ссылок и вывод значений, удобных для чтения.

Резервное копирование Active Directory

Перед дефрагментацией каталога Active Directory необходимо сделать резервную копию. Не стоит полагаться на собственный опыт и пренебрегать элементарными правилами работы системного администратора, ведь самое страшное, что может случиться, – это потеря данных, а не выход сервера из строя, как многие думают.

Резервное копирование, а точнее слепок состояния системы (System state), выполняется в нормальном режиме работы контроллера домена с помощью утилиты NTBACKUP.EXE. Эта процедура включает в себя копирование таких элементов как:

каталог Active Directory (файлы NTDS.DIT, EDB.CHK, EDB*.LOG, RES1.LOG, RES2.LOG);
системные компоненты (реестр, база зарегистрированных классов COM+, SYSVOL, кластер);
сервисы, связанные с функционированием Active Directory (сервер сертификатов, DNS).

Перечень компонентов зависит от конфигурации вашего домена.

Запуск утилиты осуществляется из командной строки с помощью команды NTBACKUP. Для создания резервной копии системы (System State) необходимо запустить соответствующий мастер, вызвав Backup Master в меню Tools и в предлагаемом меню выбрав вариант Only back up the System State data (см. рис. 3).

Рисунок 3. Запуск мастера создания резервной копии

Далее остается выбрать путь резервного копирования системы и инициализировать процесс. Результатом работы мастера является файл с расширением BKF. По умолчанию предлагается имя backup.bkf.

Запуск контроллера домена в сервисном режиме

Для входа в сервисный режим контроллера домена его необходимо перезагрузить и вызвать меню загрузки с помощью клавиши <F8>, в появившемся меню (см. рис. 4) выбрать Directory Services Restore Mode. Режим представляет собой еще одну модификацию Safe Mode, созданного специально для управления базой данной Active Directory в сервисном режиме. Большинство манипуляций с базой Active Directory осуществляется с помощью утилиты NTDSUTIL.EXE, входящей в комплект операционной системы.

Рисунок 4. Вызов Directory Services Restore Mode

Возможности оболочки NTDSUTIL

Восстановление, дефрагментация и другие сервисные манипуляции с базой данных Active Directory осуществляются с помощью оболочки NTDSUTIL.EXE, лишенной графического интерфейса. По умолчанию файл NTDSUTIL.EXE находится в каталоге %SystemRoot%\System32.

После запуска оболочки необходимо инициализировать нужный режим работы с помощью одной из команд, приведенной в таблице 2.

Управление файлами NTDS базы данных

Для входа в режим управления файлами базы данных необходимо войти в режим FILES (см. таблицу 2). Для этого наберите FILES и нажмите клавишу <ENTER> в командной строке оболочки NTDSUTIL.

Таблица 2. Режимы работы утилиты NTDSUTIL

Команда	Описание режима работы
Authoritative restore	Надежное восстановление DIT базы данных
Configurable Settings	Настройка параметров соединения с доменом
Domain management	Подготовка к созданию нового домена
Files	Управление файлами NTDS базы данных
Group Membership Evaluation	Управление идентификаторами безопасности SID пользователей групп и пользователей
LDAP Policies	Управление политиками протокола LDAP
Metadata cleanup	Очистка метаданных
Roles	Управление ролями контроллера домена
Semantic database analysis	Семантический анализ базы данных
Set DSRM Password	Сброс пароля учетной записи администратора для безопасного режима восстановления каталога

Все профилактическое обслуживание Active Directory осуществляется в этом режиме. Работы состоят из нескольких этапов, которые могут исключаться, переставляться и т.д. В случае серьезных проблем с каталогом Active Directory приведенный регламент не подходит.

Проводимые работы можно разбить на три этапа:

получение информации о базе данных;
резервное копирование базы данных;
проверка на наличие ошибок в Active Directory.

Получение информации

Получаемая в ходе проверки информация позволит проконтролировать состояние файлов базы данных, внутренних взаимосвязей и получить реальный размер базы данных Active Directory. Для получения информации используются три команды:

CHECKSUM. Определяет контрольную сумму файла ба-зы данных NTDS.DIT. Одновременно определяется размер файла, количество страниц в Active Directory.

INFO. С помощью этой команды осуществляется анализ всех файлов (см. рис. 5), участвующих в процессе работы Active Directory (см. таблицу 1).

INTEGRITY. Осуществляется логическая проверка взаимосвязей в базе данных Active Directory.

Рисунок 5. Пример работы команды INFO

Дефрагментация базы данных

Дефрагментация базы данных позволит сократить размер базы и убрать из нее «пустые» страницы. Для выполнения этой процедуры используют команду COMPACT TO %S, %S – путь к каталогу, в который будет записана дефрагментированная база данных Active Directory. Таким образом, используя дефрагментацию, администратор параллельно создает резервную копию Active Directory.

Проверка базы данных Active Directory

Для проверки и восстановления базы данных Active Directory используется команда RECOVER, которая инициализирует вызов утилиты esentutl.exe. После выполнения команды на экране появляется отчет (см. рис. 6).

Рисунок 6. Проверка базы данных Active Directory

Каждый новый пакет обновлений для сервера (service pack), каждая новая версия Windows Server таят в себе потенциальную опасность для целостности Active Directory. Регулярная проверка состояния базы данных позволит предотвратить неприятные последствия, а резервное копирование – восстановить ее максимально быстро. Вдобавок ко всему дефрагментация базы данных позволит увеличить скорость работы контроллера домена.