Einführung in die Administration der Active Directory-DatenbankActive Directory wird in der Datenbank Ntds.dit gespeichert. Der Verzeichnisdienst nutzt Protokolldateien, in denen die Transaktionen gespeichert werden, bevor diese übertragen werden. Um die Leistung zu optimieren, sollten Sie diese beiden Komponenten auf unterschiedlichen Festplatten speichern. Für die Datenbank ist normalerweise keine permanente Wartung notwendig (bis auf eine regelmäßige Sicherung). In den folgenden Situationen können jedoch Maßnamen erforderlich werden: | • | Geringer Festplattenplatz. | | • | Bevorstehender oder aufgetretener Hardwareausfall. | | • | Wiederherstellung von freiem Festplattenplatz nach dem Löschen einer umfangreichen Menge von Objekten oder dem Entfernen des globalen Katalogs. |
Überwachen Sie den freien Festplattenplatz auf den Partitionen der Datenbank und der Protokolldatei. Die folgenden Empfehlungen gelten für den verfügbaren Festplattenplatz: | • | Ntds.dit-Partition: Mehr als 20 Prozent der Größe von Ntds.dit oder 500 MB. | | • | Protokolldatei-Partition: Mehr als 20 Prozent der Größe aller Protokolldateien oder 500 MB. | | • | Ntds.dit und Protokolldateien in der gleichen Partition: Mehr als 20 Prozent der Größe von Ntds.dit und der Protokolldateien oder 1 GB. |
Während der normalen Nutzung werden immer wieder Objekte aus Active Directory gelöscht. Wenn dies passiert, führt das zu ungenutztem Speicherplatz in der Datenbank. Die Datenbank gibt diesen freien Platz regelmäßig über eine Defragmentierung frei. Er wird dann bei der Erstellung von neuen Objekten verwendet (was in diesem Fall nicht zu einer Vergrößerung der Datenbank führt). Diese automatische Onlinedefragmentierung verringert also nicht die Größe der Datenbank. Erst mit einer Offlinedefragmentierung werden die leeren Teile der Datenbank für das Dateisystem freigegeben. Sie haben außerdem die Möglichkeit, die Festplatte, auf der sich Datenbank oder Protokolldateien befinden, zu aktualisieren oder zu ersetzen. Natürlich können Sie die Dateien auch verschieben. Vor dem Ausführen irgendeiner Aktion, die sich auf die Verzeichnisdatenbank auswirkt, sollten Sie eine aktuelle Sicherung des Systemstatus machen. Weitere Informationen hierzu finden Sie im Abschnitt Kapitel 6 - Sicherung des Systemstatus". Anmerkung Für die Datenbank und die Protokolldateien wird keine NTFS-Komprimierung unterstützt. Verwalten der Active Directory-DatenbankIn diesem Abschnitt werden die folgenden beiden Aufgaben zur Verwaltung der Active Directory-Datenbank beschrieben: | • | "Verschieben der Active Directory-Datenbankdateien" | | • | "Freigeben von ungenutztem Festplattenplatz in der Active Directory-Datenbank" |
Verschieben der Active Directory-DatenbankdateienEin Verschieben der Datenbankdateien kann in den folgenden Situationen notwendig werden: | • | Hardwarearbeiten. | | • | Zu wenig Festplattenplatz. In diesem Fall können Sie eines der beiden folgenden Verfahren durchführen: | • | Erweitern Sie die Partition. | | • | Verschieben Sie die Dateien mit Ntdsutil. |
|
Wenn sich der Pfad zur Datenbankdatei oder zu den Protokollen ändert, stellen Sie folgendes sicher: | • | Verschieben Sie die Dateien mit Ntdsutil.exe, anstatt sie einfach zu kopieren. Auf diese Art wird auch die Registrierung aktualisiert. | | • | Führen Sie eine Sicherung des Systemstatus durch, sobald das Verschieben abgeschlossen ist. | | • | Prüfen Sie, ob auf allen verschobenen Ordnern die korrekten Berechtigungen angewandt sind. |
Beim Verschieben der Datenbank bearbeitet Ntdsutil.exe die folgenden Registrierungsschlüssel: In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ | • | Datenbanksicherungspfad | | • | DSA Datenbankdatei | | • | DSA Arbeitsverzeichnis |
Beim Verschieben der Protokolle bearbeitet Ntdsutil.exe die folgenden Registrierungsschlüssel: In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ | • | Datenbankprotokolldateipfad |
Speicherplatzanforderungen für das Verschieben der Active Directory-DatenbankdateienTemporäres Verschieben: Mindestens die Größe der aktuellen Dateien. Permanentes Verschieben: Mindestens die unten definierte Größte plus ausreichend Speicherplatz für ein Anwachsen der Dateien. Vorsicht Das Ziellaufwerk muss mit NTFS formatiert sein. | • | Ntds.dit-Partition: Mehr als 20 Prozent der Größe von Ntds.dit oder 500 MB. | | • | Protokolldatei-Partition: Mehr als 20 Prozent der Größe aller Protokolldateien oder 500 MB. | | • | Ntds.dit und Protokolldateien in der gleichen Partition: Mehr als 20 Prozent der Größe von Ntds.dit und der Protokolldateien oder 1 GB. |
