В каком файле база ad

Обновлено: 05.07.2024

При установке доменных служб Active Directory следует указать, где на сервере будут размещаться база данных Active Directory, файлы журналов и общая папка SYSVOL. В базе данных хранятся сведения о пользователях, компьютера и других объектах в сети. В файлы журналов записываются действия, связанные со службой AD DS, такие как сведения об изменяемом объекте. В папке SYSVOL хранятся объекты и сценарии групповой политики. По умолчанию SYSVOL является частью файлов операционной системы в каталоге %windir%.

Решая, где размещать файлы службы AD DS, учитывайте следующие факторы:

Вопросы резервного копирования и восстановления при размещении файлов службы AD DS

Для простой установки, в которой в сервере установлен только один жесткий диск, можно просто принять значения параметров, по умолчанию предлагаемые мастером установки службы AD DS. Но необходимо создать на этом единственном жестком диске не менее двух томов. Один том необходим для данных критического тома, а другой - для резервного копирования.

При использовании для резервного копирования сервера системы резервного копирования Windows Server или средства командной строки Wbadmin.exe необходимо выполнить резервное копирование, по крайней мере, данных о состоянии системы, необходимых для восстановления сервера. Том, используемый для хранения резервных копий, не может совпадать с томом, на котором размещены данные о состоянии системы. Это требование может повлиять на выбор места размещения файлов службы AD DS. Системные компоненты, включаемые в данные о состоянии системы, зависят от ролей сервера, установленных на компьютере. Данные о состоянии системы включают как минимум данные, указанные ниже, а также дополнительные данные в зависимости от установленных ролей сервера.

Например, при установке службы AD DS на сервер с единственным жестким диском, для обеспечения резервных копий можно создать следующие логические тома:

    диск C, содержащий все данные критических томов;

Вопросы производительности для размещения файлов службы AD DS

Для более сложных установок можно настроить пространство жестких дисков, чтобы оптимизировать производительность службы AD DS. Так как файлы базы данных и журналов дисковое пространство используют по-разному, можно повысить производительность службы AD DS, выделяя для этих типов файлов физически разные жесткие диски.

Например, пусть в сервере доступно четыре жестких диска со следующими метками:

    диск C, содержащий файлы операционной системы;

Производительность службы AD DS на этом сервере можно повысить, установив файлы базы данных и файлы журналов на отдельные диски, специально выделенные для этих ресурсов, например диски D и E. Это может помочь повысить производительность поиска в базе данных, так как один из физических дисков будет полностью посвящен этому виду действий. Даже если одновременно выполняется большое количество изменений, подобная конфигурация также уменьшает вероятность появления узких мест на диске с файлами журналов. Папку SYSVOL можно разместить на диске C с файлами операционной системы.

Задача: Получить информацию, где располагаются рабочие файлы базы данных Active Directory домена polygon.local.

Домен контроллер – dc1.polygon.local с поднятый ролью Active Directory

Система: Windows Server 2008 R2 Standard.

Для выполнения поставленной задачи, нужно будет загрузить систему с домен контроллером в режиме Directory Services Restore Mode по клавише F 8 .

Загружаем систему с домен контроллером в режиме Directory Services Restore Mode по клавише F8

Когда система загрузится, зайдём на dc1 локально под системной учётной записью Administrator’а и паролем Aa1234567

Заходим в систему локально под учетной записью: Administrator

Откроем командную строку (Win + R и наберём cmd.exe) и создадим на системном диске C : два каталога: DB и Logs :

Создадим на системной диске два каталога: DB & Logs

Далее запустим утилиту ntdsutil :

Ntdsutil: activate instance ntds

Ntdsutil: Files

File maintenance: info (Прочитаем информацию о рабочих файлах базы данных AD.)

Читаем информацию о рабочих файлах базы данных AD

file maintenance: move db to c:\db (скопируем базу в созданный каталог c:\db)

Successfully updated the backup exclusion key.

The previous NTDS database location C:\Windows\NTDS\dsadata.bak is unavailable.

