Unentbehrliches Netzwerk-Know-how (tecCHANNEL COMPACT)

Katastrophenszenarien bei Active Directory - Teil 4

Veröffentlicht: 06. Okt 2006

Von WILLIAM BOSSWELL

Bei Active Directory handelt es sich um eine komplexe Software, deren Ausfall einen Administrator gehörig ins Schwitzen bringt. Der vierte und vorletzte Teil unserer Serie beschäftigt sich mit der Pflege und der Reparatur der Active Directory Datenbank.

Auf dieser Seite

	Verzeichnis pflegen
	Active Directory-Datenbank defragmentieren
	Offline Defragmentierung
	Active Directory-Datenbank reparieren
	Sanfte Wiederherstellung
	Harte Reperatur
	Active-Directory-Hilfsdateien verschieben

Active Directory ist auf eine Reihe von Diensten und Features angewiesen, um korrekt funktionieren zu können. Wenn einer dieser Dienste ausfällt, erleben Sie ungewöhnliches oder unkontrollierbares Verhalten. Unsere Serie stellt Ihnen die häufigsten Szenarien samt Lösung vor.

Verzeichnis pflegen

Active Directory sollte man soviel Aufmerksamkeit schenken wie jeder anderen Datenbank. Manchmal treten in der Datenbank Lücken auf, dann ist eine Defragmentierung nötig. Manchmal gerät sie durcheinander, dann muss neu indiziert werden. Manchmal wird sie beschädigt und muss dann repariert werden. Und manchmal wird sie eben auch komplett zerschossen und muss dann wiederhergestellt werden. Das Tool für diese Aufgaben ist Ntdsutil (NT Directory Service Utility).

Für manche Dinge verwendet Ntdsutil feste Befehlsabfolgen für ein anderes Utility namens Esentutl, dem Enkel des für Exchange entwickelten Datenbankhilfsprogramms Eseutil. Esentutl kennt eine große Anzahl von Schaltern für das Festlegen und Steuern von Wiederherstellungsaufgaben und Integritätschecks. Ntdsutil bietet diese Optionen in einem Menü. Die beiden am häufigsten benutzten Optionen sind:

•	Komprimierung und Neuindizierung des Verzeichnisses

•	Reparieren der Verzeichnisdatenbank

Zum Seitenanfang

Active Directory-Datenbank defragmentieren

Wenn Sie je länger mit Exchange 5.5 gearbeitet haben, dann wissen Sie, wie zerbrechlich die alte ESE-Datenbank sein kann. Die neue und verbesserte ESENT-Engine benötigt nicht dermaßen viel Aufmerksamkeit. Alle 12 Stunden läuft die Garbage Collection durch und entfernt Objekte, die seit mehr als 60 Tagen getombstoned sind. Dann defragmentiert der Garbage Collector die Datenbank. Es gibt also keinen Grund für Offline-Defragmentierungen oder Reindizierungen.

Wenn Sie eine Offline-Defragmentierung mit Ntdsutil durchführen, dann komprimiert das Utility die Datenbank, indem es den Inhalt der vorhandenen Ntds.dit in eine neue Datei desselben Namens kopiert, die in einem von Ihnen benannten Temporärverzeichnis abgelegt wird. Ist die Komprimierung abgeschlossen, dann überschreiben Sie einfach mit der neuen Datei die alte, oder Sie lassen das System auf die neue Datei verweisen. Die Protokolldateien sind nicht mehr gültig und können ignoriert werden.

Zum Seitenanfang

Offline Defragmentierung

Der einzige Grund für eine Offline-Defragmentierung ist, dass Sie Festplattenspeicher zurückhaben wollen, den Ntds.dit einnimmt. Die Online-Defragmentierung packt zwar die Datenbank, gibt aber keinen Festplattenspeicher frei. Folgendermaßen können Sie eine Offline-Defragmentierung durchführen:

1.	Fahren Sie den Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus hoch und starten Sie Ntdsutil.
2.	Geben Sie an der Eingabeaufforderung Ntdsutil: den Befehl Files ein, um die Eingabeaufforderung File Maintenance zu öffnen.
3.	Geben Sie Compact to <verzeichnis> ein, wobei <verzeichnis> der Name des Temporärverzeichnisses ist, in dem die komprimierte NTDS.DIT gespeichert wird. Die Beispielausgabe: file maintenance: compact to C:\xxx Die Datenbank [Current] wird geöffnet. Folgendes Verzeichnis wird erstellt: C:\xxx Befehl wird ausgeführt: C:\WINDOWS\system32\esentutl.exe /d"C:\WINDOWS\NTDS\ntds .dit" /t"C:\xxx\ntds.dit" /p /o Initiating DEFRAGMENTATION mode... Database: C:\WINDOWS\NTDS\ntds.dit Temp. Database: C:\xxx\ntds.dit Defragmentation Status (% complete) 0 10 20 30 40 50 60 70 80 90 100 \|----\|----\|----\|----\|----\|----\|----\|----\|----\|----\| Note: It is recommended that you immediately perform a full backup of this database. If you restore a backup made before the defragmentation, the database will be rolled back to the state it was in at the time of that backup. Operation completed successfully in 9.304 seconds. Erstellter Prozessbeendigungscode 0x0(0 Wenn die Komprimierung einwandfrei durchgeführt wurde, tun Sie Folgendes: copy "C:\xxx\ntds.dit" "C:\WINDOWS\NTDS\ntds.dit" und die alten Protokolldateien löschen: del C:\WINDOWS\NTDS\*.log
4.	Kopieren Sie nun die neue Ntds.dit in das ursprüngliche Verzeichnis \NTDS. Wenn Sie wollen, können Sie das neue Verzeichnis auch lassen, wo es ist, und die Verzeichniszeiger anpassen: Set Path Backup <verzeichnis> Set path DB <verzeichnis> Set path logs <verzeichnis> Set path working dir <verzeichnis>

Wenn Ihre Protokolle auf einem anderen Laufwerk liegen, lassen Sie den Befehl Set path logs an dieser Stelle weg.

Zum Seitenanfang

Active Directory-Datenbank reparieren

Wenn die ESE-Engine auf ein Problem trifft, das aufgrund beschädigter Datenbankseiten, einer beschädigten Indexdatei oder einer Kombination aus beiden auftritt, dann müssen Sie die Datenbank reparieren. Symptome für derartige Probleme sind enstprechende Einträge im Ereignisprotokoll, Konsolenfehler oder Neustarts mit Fehlermeldungen vom LSASS (Local Security Authority Subsystem).

Active Directory kennt zwei Reparaturphasen:

•

Sanfte Wiederherstellung. Diese Phase restauriert die Einträge anhand von Protokoll- und Prüfpunktdateien, gefolgt von den Indizes.

•

Harte Reparatur. Diese Phase geht prinzipiell genauso vor, löscht aber zusätzlich alle beschädigten Seiten. Dadurch können Daten verloren gehen, weswegen Sie keine harte Reparatur vornehmen sollten, sofern es noch andere Alternativen gibt. Vor einer Wiederherstellung der Datenbank sollten Sie immer eine Sicherungskopie anfertigen. Bei Server 2003 ist die harte Reparatur nicht mehr über Ntdsutil zugänglich. Wenn Sie unbedingt wollen, können Sie direkt Esentutl verwenden.

Zum Seitenanfang

Sanfte Wiederherstellung

Gehen Sie für eine sanfte Wiederherstellung wie folgt vor:

1.	Öffnen Sie eine Befehlszeile.
2.	Starten Sie Ntdsutil.
3.	Geben Sie an der Eingabeaufforderung Ntdsutil: den Befehl Files ein, um die Eingabeaufforderung File Maintenance zu öffnen.
4.	Geben Sie Recover ein. Die Beispielausgabe: file maintenance: recover Befehl wird ausgeführt: C:\WINDOWS\system32\esentutl.exe /redb /l"C:\WINDOWS\NTD S" /s"C:\WINDOWS\NTDS" /8 /o Initiating RECOVERY mode... Logfile base name: edb Log files: C:\WINDOWS\NTDS System files: C:\WINDOWS\NTDS Performing soft recovery... Operation completed successfully in 2.243 seconds. Erstellter Prozessbeendigungscode 0x0(0) Es wird empfohlen, eine semantische Datenbankanalyse durchzuführen, wenn die Wiederherstellung einwandfrei abgeschlossen wurde. Dadurch wird die semantische Konsistenz gewährleistet.

Wie Sie sehen, geht dieser Vorgang relativ schmerzlos über die Bühne, solange es keine massiven Probleme gibt. Wenn jedoch ein solches entdeckt wurde, versucht das System, es zu lösen. Sie sollten von Ntdsutil aus eine semantische Datenbankanalyse durchführen, um die internen Namenverweise in der Datenbank zu prüfen und ggf. zu reparieren.