Wichtig Diese Empfehlungen stellen das Minimum dar. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | net use | | • | dir | | • | xcopy | | • | Ntdsutil.exe | | • | Sicherungssoftware | | • | Windows Explorer |
Anmerkung Bevor Sie Laufwerke verschieben können, auf denen SYSVOL gespeichert ist, müssen Sie erst SYSVOL selbst verschieben. Weitere Informationen hierzu unter Kapitel 3 - Manuelles Verschieben von SYSVOL". Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | Stellen Sie mit einem der folgenden Verfahren fest, wo sich die Active Directory-Datenbank befindet und wie groß sie ist: | • | "Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist" | | • | "Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist" |
| 2. | "Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße" | 3. | Kapitel 6 - Sicherung des Systemstatus" | 4. | Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus über eines der folgenden Verfahren: | • | Kapitel 6 - Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" | | • | Kapitel 6 - Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" |
| 5. | Verschieben oder Kopieren der Verzeichnisdatenbank mithilfe eines der folgenden Verfahren: | • | "Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales Laufwerk" | | • | "Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine Remotefreigabe" |
| 6. | Kapitel 6 - Sicherung des Systemstatus" |
Online feststellen, wo die Datenbank gespeichert ist und wie groß diese istWenn Sie die Größe online ermitteln, wird diese in Byte zurückgegeben. Standardmäßig befinden sich Datenbank und Protokolldateien unter %systemroot%\NTDS. Wichtig Die Größe wird bei einer Onlineprüfung anders zurückgegeben als bei einer Offlineprüfung. Administrative Berechtigungen Für das folgende Verfahren müssen Sie Mitglied der Gruppe Domänen-Admins sein. "Online feststellen, wo die Datenbank gespeichert ist und wie groß diese ist" 1. | Öffnen Sie eine Eingabeaufforderung, und wechseln Sie in das entsprechende Verzeichnis. | 2. | Führen Sie den Befehl dir aus. C:\WINDOWS\NTDS>dir
Datenträger in Laufwerk C: ist xxx
Volumeseriennummer: 8498-F405
Verzeichnis von C:\WINDOWS\NTDS
19.11.2006 17:36 <DIR> .
19.11.2006 17:36 <DIR> ..
16.11.2006 21:50 <DIR> Drop
19.11.2006 22:49 8.192 edb.chk
19.11.2006 17:36 10.485.760 edb.log
19.11.2006 17:36 12.599.296 ntds.dit
16.11.2006 21:26 10.485.760 res1.log
16.11.2006 21:26 10.485.760 res2.log
19.11.2006 17:36 2.113.536 temp.edb
6 Datei(en), 46.178.304 Bytes
3 Verzeichnis(se), 15.253.229.568 Bytes frei |
Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese istBei diesem Verfahren wird die Größe in MB zurückgegeben. Administrative Berechtigungen Für das folgende Verfahren müssen Sie lokaler Administrator sein. "Offline feststellen, wo die Datenbank gespeichert ist und wie groß diese ist" 1. | Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus, und führen Sie in einer Eingabeaufforderung den Befehl ntdsutil aus. | 2. | Geben Sie files ein, und drücken Sie die EINGABETASTE. | 3. | Geben Sie info ein und drücken Sie die EINGABETASTE. |
Vergleich der Größe der Verzeichnisdatenbank mit der VolumengrößeAdministrative Berechtigungen Für einen Onlinevergleich müssen Sie Mitglied der Gruppe Domänenbenutzer sein. Für einen Offlinevergleich müssen Sie lokaler Administrator sein. "Vergleich der Größe der Verzeichnisdatenbank mit der Volumengröße" 1. | Klicken Sie im Windows Explorer auf Arbeitsplatz. | 2. | Klicken Sie im Menü Ansicht auf Details. | 3. | Suchen Sie nach dem entsprechenden Volumen. Notieren Sie sich die Gesamtgröße des Volumens. | 4. | Navigieren Sie zu dem Ordner, in dem die Dateien gespeichert sind. | 5. | Klicken Sie mit rechts auf den Ordner und dann auf Eigenschaften. Notieren Sie sich den Wert Größe auf dem Datenträger. | 6. | Wenn SYSVOL ebenfalls auf dem Volumen gespeichert ist, navigieren Sie zu diesem Ordner und wiederholen Schritt 5. | 7. | Vergleichen Sie die ermittelten Größen. |