The default NTFS security will be applied to NTDS folders.

Default NTFS security on NTDS folders will be set on reboot.

C:\ NTFS (Fixed Drive ) free(14.6 Gb) total(24.9 Gb)

D:\ NTFS (Fixed Drive ) free(19.5 Gb) total(19.9 Gb)

DS Path Information:

Backup dir : c:\db\DSADATA.BAK

Working dir: c:\db

Move database is successful.

Please make a backup immediately else restore will not retain the new file

file maintenance: move logs to c:\logs (скопируем логи в созданный каталог c:\logs)

Successfully updated the backup exclusion key.

C:\ NTFS (Fixed Drive ) free(14.6 Gb) total(24.9 Gb)

D:\ NTFS (Fixed Drive ) free(19.5 Gb) total(19.9 Gb)

DS Path Information:

Backup dir : c:\db\DSADATA.BAK

Working dir: c:\db

If move log files was successful,

please make a backup immediately else restore

will not retain the new file location.

Выходим из консоли :

File maintenance: quit

Ntdsutil: quit

Теперь перезагружаем систему в обычном режиме. Открываем каталоги C:\DB и C:\Logs и смотрим их содержимое.

Вот так по шагам можно скопировать базу данных Active Directory имея физический доступ к серверу. На этом всё, удачи!

Данные в Active Directory автоматически оптимизируются каждые 12 часов в режиме реального времени. В ходе этой процедуры осуществляется перемещение данных из временных файлов непосредственно в файл базы ntds.dit. Но этого недостаточно, поскольку размер базы данных постоянно увеличивается при условии, что в Active Directory вносятся различные изменения: создаются новые учетные записи, изменяются их свойства и т.д.

Во время работы базы данных никаких работ по ее управлению провести невозможно, поскольку доступ к ней закрыт. Все работы по восстановлению, дефрагментации базы, проверки ее целостности можно провести в специально созданном сервисном режиме. Не стоит забывать о том, что любая база данных – это всего лишь набор файлов, а с другой стороны – набор таблиц, которые взаимосвязаны друг с другом.

Active Directory как часть файловой структуры

База данных Active Directory хранится на контроллере домена в файле NTFS.DIT, который находится в папке %SYSTEMROOT%\NTDS.

Файл базы данных имеет ряд особенностей, о которых всегда необходимо помнить:

  • Размер файла NTFS.DIT увеличивается фиксированными порциями, занимая целое число страниц, во избежание их дробления. Из-за этого размер каталога Active Directory всегда больше, чем он есть на самом деле.
  • В нормальном режиме функционирования домена файл базы данных всегда открыт и не может быть скопирован.
  • Размер открытого файла не обновляется. Фактический размер базы данных можно определить исходя из свободного пространства на жестком диске.
  • В подключенном состоянии база данных не может быть дефрагментирована. Для использования утилиты дефрагментации NTDSUTIL.EXE необходимо перезапустить домен в сервисном режиме.

Кроме файла NTDS.DIT в каталоге %SysytemRoot%\NTDS находятся вспомогательные файлы (см. рис. 1), функция которых кратко описана в таблице 1. Все перечисленные файлы обеспечивают две важных функции: отказоустойчивость базы данных и ее дефрагментацию в режиме реального времени.

Таблица 1. Файлы каталога NTDS

База данных Active Directory

Проверочный (checkpoint) файл

Журнал транзакций (событий). Все изменения, происходящие с каталогом Active Directory, содержатся в этом файле. Размер файла ограничивается 10 Мб.

