Перенесення бази даних active directory, windows для системних адміністраторів
У цій статті ми покажемо, як перенести базу даних і транзакційні логи Active Directory з одного каталогу в інший. Даний мануал може стане в нагоді, коли потрібно перенести базу AD на інший диск (в ситуаціях, коли на початковому диску закінчилося вільне місце або при недостатній продуктивності дискової підсистеми), або перенести файли AD в інший каталог (наприклад, в рамках приведення до стандартного вигляду шляхів до БД AD на всіх контролерах домену підприємства).
Перенесення файлів бази даних Active Directory можливий тільки при зупинених службах Active Directory Domain Services. Для перенесення ми скористаємося утилітою ntdsutil.
Перед початком перенесення бази і файлів журналів транзакцій Active Directory потрібно переконається, що диск, на який планується перенесення підключений до системи, а цільова папка створена.
Важливо! Для зберігання бази даних Active Directory можна використовувати знімний диск. Диск повинен бути відформатований у файловій системі NTFS. Файлові системи FAT / FAT32 / ReFS / ExFAT не підтримуються.
Операція перенесення повинна виконуватися з-під обліковим записом адміністратора домена / підприємства (групи Domain Admins / Enterprise Admins).
Перенесення бази і журналів транзакцій Active Directory на контролері домену у всіх підтримуваних на даний момент серверних ОС Microsoft практично ідентичний за винятком пари моментів.
Перенесення NTFS дозволів каталогу NTDS
Дуже важливо при перенесенні файлів бази і журналів AD, щоб на новий каталог діяли ті ж самі дозволи, що і на вихідний. NTFS дозволу на новий каталог можна призначити вручну або скопіювати такою командою Powershell:
де, C: \ Windows \ NTDS - початковий каталог з базою AD
E: \ NTDS - каталог, в який проводиться перенесення
І підтвердити зупинку служби натиснувши Y і Enter.
Далі в цій же командному рядку запускаємо утиліту ntdsutil:
Порада. Раніше ми вже писали, як за допомогою ntdsutil можна виконати різні операції з обслуговування та управління метаданими в базі AD. наприклад:
Виберемо активний екземпляр бази AD:
Перейдемо в контекст files, в якому можливе виконання операція з файлами бази AD, набравши до командного рядка:
Перенесемо базу AD в новий каталог:
Переконаємося, що база даних Active Directory тепер знаходиться в іншому каталозі, набравши в командному рядку ntdsutil:
Далі перемістимо в той же каталог файли з журналами транзакцій:
Переконався, що все перенесено коректно, відкривши цільової каталог в провіднику.
Залишилося в контексті ntdsutil двічі набрати quit.
Запустимо службу Active Directory Domain Services командою:
Зупиняємо службу Active Directory Domain Services:
Відкриємо командний рядок і послідовно виконаємо команди:
Запустимо службу ADDS:
Щоб потрапити в DSRM режим, потрібно перезавантажити DC і, натиснувши під час завантаження F8. вибрати в меню пункт Directory Services Restore Mode (Windows domain controllers only).
Залишилося зайти в систему з паролем адміністратора DSRM (задається при розгортання контролера домену), а далі відпрацювати по вже описаної вище процедури перенесення за допомогою ntdsutil.
Після закінчення перенесення бази, сервер потрібно перезавантажити в звичайному режимі.
- Вкладка Additional Account Info в консоль ADUC
- Виявляємо джерело блокування облікового запису користувача в Active Directory
- Прив'язка серверів WSUS до різних сайтів Active Directory
- Пошук облікових записів адміністратора в Active Directory
- Скидання пароля адміністратора Active Directory