Sicherung des SystemstatusWenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. "Sicherung des Systemstatus" inklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 2. | Klicken Sie auf Weiter. | 3. | Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. | 4. | Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie doppelt auf Arbeitsplatz. | 6. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 7. | Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. | 8. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 9. | Klicken Sie auf Erweitert. | 10. | Klicken Sie auf Weiter. | 11. | Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. | 12. | Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. | 13. | Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. | 14. | Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. | 15. | Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. |
"Sicherung des Systemstatus" exklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. | 3. | Wählen Sie Systemstatus aus. | 4. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. | 6. | Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. | 7. | Klicken Sie auf Sicherung starten. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Lokaler Neustart des Domänencontrollers im VerzeichnisdienstwiederherstellungsmodusWenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. "Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" 1. | Starten Sie den Domänencontroller neu. | 2. | Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. | 3. | Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. | 4. | Melden Sie sich als lokaler Administrator an. |
Siehe auchKapitel 6 - Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort ausWenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine Remotedesktopverbindung nutzen. Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten, bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum Domänencontroller. Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der lokalen SAM authentifiziert. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" 1. | Verbinden Sie sich über eine Remotedesktopverbindung mit dem Domänencontroller. | 2. | Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. | 3. | Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. | 4. | Klicken Sie auf Bearbeiten. | 5. | Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR:
multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect /SAFEBOOT:DSREPAIR
Anmerkung
/SAFEBOOT:DSREPAIR kann für Windows 2000 Server und Windows Server 2003 verwendet werden. | 6. | Speichern Sie die Datei. | 7. | Starten Sie den Server neu. | 8. | Verbinden Sie sich neu mit dem Server. | 9. | Melden Sie sich als lokaler Administrator an. | 10. | Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. | 11. | Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. | 12. | Klicken Sie auf Bearbeiten. | 13. | Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales LaufwerkSie können die Dateien mit Ntdsutil.exe oder remote (temporär) mithilfe des copy-Befehls verschieben. Sie sollten jedoch auch beim temporären Verschieben Ntdsutil.exe nutzen - nur so bleibt die Registrierung aktuell. Administrative Berechtigungen Für das folgende Verfahren müssen Sie lokaler Administrator sein. "Verschieben der Verzeichnisdatenbank und Protokolldateien auf ein lokales Laufwerk" 1. | Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit den Dateien, die verschoben werden sollten. | 2. | Führen Sie den Befehl dir aus, und notieren Sie sich die aktuelle Größe der Dateien. | 3. | Geben Sie den Befehl ntdsutil ein, und drücken Sie die EINGABETASTE. | 4. | Geben Sie den Befehl files ein, und drücken Sie die EINGABETASTE. | 5. | Mit den folgenden Befehlen können Sie die Dateien verschieben: | • | Ntds.dit: move db to Laufwerk:\verzeichnis | | • | Protokolldateien: move logs to Laufwerk:\verzeichnisy Anmerkung
Wenn sich Leerzeichen im Verzeichnispfad befinden, müssen Sie diesen in Anführungsstriche einschließen. |
| 6. | Geben Sie zweimal quit ein, und drücken Sie ENTER. | 7. | Wechseln Sie zum Zielverzeichnis, und prüfen Sie mit dir, ob die Dateien dort vorhanden sind. Prüfen Sie die Dateigrößen mit den in Schritt zwei aufgezeichneten Daten. | 8. | Wenn die Dateien permanent verschoben werden sollten, fahren Sie mit Schritt 9 fort.
Wenn die Dateien nur temporär verschoben werden sollten, wiederholen Sie Schritt 1 bis 7, um sie zurück zu verschieben.