Вспомогательные журналы событий, которые создаются, когда файл EBD.LOG уже достиг 10 Мб, а данные еще не выгружены в файл NTDS.DIT. Соответственно каждый файл занимает не более 10 Мб дискового пространства

Резервный файл журнала событий

Резервный файл журнала событий

Временный журнал, который содержит информацию о событиях, происходящих в настоящий момент

Необязательный файл, используемый для инициализации файла NTDS.DIT во время загрузки контроллера домена

Рисунок 1. Содержимое каталога %SystemRoot%/NTDS

Active Directory как база данных

Файл NTDS.DIT представляет собой базу данных, состоящую из трех таблиц:

  • Схема каталога. В этой таблице хранится описание объектов: их атрибуты, соответствующие им типы данных и другая служебная информация. Схема Active Directory расширяется только в случае крайней необходимости, поэтому можно считать, что это статическая таблица.
  • Таблица ссылок. Здесь зафиксированы сопоставления полей, которые выполняются во время просмотра тех или иных значений администратором. Ярким примером является список групп, членами которых является выбранный пользователь (см. рис. 2). В каталоге Active Directory значением поля member является distinguishedname объекта. Администратор же видит не относительный составной путь к группе, а его отображаемое имя (поле cn). Таблица ссылок самая маленькая среди существующих и не поддается изменению.

Рисунок 2. Пример использования таблицы ссылок

  • Таблица данных. Это самая большая таблица, доступ к которой осуществляется с помощью мастеров Active Directory Users and Computers, Active Directory Sites and Services. В ней находится вся информация об объектах в домене: пользователях, группах и других сущностях, описанных в схеме. Также из этой таблицы осуществляется обращение к таблице ссылок и вывод значений, удобных для чтения.

Резервное копирование Active Directory

Перед дефрагментацией каталога Active Directory необходимо сделать резервную копию. Не стоит полагаться на собственный опыт и пренебрегать элементарными правилами работы системного администратора, ведь самое страшное, что может случиться, – это потеря данных, а не выход сервера из строя, как многие думают.

Резервное копирование, а точнее слепок состояния системы (System state), выполняется в нормальном режиме работы контроллера домена с помощью утилиты NTBACKUP.EXE. Эта процедура включает в себя копирование таких элементов как:

Перечень компонентов зависит от конфигурации вашего домена.

Запуск утилиты осуществляется из командной строки с помощью команды NTBACKUP. Для создания резервной копии системы (System State) необходимо запустить соответствующий мастер, вызвав Backup Master в меню Tools и в предлагаемом меню выбрав вариант Only back up the System State data (см. рис. 3).

Рисунок 3. Запуск мастера создания резервной копии

Далее остается выбрать путь резервного копирования системы и инициализировать процесс. Результатом работы мастера является файл с расширением BKF. По умолчанию предлагается имя backup.bkf.

Запуск контроллера домена в сервисном режиме

Для входа в сервисный режим контроллера домена его необходимо перезагрузить и вызвать меню загрузки с помощью клавиши <F8>, в появившемся меню (см. рис. 4) выбрать Directory Services Restore Mode. Режим представляет собой еще одну модификацию Safe Mode, созданного специально для управления базой данной Active Directory в сервисном режиме. Большинство манипуляций с базой Active Directory осуществляется с помощью утилиты NTDSUTIL.EXE, входящей в комплект операционной системы.

Рисунок 4. Вызов Directory Services Restore Mode

Возможности оболочки NTDSUTIL

Восстановление, дефрагментация и другие сервисные манипуляции с базой данных Active Directory осуществляются с помощью оболочки NTDSUTIL.EXE, лишенной графического интерфейса. По умолчанию файл NTDSUTIL.EXE находится в каталоге %SystemRoot%\System32.

После запуска оболочки необходимо инициализировать нужный режим работы с помощью одной из команд, приведенной в таблице 2.

Управление файлами NTDS базы данных

Для входа в режим управления файлами базы данных необходимо войти в режим FILES (см. таблицу 2). Для этого наберите FILES и нажмите клавишу <ENTER> в командной строке оболочки NTDSUTIL.

