Kiedy rozmawiam z administratorami, inżynierami sieciowymi o problemach z usługą Active Directory, błędach, zazwyczaj wiedzą, jak zainstalować usługę Active Directory i jak z nią pracować w środowisku Active Directory, ale kiedy pytam o takie terminy jak baza danych usługi AD, SYSVOL, stan systemu, zazwyczaj otrzymuję błędną lub niekompletną odpowiedź. Zazwyczaj inżynierowie nie przejmują się tymi kwestiami, dopóki nie przejdą do procesu odzyskiwania po awarii środowiska Active Directory. Ale jeśli nie wiesz, jak ich używać i jaka jest ich wartość, nie będziesz w stanie właściwie zaplanować odzyskiwania po awarii w środowisku AD. Widziałem ludzi, którzy wydali tysiące na rozwiązania do tworzenia kopii zapasowych, a mimo to nie mogli odzyskać usługi AD po awarii, ponieważ nie wykonali prawidłowej kopii zapasowej usługi AD przy użyciu wymaganych komponentów.
Baza danych Active Directory
Gdy tylko ludzie słyszą „baza danych”, myślą o oprogramowaniu takim jak Microsoft SQL, MySQL, Oracle itp., ponieważ wcześniej najpierw wdrażaliśmy „serwer bazy danych”, a następnie dodawaliśmy do niego „bazy danych”. Ale tutaj jest zupełnie inaczej. Baza danych Active Directory używa „Extensible Storage Engine (ESE)”, który jest bazą danych indeksowaną i sekwencyjną (ISAM). Używa zorientowanej na rekordy architektury bazy danych, która zapewnia niezwykle szybki dostęp do rekordów. ESE indeksuje dane w pliku bazy danych. Ten plik bazy danych może osiągnąć rozmiar 16 terabajtów i zawierać ponad 2 miliardy rekordów.
Domyślna lokalizacja pliku bazy danych Active Directory to C:\Windows\NTDS. Ta lokalizacja pliku może łatwo ulec zmianie podczas instalacji Active Directory. Jako najlepszą praktykę zawsze dobrze jest zapisać go w innej partycji dysku twardego, a nie w partycji systemu operacyjnego.
Przyjrzyjmy się plikom w folderze i sposobom ich wykorzystania.
Ntds.dit – fizyczny plik bazy danych Active Directory. To tutaj przechowywane są wszystkie dane Active Directory. Zawiera informacje o domenie, schemacie i konfiguracji. Zawiera 3 tabele: Link, Data, Security Depositor.
Edb.log – tutaj możemy zobaczyć kilka plików dziennika zaczynających się od edb*. Każdy z nich ma rozmiar 10 MB lub mniejszy. Jest to dziennik transakcji utrzymywany przez system w celu przechowywania transakcji katalogu przed zapisaniem ich do pliku bazy danych.
Edb.chk – to plik do śledzenia transakcji danych zatwierdzonych w bazie danych z plików dziennika (Edb*.log).
Temp.edb – jest używany podczas konserwacji bazy danych Active Directory do przechowywania danych, a także do przechowywania informacji o dużych, trwających transakcjach danych AD.
Res1.log i Res2.log – nawet my nie możemy tego zobaczyć w tym przykładzie, jest to typ pliku, który będzie przechowywał wpisy dziennika, jeśli plik edb.log będzie pełny.
SYSVOL
SYSVOL to udostępniony folder zawierający pliki wspólne dla domeny. Ten udział zostanie utworzony automatycznie podczas konfigurowania kontrolera domeny. Domyślna lokalizacja pliku to C:\Windows\SYSVOL, ale można ją zmienić podczas konfiguracji kontrolera domeny.
Zobaczmy, jakie dane będzie miał folder sysvol.
Zasady grupy (GPO) – Zasady grupy służą do zarządzania użytkownikami i komputerami na podstawie wymagań organizacji. Mogą służyć do kontrolowania aplikacji komputerowych, zabezpieczeń, zachowań sieciowych itp. Będą one stosowane do kont komputerów, gdy zostaną one ponownie uruchomione i połączone z domeną. Zasady użytkownika będą stosowane, gdy zalogują się do komputerów domeny.
Skrypty logowania (Logon Script) – Służy również do przechowywania skryptów logowania dla użytkowników domeny. Są one ładowane, gdy użytkownicy logują się do komputera domeny. Może to być plik wsadowy, skrypt PowerShell lub vbscript.
Foldery przygotowawcze (Staging folders) – służą do synchronizacji danych i plików między kontrolerami domeny.
Połączenia systemu plików (File system junctions) – odizolowana lokalizacja na dysku twardym, która odnosi się do danych znajdujących się w innej partycji lub innym urządzeniu pamięci masowej.
System State
Prawie wszystkie rozwiązania do tworzenia kopii zapasowych pozwalają na tworzenie kopii zapasowych „stanów systemu” w środowisku Windows. Kiedy pytam niektórych inżynierów „jak tworzycie kopie zapasowe DC?”, większość z nich odpowiada, że musicie tworzyć kopie zapasowe stanu systemu. Ale ilu z was wie, jaki dokładnie jest stan systemu?
Obejmuje on następującą listę plików i danych.
- Active Directory DC Database file (ntds.dit)
- SYSVOL folder and its files
- Certificate Store
- User Profiles
- IIS metabase
- Boot files
- DLL cache folder
- Registry info
- COM+ and WMI info
- Cluster service info
- Windows Resource Protection system files
Więc jeśli chcesz wykonać kopię zapasową kontrolera domeny, musisz wykonać kopię zapasową stanu systemu. Rozmiar kopii zapasowej stanu systemu zależy od rozmiaru powyższych plików i folderów.
Podsumowanie
Baza danych Active Directory, jest najważniejszym elementem domeny. To ona utrzymuje konta użytkowników, grupy, konta komputerów. Dlatego wykonywanie backupu bazy Active Directory jest bardzo istotnym elementem procesu zapewnienia ciągłości działania infrastruktury w orgniazacji.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).