Wenn sich der Pfad zu den Dateien nicht geändert hat, fahren Sie mit Schritt 10 fort. | 9. | Wenn sich der Pfad geändert hat, prüfen Sie die Berechtigungen für den Ordner (im Verzeichnisdienstwiederherstellungsmodus): | • | Klicken Sie im Windows Explorer mit rechts auf den Ordner, und klicken Sie dann auf Eigenschaften. | | • | Klicken Sie auf die Registerkarte Sicherheit, und prüfen Sie, ob folgende Berechtigungen vorhanden sind: Administratoren = Vollzugriff zulassen. System = Vollzugriff zulassen. Vererbung von Berechtigungen ist deaktiviert. Es werden keine Berechtigungen verweigert. | | • | Wenn die Berechtigungen korrekt sind, fahren Sie mit Schritt 10 fort. Passen Sie die Berechtigungen andernfalls vorher an. |
| 10. | Geben Sie ntdsutil in der Eingabeaufforderung ein, und drücken Sie die EINGABETASTE. | 11. | Geben Sie files ein, und drücken Sie die EINGABETASTE. | 12. | Geben Sie integrity ein, und drücken Sie die EINGABETASTE. | 13. | Wenn die Integritätsprüfung erfolgreich war, schließen Sie Ntdsutil.exe. | 14. | Starten Sie den Domänencontroller normal. Wenn Sie dieses Verfahren remote durchführen, stellen Sie sicher, dass Sie die Boot.ini angepasst haben. Sollten beim Neustart Fehler angezeigt werden: | • | Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus. | | • | bSuchen Sie in der Ereignisanzeige nach Fehlern: | • | Ereignis-ID 1046. “The Active Directory database engine caused an exception with the following parameters.” In diesem Fall müssen Sie Active Directory aus einer Sicherung wiederherstellen. | | • | Ereignis-ID 1168. “Internal error: An Active Directory error has occurred.” In diesem Fall fehlen Informationen in der Registrierung. Sie müssen eine Sicherung wiederherstellen. |
|
|
Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine RemotefreigabeSie sollten immer die Datenbankdatei und die Protokolldateien kopieren. Administrative Berechtigungen Für das folgende Verfahren müssen Sie lokaler Administrator sein. "Verschieben der Verzeichnisdatenbank und Protokolldateien auf eine Remotefreigabe" 1. | Öffnen Sie im Verzeichnisdienstwiederherstellungsmodus eine Eingabeaufforderung, und wechseln Sie zu dem Verzeichnis mit den Dateien, die verschoben werden sollten. | 2. | Führen Sie den Befehl dir aus, und notieren Sie sich die aktuelle Größe der Dateien. | 3. | Erstellen Sie eine Netzwerkverbindung mit der Freigabe.
In diesem Beispiel ist \\SERVER1\NTDS der Name der Freigabe. K: ist das Laufwerk dem die Freigabe zugeordnet wird. Nachdem Sie die erste Zeile eingegeben und die EINGABETASTE gedrückt haben fordert Sie Ntdsutil.exe zur Eingabe Kennwortes auf. H:\>net use K: \\SERVER1\NTDS /user:Domänenname\Benutzername* | 4. | Kopieren Sie die Dateien mit xcopy in die Freigabe: | 5. | H:>xcopy WINNT\NTDS K:\DB | 6. | Wechseln Sie zur Freigabe und geben Sie den Befehl dir ein. Vergleichen Sie die kopierten Dateien mit den Originalen. | 7. | Nun können Sie die Originaldaten löschen. | 8. | Wenn das Ziellaufwerk vorbereitet ist verbinden Sie sich wieder mit der Freigabe. | 9. | Kopieren Sie die Dateien aus der Freigabe zurück an ihren ursprünglichen Speicherort. | 10. | Geben Sie ntdsutil in der Eingabeaufforderung ein, und drücken Sie die EINGABETASTE. | 11. | Geben Sie files ein, und drücken Sie die EINGABETASTE. | 12. | Geben Sie integrity ein, und drücken Sie die EINGABETASTE. | 13. | Wenn die Integritätsprüfung erfolgreich war, schließen Sie Ntdsutil.exe. | 14. | Starten Sie den Domänencontroller normal. Wenn Sie dieses Verfahren remote durchführen, stellen Sie sicher, dass Sie die Boot.ini angepasst haben. Sollten beim Neustart Fehler angezeigt werden: | • | Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus. | | • | Suchen Sie in der Ereignisanzeige nach Fehlern: | • | Ereignis-ID 1046. “The Active Directory database engine caused an exception with the following parameters.” In diesem Fall müssen Sie Active Directory aus einer Sicherung wiederherstellen. | | • | Ereignis-ID 1168. “Internal error: An Active Directory error has occurred.” In diesem Fall fehlen Informationen in der Registrierung. Sie müssen eine Sicherung wiederherstellen. |
|
|