Таблица 2. Режимы работы утилиты NTDSUTIL

Описание режима работы

Надежное восстановление DIT базы данных

Настройка параметров соединения с доменом

Подготовка к созданию нового домена

Управление файлами NTDS базы данных

Group Membership Evaluation

Управление идентификаторами безопасности SID пользователей групп и пользователей

Управление политиками протокола LDAP

Управление ролями контроллера домена

Semantic database analysis

Семантический анализ базы данных

Set DSRM Password

Сброс пароля учетной записи администратора для безопасного режима восстановления каталога

Все профилактическое обслуживание Active Directory осуществляется в этом режиме. Работы состоят из нескольких этапов, которые могут исключаться, переставляться и т.д. В случае серьезных проблем с каталогом Active Directory приведенный регламент не подходит.

Проводимые работы можно разбить на три этапа:

  • получение информации о базе данных;
  • резервное копирование базы данных;
  • проверка на наличие ошибок в Active Directory.

Получаемая в ходе проверки информация позволит проконтролировать состояние файлов базы данных, внутренних взаимосвязей и получить реальный размер базы данных Active Directory. Для получения информации используются три команды:

CHECKSUM. Определяет контрольную сумму файла ба-зы данных NTDS.DIT. Одновременно определяется размер файла, количество страниц в Active Directory.

INFO. С помощью этой команды осуществляется анализ всех файлов (см. рис. 5), участвующих в процессе работы Active Directory (см. таблицу 1).

INTEGRITY. Осуществляется логическая проверка взаимосвязей в базе данных Active Directory.

Рисунок 5. Пример работы команды INFO

Дефрагментация базы данных

Дефрагментация базы данных позволит сократить размер базы и убрать из нее «пустые» страницы. Для выполнения этой процедуры используют команду COMPACT TO %S, %S – путь к каталогу, в который будет записана дефрагментированная база данных Active Directory. Таким образом, используя дефрагментацию, администратор параллельно создает резервную копию Active Directory.

Проверка базы данных Active Directory

Для проверки и восстановления базы данных Active Directory используется команда RECOVER, которая инициализирует вызов утилиты esentutl.exe. После выполнения команды на экране появляется отчет (см. рис. 6).

Рисунок 6. Проверка базы данных Active Directory

Каждый новый пакет обновлений для сервера (service pack), каждая новая версия Windows Server таят в себе потенциальную опасность для целостности Active Directory. Регулярная проверка состояния базы данных позволит предотвратить неприятные последствия, а резервное копирование – восстановить ее максимально быстро. Вдобавок ко всему дефрагментация базы данных позволит увеличить скорость работы контроллера домена.

date

10.11.2014

directory

Active Directory

comments

Комментариев пока нет

В этой статье мы покажем, как перенести базу данных и транзакционные логи Active Directory из одного каталога в другой. Данный мануал может пригодится, когда нужно перенести базу AD на другой диск (в ситуациях, когда на первоначальном диске закончилось свободное место или при недостаточной производительности дисковой подсистемы), либо перенести файлы AD в другой каталог (например, в рамках приведения к стандартному виду путей к БД AD на всех контроллерах домена предприятия).

Перенос файлов базы данных Active Directory возможен только при остановленных службах Active Directory Domain Services. Для переноса мы воспользуемся утилитой ntdsutil.

Перед началом переноса базы и файлов журналов транзакций Active Directory нужно убедится, что диск, на который планируется перенос подключен к системе, а целевая папка создана.

Важно! Для хранения базы данных Active Directory нельзя использовать съемный диск. Диск должен быть отформатирован в файловой системе NTFS. Файловые системы FAT/FAT32/ReFS/ExFAT не поддерживаются.

Операция переноса должна выполняться из-под учетной записи администратора домена / предприятия (группы Domain Admins/Enterprise Admins).

Перенос базы и журналов транзакций Active Directory на контроллере домена во всех поддерживаемых на данный момент серверных ОС Microsoft практически идентичен за исключением пары моментов.

