Categories: Active Directory

Перенос базы данных Active Directory

В этой статье мы покажем, как перенести базу данных и транзакционные логи Active Directory из одного каталога в другой . Данный мануал может пригодится, когда нужно перенести базу AD на другой диск (в ситуациях, когда на первоначальном диске закончилось свободное место или при недостаточной производительности дисковой подсистемы), либо перенести файлы AD в другой каталог (например, в рамках приведения к стандартному виду путей к БД AD на всех контроллерах домена предприятия).

Перенос файлов базы данных Active Directory возможен только при остановленных службах Active Directory Domain Services. Для переноса мы воспользуемся утилитой ntdsutil .

Перед началом переноса базы и файлов журналов транзакций Active Directory нужно убедится, что диск, на который планируется перенос подключен к системе, а целевая папка создана.

Важно! Для хранения базы данных Active Directory нельзя использовать съемный диск. Диск должен быть отформатирован в файловой системе NTFS. Файловые системы FAT/FAT32/ ReFS / ExFAT не поддерживаются.

Операция переноса должна выполняться из-под учетной записи администратора домена / предприятия (группы Domain Admins/Enterprise Admins).

Перенос базы и журналов транзакций Active Directory на контроллере домена во всех поддерживаемых на данный момент серверных ОС Microsoft практически идентичен за исключением пары моментов.

Содержание:

Перенос NTFS разрешений каталога NTDS
Перенос БД AD в Windows Server 2008/2008 R2
Перенос БД AD в Windows Server 2012/2012 R2
Перенос базы AD в Windows Server 2003

Перенос NTFS разрешений каталога NTDS

Очень важно при переносе файлов базы и журналов AD, чтобы на новый каталог действовали те же самые разрешения, что и на исходный. NTFS разрешения на новый каталог можно назначить вручную или скопировать такой командой Powershell:

get-acl C:WindowsNTDS | set-acl E:NTDS

где, C:WindowsNTDS – первоначальный каталог с базой AD

E:NTDS – каталог, в который производится перенос

Перенос БД AD в Windows Server 2008/2008 R2

В Windows Server 2008 / 2008 R2 роль Active Directory является отдельной службой (ADDS), которую можно остановить, без необходимости перезагружать сервер в режиме восстановления каталога (DSRM). Чтобы остановить службу Active Directory Domain Services, откройте командную строку с правами администратора и выполните команду:

net stop ntds

И подтвердить остановку службы нажав Y и Enter.

Далее в этой же командной строке запускаем утилиту ntdsutil:

ntdsutil

Совет . Ранее мы уже писали, как с помощью ntdsutil можно выполнить различные операции по обслуживанию и управлению метаданными в базе AD. Например:

Сжать базу Active Directory
Удалить неисправный контроллер домена
Передать роли FSMO
Выполнить анализ и поиcк ошибок в базе AD

Выберем активный экземпляр базы AD:

activate instance NTDS

Перейдем в контекст files, в котором возможно выполнение операция с файлами базы AD, набрав к командной строке:

files

Перенесем базу AD в новый каталог:

move DB to E:ADDB

Убедимся, что база данных Active Directory теперь находится в другом каталоге, набрав в командной строке ntdsutil :

info

Далее переместим в тот же каталог файлы с журналами транзакций:

move logs to E:ADDB

Удостоверимся, что все перенесено корректно, открыв целевой каталог в проводнике.

Осталось в контексте ntdsutil дважды набрать quit .

Запустим службу Active Directory Domain Services командой:

net start NTDS

Важно . После выполнения операции переноса в обязательном порядке выполнить резервное копирование контроллера домена, чтобы иметь актуальную резервную копию базы AD с новыми путями.

Перенос БД AD в Windows Server 2012/2012 R2

В Windows Server 2012/ 2012 R2 процедура переноса базы аналогична описанной в предыдущем разделе для Windows Server 2008/2008 R2 и также не требует входа в DSRM режим .

Останавливаем службу Active Directory Domain Services:

net stop ntds

Откроем командную строку и последовательно выполним команды:

ntdsutil_x000D_activate instance NTDS_x000D_files_x000D_move DB to E:ADDB_x000D_move logs to E:ADDB_x000D_quit_x000D_quit

Запустим службу ADDS:

net start NTDS

Перенос базы AD в Windows Server 2003

В отличии от более новых платформ, служба каталога Directory Service в Windows Server 2003 / 2003 R2 использует файлы БД Active Directory в монопольном режиме. Это означает, что при работе сервера в роли контроллера домена доступ к этим файлам получить нельзя. Выполнить перенос файлов базы AD можно только в режиме восстановления Directory Services Restore Mode .

Чтобы попасть в DSRM режим, нужно перезагрузить DC и, нажав во время загрузки F8 , выбрать в меню пункт Directory Services Restore Mode (Windows domain controllers only) .

Осталось зайти в систему с паролем администратора DSRM (задается при развертывания контроллера домена), а далее отработать по уже описанной выше процедуре переноса с помощью ntdsutil.

После окончания переноса базы, сервер нужно перезагрузить в обычном режиме.

admin