Freigeben von ungenutztem Festplattenplatz in der Active Directory-DatenbankBei jedem Garbage-Collection-Vorgang (alle zwölf Stunden) wird der ungenutzte Platz in der Active Directory-Datenbank optimiert. Hierbei wird jedoch kein Festplattenplatz freigegeben. Dies ist nur mit einer Offlinedefragmentierung möglich. In dem Sie das Garbage-Collection-Protokollierungslevel in der Registrierung festlegen, können Sie bestimmen, wie viel Speicherplatz freigegeben werden kann. Wenn Sie den Eintrag von 0 auf 1 ändern, führt dies dazu, dass im Verzeichnisprotokoll das Ereignis 1646 protokolliert wird. In diesem Ereignis steht, wie viel Platz freigegeben werden kann. Mit dem Wert 0 werden nur kritische Ereignisse und Fehler protokolliert. Mit dem Wert 1 werden zusätzlich die folgenden Ereignisse protokolliert: | • | 700 und 701: Start und Ende der Onlinedefragmentierung. | | • | 1646: Freier Speicherplatz in der Datenbank. |
Vorsicht Wenn Sie den Wert auf mehr als 3 setzen, kann dies Auswirkungen auf die Serverleistung haben. Führen Sie nach der Offlinedefragmentierung eine Integritätsprüfung durch. Mit dieser werden Datenbankfehler erkannt. Der Zeitbedarf für die Prüfung ist von der Größe der Datenbank und der Hardware des Domänencontrollers abhängig. Im Allgemeinen werden ca. zwei GB pro Stunde geprüft. Anforderungen Um die unten beschriebenen Aufgaben ausführen zu können, sind die folgenden Tools notwendig: | • | Regedit.exe | | • | Sicherungssoftware | | • | Ntdsutil.exe |
Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich: 1. | "Ändern des Garbage-Collection-Protokollierungslevel auf 1" | 2. | Kapitel 6 - Sicherung des Systemstatus" | 3. | Verwenden Sie eines der folgenden Verfahren: | • | Kapitel 6 - Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" | | • | Kapitel 6 - Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" |
| 4. | "Komprimieren der Datenbank (Offlinedefragmentierung)" | 5. | "Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung" |
Ändern des Garbage-Collection-Protokollierungslevel auf 1Suchen Sie im Verzeichnisprotokoll nach Ereignis 1646. In diesem finden Sie die Größe des ungenutzten Speicherplatzes. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins sein. Vorsicht Der Registrierungseditor umgeht die normalen Sicherheitsfunktionen. Sie können so Einstellungen vornehmen, die das System beschädigen können oder sogar dafür sorgen können, dass Windows neu installiert werden muss. Sichern Sie vor einer Bearbeitung der Registrierung den Systemstatus. Weitere Informationen hierzu finden Sie unter: Kapitel 6 - Einführung in die Administration der Active Directory-Sicherung und -Wiederherstellung". Ändern des Garbage-Collection-Protokollierungslevels 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und drücken Sie die EINGABETASTE. | 2. | Navigieren Sie zum Eintrag Garbage Collection unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics | 3. | Klicken Sie doppelt auf Garbage Collection, und klicken Sie auf Dezimal. | 4. | Geben Sie 1 ein, und klicken Sie dann auf OK. |
Sicherung des SystemstatusWenn Sie den Systemstatus mit Ntbackup.exe sichern, können Sie die geschützten Systemdateien mit sichern oder nicht. Diese Dateien sind für eine Installation mithilfe einer wiederhergestellten Sicherung nicht notwendig - in diesem Fall können Sie die Option deaktivieren. Sie verkleinern so die Größe der Sicherungsdatei und verringern den notwendigen Zeitaufwand. Mit den folgenden Verfahren können Sie nur den Systemstatus sichern. Das Systemvolumen oder andere Daten auf dem Domänencontroller werden nicht berücksichtigt. Mit dem ersten Verfahren, "Sicherung des Systemstatus inklusive der geschützten Systemdateien", können Sie Routinesicherungen des Systemstatus durchführen. Mit dem zweiten Verfahren, "Sicherung des Systemstatus exklusive der geschützten Systemdateien", können Sie eine kleinere Sicherung durchführen, die zur Installation von Domänencontrollern über Sicherungsmedien verwendet werden kann. Anmerkung Um den Systemstatus sichern zu können, müssen Sie als lokaler Administrator am Domänencontroller angemeldet sein. Alternativ muss der Remotedesktop aktiviert sein. Administrative Berechtigungen Um die folgenden Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder Sicherungsoperatoren sein. "Sicherung des Systemstatus" inklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK.