Перенос NTFS разрешений каталога NTDS

Очень важно при переносе файлов базы и журналов AD, чтобы на новый каталог действовали те же самые разрешения, что и на исходный. NTFS разрешения на новый каталог можно назначить вручную или скопировать такой командой Powershell:

Копирование и перенос NTFS разрешений на каталог C:\Windows\NTDS с помощью

где, C:\Windows\NTDS – первоначальный каталог с базой AD

E:\NTDS – каталог, в который производится перенос

Перенос БД AD в Windows Server 2008/2008 R2

В Windows Server 2008 / 2008 R2 роль Active Directory является отдельной службой (ADDS), которую можно остановить, без необходимости перезагружать сервер в режиме восстановления каталога (DSRM). Чтобы остановить службу Active Directory Domain Services, откройте командную строку с правами администратора и выполните команду:

И подтвердить остановку службы нажав Y и Enter.

Остановить службы Active Directory в Windows Server 2008

Далее в этой же командной строке запускаем утилиту ntdsutil:

ntdsutil

Совет. Ранее мы уже писали, как с помощью ntdsutil можно выполнить различные операции по обслуживанию и управлению метаданными в базе AD. Например:

Выберем активный экземпляр базы AD:

activate instance NTDS - выбор текущего экземпляра базы AD

Перейдем в контекст files, в котором возможно выполнение операция с файлами базы AD, набрав к командной строке:

Контекст файлов в ntdsutil


Перенесем базу AD в новый каталог:

Перенос базы Active Directory на другой диск

Убедимся, что база данных Active Directory теперь находится в другом каталоге, набрав в командной строке ntdsutil:

ntdsutil info

Далее переместим в тот же каталог файлы с журналами транзакций:

Удостоверимся, что все перенесено корректно, открыв целевой каталог в проводнике.

Новый каталог для базы и логов Active Directory

ntdsutil quit

Осталось в контексте ntdsutil дважды набрать quit.

Запустим службу Active Directory Domain Services командой:

Важно. После выполнения операции переноса в обязательном порядке выполнить резервное копирование контроллера домена, чтобы иметь актуальную резервную копию базы AD с новыми путями.

Перенос БД AD в Windows Server 2012/2012 R2

В Windows Server 2012/ 2012 R2 процедура переноса базы аналогична описанной в предыдущем разделе для Windows Server 2008/2008 R2 и также не требует входа в DSRM режим.

Останавливаем службу Active Directory Domain Services:

Остановка службы Active Directory Domain Services

Откроем командную строку и последовательно выполним команды:

Перенос базы и журналов AD в Windows Server 2012 R2

Запустим службу ADDS:

Перенос базы AD в Windows Server 2003

В отличии от более новых платформ, служба каталога Directory Service в Windows Server 2003 / 2003 R2 использует файлы БД Active Directory в монопольном режиме. Это означает, что при работе сервера в роли контроллера домена доступ к этим файлам получить нельзя. Выполнить перенос файлов базы AD можно только в режиме восстановления Directory Services Restore Mode.

Режим восстановлнеия контроллера домена в Windows 2003

Чтобы попасть в DSRM режим, нужно перезагрузить DC и, нажав во время загрузки F8, выбрать в меню пункт Directory Services Restore Mode (Windows domain controllers only).

Осталось зайти в систему с паролем администратора DSRM (задается при развертывания контроллера домена), а далее отработать по уже описанной выше процедуре переноса с помощью ntdsutil.

После окончания переноса базы, сервер нужно перезагрузить в обычном режиме.

Как говорилось в гл. 2, база данных Active Directory хранится в файле по имени Ntds.dit, который по умолчанию расположен в папке %systemroot %\NTDS. Эта папка содержит также следующие файлы.