Zum Seitenanfang

Harte Reperatur

Sollte die sanfte Wiederherstellung jedoch nicht zum Ziel führen, dann müssen Sie die harte Reparatur wählen. Zuvor könnten und sollten Sie allerdings noch den Support bei Microsoft kontaktieren – die haben vielleicht ein paar weniger radikale Vorschläge. Normalerweise gibt es wenig Gründe, überhaupt eine harte Reparatur durchzuführen. Doch wenn Sie unbedingt wollen, gehen Sie wie folgt vor:

Geben Sie an der Eingabeaufforderung den Befehl esentutl /p c:\windows\ntds\ntds.dit /o ein. Falls sich Ihre AD-Datenbank an anderer Stelle befindet, müssen Sie natürlich den Pfad entsprechend ändern. Die Beispielausgabe sieht so aus:

C:\Dokumente und Einstellungen\Administrator>esentutl /p c:\windows\ntds\ntds.dit /o
		
Initiating REPAIR mode...
		
Database: c:\windows\ntds\ntds.dit
		
Temp. Database: TEMPREPAIR3180.EDB
		
Checking database integrity.
		
Scanning Status (% complete)
		
0    10   20   30   40   50   60   70   80   90  100
		
|----|----|----|----|----|----|----|----|----|----|
...................................................
		
Integrity check successful.
		
Note:
		
It is recommended that you immediately perform a full backup
of this database. If you restore a backup made before the repair,
the database will be rolled back to the state it was in
at the time of that backup.
		
Operation completed successfully in 5.718 seconds.

Nehmen Sie wie weiter oben beschrieben eine vollständige Sicherung der Systemstatusdateien vor.

Zum Seitenanfang

Active-Directory-Hilfsdateien verschieben

Wenn Sie einen Domänencontroller hochstufen, können Sie festlegen, wo die Haupt-AD-Datei Ntds.dit und die Protokolldateien abgelegt werden. Sie können diesen Ort ändern, wenn Sie der Meinung sind, dass Sie die Performance steigern könnten, wenn Sie die Protokolle auf ein anderes Array legen oder die Dateien von der Systempartition nehmen.

Um diese Dateien zu verschieben, müssen Sie in den Verzeichnisdienst-Wiederherstellungsmodus booten. Dafür müssen Sie das lokale Administratorpasswort kennen. Sie sollten die Dateien stets auf einer NTFS-Partition ablegen, um von der höheren Sicherheit und guten Random-Access-Performance zu profitieren. Wenn Sie die Dateien verschieben wollen, verwenden Sie diese Schrittfolge:

1.	Booten Sie in den AD-Wiederherstellungsmodus.
2.	Öffnen Sie eine Befehlszeile.
3.	Geben Sie Ntdsutil ein.
4.	Geben Sie files ein, um zum Prompt file maintenance: zu kommen. Mit ? erhalten Sie eine Befehlsübersicht:
5.	Verwenden Sie move db to %s oder move logs to %s, um die Datenbank oder die Protokolle zu verschieben. Ersetzen Sie %s mit einem vollständigen Pfad, wie D:\Windows\NTDS.

Im fünften und letzten Teil unserer Serie geht es um die Wiederherstellung des Active Directories.

Zum Seitenanfang

15 von 18

In diesem Beitrag

•	Grundlagen zu Routing und Subnetzbildung, Teil 1
•	Grundlagen zu Routing und Subnetzbildung, Teil 2
•	Grundlagen zu Routing und Subnetzbildung, Teil 3
•	Einführung in VLANs, Teil 1
•	Einführung in VLANs, Teil 2
•	Konfiguration und Betrieb eines Nameservers, Teil 1
•	Konfiguration und Betrieb eines Nameservers, Teil 2
•	Konfiguration und Betrieb eines Nameservers, Teil 3
•	LDAP, Teil 1
•	LDAP, Teil 2
•	LDAP, Teil 3
•	Katastrophenszenarien bei Active Directory - Teil 1
•	Katastrophenszenarien bei Active Directory - Teil 2
•	Katastrophenszenarien bei Active Directory - Teil 3
•	Katastrophenszenarien bei Active Directory - Teil 4
•	Katastrophenszenarien bei Active Directory - Teil 5
•	Zugriffskontrolle bei Samba und *nix - Teil 1
•	Zugriffskontrolle bei Samba und *nix - Teil 2