In diesem Verfahren verwenden Sie den Assistentenmodus. Standardmäßig ist die Option Immer im Assistentenmodus starten im Sicherungs- und Wiederherstellungsassistenten aktiviert. Klicken Sie andernfalls auf Assistentenmodus. | 2. | Klicken Sie auf Weiter. | 3. | Klicken Sie auf Dateien und Einstellungen sichern, und klicken Sie dann auf Weiter. | 4. | Klicken Sie auf Elemente für die Sicherung selbst auswählen, und klicken Sie dann auf Weiter. | 5. | Klicken Sie doppelt auf Arbeitsplatz. | 6. | Klicken Sie auf Systemstatus, und klicken Sie dann auf Weiter. | 7. | Wählen Sie einen Speicherort für die Sicherung aus:
Anmerkung
Sie sollten die Sicherung nicht auf einer lokalen Festplatte speichern. | 8. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 9. | Klicken Sie auf Erweitert. | 10. | Klicken Sie auf Weiter. | 11. | Aktivieren Sie Daten nach der Sicherung prüfen, und klicken Sie dann auf Weiter. | 12. | Wählen Sie eine der Optionen aus, und klicken Sie dann auf Weiter. | 13. | Wenn Sie bestehende Sicherungen ersetzen, wählen Sie die Option, mit der nur dem Besitzer und dem Administrator Zugriff auf die Sicherungsdaten gewährt wird. Klicken Sie dann auf Weiter. | 14. | Wählen Sie eine für Sie passende Option aus, und klicken Sie dann auf Weiter. | 15. | Klicken Sie auf Fertigstellen.
Anmerkung
Sie können Ntbackup auch über die Eingabeaufforderung nutzen. Weitere Informationen erhalten Sie mit dem Befehl ntbackup /?. |
"Sicherung des Systemstatus" exklusive der geschützten Systemdateien 1. | Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie ntbackup ein, und klicken Sie dann auf OK. | 2. | Klicken Sie auf Erweiterter Modus, und klicken Sie dann auf die Registerkarte Sichern. | 3. | Wählen Sie Systemstatus aus. | 4. | Geben Sie einen Namen ein. Halten Sie sich an die Empfehlungen aus dem Abschnitt Kapitel 6 - Sichern von Active Directory-Komponenten", und klicken Sie dann auf Weiter. | 5. | Klicken Sie auf Sicherung starten, und klicken Sie dann auf Erweitert. | 6. | Deaktivieren Sie Geschützte Systemdateien automatisch mit dem Systemstatus sichern, und klicken Sie dann auf OK. | 7. | Klicken Sie auf Sicherung starten. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Lokaler Neustart des Domänencontrollers im VerzeichnisdienstwiederherstellungsmodusWenn Sie physischen Zugriff auf den Domänecontroller haben, können Sie diesen lokal im Verzeichnisdienstwiederherstellungsmodus starten. Im Verzeichnisdienstwiederherstellungsmodus wird das lokale Administratorkonto über die Security Accounts Manager-Datenbank (SAM) überprüft. Daher benötigen Sie das Wiederherstellungskennwort - nicht das normale Administratorkennwort. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, benötigen Sie das Verzeichnisdienstwiederherstellungskennwort. "Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" 1. | Starten Sie den Domänencontroller neu. | 2. | Wenn die Betriebssystemauswahl angezeigt wird, drücken Sie F8. | 3. | Wählen Sie unter Erweiterte Optionen die Option Verzeichnisdienstwiederherstellungsmodus. | 4. | Melden Sie sich als lokaler Administrator an. |
Siehe auchKapitel 6 - Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort ausWenn Remotedesktop auf dem Domänencontroller aktiviert ist, können Sie eine Remotedesktopverbindung nutzen. Mit einer Remotedesktopverbindung müssen Sie zuerst die Datei Boot.ini bearbeiten, bevor Sie den Domänencontroller remote im Verzeichniswiederherstellungsmodus starten können - ansonsten verlieren Sie beim Neustart die Verbindung zum Domänencontroller. Zum Start im Verzeichnisdienstwiederherstellungsmodus sind das lokale Administratorkonto und das Wiederherstellungskennwort notwendig. Dieses wird von der lokalen SAM authentifiziert. Administrative Berechtigungen Um dieses Verfahren durchführen zu können, müssen Sie das Administratorkennwort für den Verzeichnisdienstwiederherstellungsmodus kennen. "Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus von einem Remotestandort aus" 1. | Verbinden Sie sich über eine Remotedesktopverbindung mit dem Domänencontroller. | 2. | Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. | 3. | Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. | 4. | Klicken Sie auf Bearbeiten. | 5. | Erweitern Sie den Standardeintrag um /SAFEBOOT:DSREPAIR:
multi(0)disk(0)rdisk(0)partition(2)\WINNT=”IhrServerName” /fastdetect /SAFEBOOT:DSREPAIR
Anmerkung
/SAFEBOOT:DSREPAIR kann für Windows 2000 Server und Windows Server 2003 verwendet werden. | 6. | Speichern Sie die Datei. | 7. | Starten Sie den Server neu. | 8. | Verbinden Sie sich neu mit dem Server. | 9. | Melden Sie sich als lokaler Administrator an. | 10. | Klicken Sie mit rechts auf Arbeitsplatz, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte Erweitert. | 11. | Klicken Sie unter Starten und Wiederherstellen auf Einstellungen. | 12. | Klicken Sie auf Bearbeiten. | 13. | Löschen Sie die Option /SAFEBOOT:DSREPAIR wieder. |
Siehe auchAktivieren von Remotedesktop" Erstellen einer Remotedesktopverbindung" Lokaler Neustart des Domänencontrollers im Verzeichnisdienstwiederherstellungsmodus" Komprimieren der Datenbank (Offlinedefragmentierung)Die Offlinedefragmentierung erstellt eine neue und komprimierte Version der Datenbank. Diese kann sich am gleichen Speicherort oder an einem anderen Speicherort befinden. Um mögliche Probleme zu verhindern, sollten Sie die Offlinedefragmentierung jedoch lokal durchführen. Nachdem Sie die Datenbank an einem temporären Speicherort defragmentiert haben, kopieren Sie diese an ihren ursprünglichen Speicherort. Wenn möglich, behalten Sie eine Kopie der Originaldatenbank. Anmerkung Um dieses Verfahren ausführen zu können, müssen Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus starten. Administrative Berechtigungen Sie müssen Administrator des lokalen Domänencontrollers sein. Festplattenplatz | • | Aktuelles Laufwerk der Datenbank. Mindestens 15 Prozent der aktuellen Datenbankgröße. | | • | Ziellaufwerk. Mindestens die Größe der aktuellen Datenbank. |
Komprimieren der Datenbank 1. | Gehen Sie im Verzeichnisdienstwiederherstellungsmodus folgendermaßen vor: | • | Komprimierung in ein lokales Verzeichnis: Weiter mit Schritt 2. | | • | Komprimierung in ein Remoteverzeichnis: Erstellen Sie eine Netzwerkverbindung zum Zielordner. Beispiel
H:\>net use K: \\SERVER1\NTDS /user:Domänenname\Benutername* |
| 2. | Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein, und drücken Sie die EINGABETASTE: ntdsutil | 3. | Geben Sie files ein, und drücken Sie die EINGABETASTE. | 4. | Geben Sie compact to laufwerk:\lokalerverzeichnispfad ein, und drücken Sie die EINGABETASTE.
Wenn Sie in eine Freigabe komprimieren wollen, geben Sie den Laufwerksbuchstaben an, dem Sie die Freigabe zugeordnet haben. | 5. | Wenn keine Fehler auftreten, gehen Sie zu Schritt 6. Wenn Fehler auftreten, machen Sie mit Schritt 9 weiter.