Совет.Если вы работали с какой-либо из недавних версий Microsoft Exchange Server, то это обсуждение компонентов и процессов базы данных Active Directory будет звучать для вас очень знакомым. База данных Active Directory - это та же самая база данных, которая развертывается с Exchange Server 4 или более поздними версиями.
Каждая модификация к базе данных Active Directory называется транзакцией. Транзакция может состоять из нескольких шагов. Например, когда пользователь перемещается из одной организационной единицы (OU) в другую, в OU-адресате должен быть создан новый объект, а в OU-источнике удален старый объект. Чтобы транзакция была закончена, оба шага должны быть выполнены, если один из шагов потерпит неудачу, вся транзакция должна получить откат, чтобы никакой шаг не был засчитан. Когда все шаги в транзакции выполнены, транзакция считается законченной. Используя модель транзакций, система Windows Server 2003 гарантирует, что база данных всегда остается в согласованном состоянии.
Всякий раз, когда в базе данных Active Directory делается какое-либо изменение (например, изменяется номер телефона пользователя), оно сначала записывается в журнал транзакций. Поскольку журнал транзакций является текстовым файлом, в котором изменения записываются последовательно, то запись в журнал транзакций происходит намного быстрее, чем запись в базу данных. Поэтому использование журналов транзакций улучшает работу контроллера домена.
Как только транзакция была записана в журнал транзакций, контроллер домена загружает страницу базы данных, содержащую пользовательский объект, в память (если она еще не находится в памяти). Все изменения к базе данных Active Directory делаются в памяти контроллера домена. Контроллер домена использует максимально доступный объем памяти, и хранит в памяти максимально большую часть базы данных Active Directory. Контроллер домена удаляет страницы базы данных из памяти только тогда, когда свободная память становится ограниченной, или когда контроллер домена выключается. Изменения, сделанные к страницам базы данных, переписываются в базу данных только тогда, когда сервер мало используется или при его выключении.
Журналы транзакций не только улучшают работу контроллера домена, обеспечивая место для быстрой записи изменений, но и обеспечивают возможность восстановления данных в случае отказа сервера. Например, если было сделано изменение, относящееся к Active Directory, то оно записывается в журнал транзакций, а затем на страницу базы данных, находящуюся в памяти сервера. Если в этот момент сервер неожиданно выключается, то изменения не будут переданы из памяти сервера в базу данных. Когда контроллер домена будет перезапущен, он найдет в журнале все транзакции, которые еще не были переданы в базу данных. Затем эти изменения применятся к базе данных при запуске служб контроллера домена. В процессе этого восстановления используется файл контрольной точки. Файл контрольной точки является указателем на то, какие транзакции из имеющихся в журнале транзакций, были переписаны в базу данных. В процессе восстановления контроллер домена читает файл контрольной точки, определяя, какие транзакции были переданы базе данных, а затем он добавляет в базу данных изменения, которые еще не были переданы.

Планирование.Использование журналов транзакций улучшает работу контроллеров домена и увеличивает возможность восстановления данных в случае неожиданного выключения сервера.
Эти преимущества максимальны, если журнал транзакций и база данных расположены на отдельных жестких дисках.
Служба Active Directory Windows Server 2003 сконфигурирована для циркулярной (circular) регистрации, и эта конфигурация не может быть изменена. При циркулярной регистрации сохраняются только те предшествующие журналы, содержащие транзакции, которые не были переписаны в базу данных. По мере передачи информации из предшествующего журнала в базу данных журнал удаляется. Циркулярная регистрация предотвращает потерю данных в случае сбоя на жестком диске вашего контроллера домена, когда вы будете восстанавливать базу данных из резервной копии. Предположим, что вы выполняете резервное копирование Active Directory каждую ночь, но жесткий диск вашего контроллера домена сломался в 17:00, после того как вы сделали несколько сотен изменений к базе данных в течение дня. По мере выполнения изменений предшествующие журналы транзакций удалялись, поскольку информация из них передавалась в базу данных Active Directory. Когда вы восстановите базу данных к состоянию, соответствующее резервной копии предыдущей ночи, все изменения, которые вы сделали в течение дня, будут потеряны.
Единственный способ предотвратить эту потерю данных состоит в развертывании, по крайней мере, двух контроллеров домена, которые реплицируют информацию друг другу в течение дня. Если произойдет сбой на одном из ваших контроллеров домена, то вы сможете восстановить на нем базу данных из резервной копии, а все вы изменения, сделанные в течение дня, будут скопированы на восстановленный сервер.

Читайте также: