:::: MENU ::::

Provádění údržby databáze AD DS

Jedním z vašich úkolů správce v systému Windows Server ® 2008 bude udržovat řadiče domény Active Directory ® Domain Services (AD DS). Důležitou součástí udržování domény jsou off-line defragmentace, úpravy pomocí NTDSUtil.exe, uzamykání služeb, atd…

alt

Každá databáze AD má vlastní databázový engine ESE (Extensible Storage Engine), který řídí uchovávání všech objektů AD DS v databázi. ESE používá pro ukládání jak samotnou databázi, tak dočasné transakční logy, které se po zaplnění (10MB) a ověření integrity zapisují do databáze AD DS.

AD DS úložiště obsahuje následující soubory:

Soubor

Popis

Ntds.dit AD DS databáze, která ukládá všechny objekty AD DS na každém řadiči domény. Výchozí umístění je %systemroot%\NTDS.
Edb*.log Soubor transakčního logu uchovává evidenci transakcí. Každý transakční log má velikost 10 megabajtů (MB). AD DS zaznamenává každou transakci v jednom nebo více souborů protokolu transakcí, které jsou spojeny se souborem Ntds.dit. Když je Edb.log plný, AD DS ho přejmenuje na Edbnnnnn.log, kde nnnnn je stále větší počet, který začíná na 1.
Edb.chk Soubor checkpointu je používán pro sledování dat, která ještě nejsou zapsána z transakčních logů do samotné databáze. Díky tomu při výpadku serveru je možne zjistit, jaká data již byla (a jaká ne) zapsána. Díky checkpointu jsou po ověřeném zapsání do databáze transakční logy postupně mazány.
ebdres00001.jrs and ebdres00002.jrs Vyhrazené soubory protokolu transakcí. Vyhrazené místo na disku se používá k ukládání transakcí pouze v případě, že pevný disk má dostatečný prostor pro vytvoření nových protokolů transakcí.

 

Jak se provádějí změny do AD DS databáze.

alt

Transakce je soubor změn provedených v databázi AD DS a související metadata.

Samotný proces změny dat v AD DS databázi se skládá z šesti kroků:
Napsáním žádosti (Write request) se zahájí transakce

  1. AD DS zapíše transakci do transakčního bufferu
  2. AD DS zapíše transakci do transakčního logu (EDB.log)
  3. AD DS zapíše transakci z transakčního bufferu do databáze
  4. AD DS porovná zápis transakce v databázi se zápisem v transakčním logu a ověří, že zápis byl úspěšný
  5. AD DS aktualizuje checkpoint soubor zápisem o úspěšném uložení do databáze

Při výpadku serveru AD DS automaticky porovnávají transkace s checkpoint souborem a transakčními logy, pokud neexistuje zápis o úspěšném zapsání do databáze, proces se zopakuje (bod. 4)

Správa databáze AD DS pomocí nástroje NTDSUtil

alt

Ntdsutil.exe je nízkoúrovňový nástroj pro správu AD DS databáze, kde je možné provádět určité úpravy, které pomocí grafických konzol (GUI) nejsou možné, jako přesunutí databázového souboru na jiné umístění, Autoritativní obnova databáze, změna hesla pro Security Account Management, off-line defragmentace databáze, tvorba Snapshot databáze a mnoho dalších.

AD DS databáze a její defragmentace

alt

Defragmentace je proces přepisování záznamů v databázi AD DS na přilehlé (Side-by-side) sektory disku, což snižuje velikost databáze, zvyšuje rychlost přístupu a načítání a pomáhá optimalizovat výkon databáze. AD DS je možné defragmentovat pomocí on-line defragmentace (za chodu AD DS) a off-line defragmentace (služby AD DS nejsou pro uživatele dostupné).

On-line defragmentace

  • je prováděna automaticky, a to každých 12 hodin
  • během on-line defragmentace dojde k reorganizaci záznamů (čištění), ale nevyužitý databázový prostor po reorganizaci je ponechán na místě.

Off-line defragmentace

  • je zapotřebí nástroj ntdsutil.exe
  • během procesu je vytvářena kopie nově uspořádané databáze, která po dokončení přepíše původní
  • během procesu je vyčištěn nevyužitý databázový prostor, tím dojde ke snížení celkové velikosti databáze

před off-line defragmentací doporučuji zálohu souboru Ntds.dit

Co jsou restartovatelné služby AD DS

alt

V Systému Windows Server 2008 je možné zastavit a restartovat služby AD DS za chodu serveru. V předchozích verzích musel správce restartovat server a nabootovat pomocí Active Directory Restore Mode, kde teprve mohl provádět údržbu v režimu offline, jako je defragmentace v režimu offline nebo přesunutí databáze. Pomocí systému Windows Server 2008 můžete AD DS kdykoliv přepnout do stavu offline s minimálním dopadem na další služby.

Pro všechny DC systému Windows Server 2008 existují tři možné stavy:

Stav

Co to dělá:

AD DS Spušťený V tomto stavu se automaticky každý DC spoušťí.
AD DS Zastaven V tomto stavu je AD DS zastaven. Přestože je tento režim jedinečný, server má některé charakteristické rysy jako ve stavu DSRM (Directory Services Restore Mode). Stejně jako u DSRM je lokální DC offline, ale je možné kontaktovat ostatní DC pro přihlášení. V tomto režimu je možné provádět např. off-line defragmentaci, ale pro obnovení celé databáze AD DS jen nutné použít mód DSRM.
DSRM (Directory Services Restore Mode) Tento režim je stejný a to od systému Windows Server 2003. V režimu DSRM jsou všechny služby AD DS offline, takže můžete obnovit AD DS databázi ze zálohy.

 

Zastavením služby AD DS se současně zastaví služby:

  • Kerberos Key Distribution Center (KDC)
  • Intersite Messaging
  • File Replication Service (FRS)
  • DNS Server

Uzamčení služeb na doménovém řadiči (Locking Down Services on Domain Controller)

alt

 

Jako součást komplexního bezpečnostního plánu můžete zvýšit zabezpečení řadiče domény tím, že odstraníte všechny nepotřebné služby a funkce. Tím se snižuje riziko útoku a zlepšuje výkon systému. V samotném provedení pak můžete manuálně zakázat nepotřebné služby, nebo využít SCW (Security Configuration Wizard), který zastavení služeb provede za vás na základě zvolených rolí serveru.

Pro optimální chod AD DS jsou zapotřebí tyto služby:

  • Active Directory Domain Services
  • DNS Client
  • NetLogon
  • TCP/IP NetBIOS Helper
  • Windows Time
  • Workstation
  • Distributed File System
  • DNS Server
  • File Replication Service
  • Kerberos Key Distribution Center
  • Intersite Messaging
  • Remote Procedure Call (RPC) Locator

Komentáře