Vorsicht
Überschreiben Sie nicht die originale Datenbank oder löschen Protokolldateien. | 6. | Folgen Sie den Anweisungen von Ntdsutil: | • | Löschen aller Protokolldateien mit dem Befehl: del Laufwerk:\PfadZuDenProtokolldateien\*.log Anmerkung
Die Datei Edb.chk wird nicht gelöscht. | | • | Wenn Sie die Möglichkeit dazu haben, sichern Sie die originale Datenbank an einem anderen Speicherort. | | • | Kopieren Sie die komprimierte Datenbank an den Originalspeicherort: copy temporäreslauferk:\ntds.dit OriginalLaufwerk:\PfadZurOriginaldatenbankdatei\ntds.dit |
| 7. | Geben Sie ntdsutil ein, und drücken Sie die EINGABETASTE. | 8. | Geben Sie files ein, und drücken Sie die EINGABETASTE. | 9. | Geben Sie integrity ein, und drücken Sie die EINGABETASTE.
Wenn die Integritätsprüfung fehlschlägt, fahren Sie mit Schritt 6.3 fort. Wenn die Prüfung wieder fehlschlägt: | • | Kontaktieren Sie den Microsoft-Produktsupport. |
-oder- | • | Kopieren Sie die Originalversion der Datenbank, die Sie in Schritt 6.2 gesichert haben, an den ursprünglichen Platz zurück, und wiederholen Sie das gesamte Verfahren. |
| 10. | Wenn die Integritätsprüfung erfolgreich ist, schließen Sie Ntdsutil.exe. | 11. | Starten Sie den Domänencontroller im normalen Modus. |
Wenn beim Neustart des Domänencontrollers Fehler auftreten: 1. | Starten Sie den Domänencontroller im Verzeichnisdienstwiederherstellungsmodus. | 2. | Suchen Sie in der Ereignisanzeige nach Fehlern: | • | Ereignis ID 1046. “The Active Directory database engine caused an exception with the following parameters.” Stellen Sie eine Sicherung wieder her. | | • | Ereignis ID 1168. “Internal error: An Active Directory error has occurred.” Stellen Sie eine Sicherung wieder her. |
| 3. | Prüfen Sie die Datenbankintegrität, und gehen Sie folgendermaßen vor: Wenn die Prüfung fehlschlägt, wiederholen Sie die Schritte 6.3 bis 9 und prüfen Sie die Integrität noch einmal. Wenn diese wieder fehlschlägt, gehen sie folgendermaßen vor: | • | Kontaktieren Sie den Microsoft-Produktsupport. |
-oder- | • | Kopieren Sie die Originalversion der Datenbank, die Sie in Schritt 6.2 gesichert haben, an den ursprünglichen Platz zurück, und wiederholen Sie das gesamte Verfahren. |
Wenn die Prüfung erfolgreich ist, führen Sie eine Semantikanalyse durch. | 4. | Wenn die Semantikanalyse erfolgreich ist, verlassen Sie Ntdsutil.exe und starten den Domänencontroller im normalen Modus neu. |
Wenn die Semantikanalyse fehlschlägt, kontaktieren Sie den Microsoft-Produktsupport. Durchführen einer Semantikanalyse bei einem Fehlschlag der IntegritätsprüfungWenn Sie die Semantikanalyse mit dem Befehl Go Fixup statt Go starten, werden Fehler in der Datei Dsdit.dmp.xx protokolliert. Anmerkung Für dieses Verfahren muss der Domänencontroller im Verzeichnisdienstwiederherstellungsmodus gestartet werden. Administrative Berechtigungen Sie müssen Administrator auf dem lokalen Computer sein. "Durchführen einer Semantikanalyse bei einem Fehlschlag der Integritätsprüfung" 1. | Öffnen Sie eine Eingabeaufforderung. | 2. | Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE: ntdsutil: | 3. | Geben Sie semantic database analysis ein, und drücken Sie die EINGABETASTE. | 4. | Geben Sie verbose on ein, und drücken Sie die EINGABETASTE. | 5. | Geben Sie go fixup ein, und drücken Sie die EINGABETASTE. | • | Wenn Fehler angezeigt werden, führen Sie eine Wiederherstellung der Verzeichnisdatenbank durch. Vorsicht
Verwechseln Sie den Wiederherstellungsbefehl nicht mit dem Reparaturbefehl. Nutzen Sie auf keinen Fall den Reparaturbefehl von Ntdsutil.exe - dies könnte zu einem gesamtstrukturweiten Datenverlust führen. | | • | Wenn die Analyse erfolgreich ist, verlassen Sie Ntdsutil.exe und starten den Domänencontroller normal. |
|
| 
