Pouco espaço de armazenamento disponível no Active Directory - AWS Directory Service
A pasta SYSVOL está armazenando mais do que objetos essenciais da política de grupoO banco de dados do Active Directory preencheu o volume

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pouco espaço de armazenamento disponível no Active Directory

Quando seu Microsoft AD AWS gerenciado está comprometido devido ao fato de o Active Directory ter pouco espaço de armazenamento disponível, é necessária uma ação imediata para retornar o diretório ao estado ativo. As duas causas mais comuns desse problema são abordadas nas seções abaixo:

  1. A pasta SYSVOL está armazenando mais do que objetos essenciais da política de grupo

  2. O banco de dados do Active Directory preencheu o volume

Para obter informações sobre preços sobre o armazenamento AWS gerenciado do Microsoft AD, consulte AWS Directory Service Preços.

A pasta SYSVOL está armazenando mais do que objetos essenciais da política de grupo

Uma causa comum desse problema é o armazenamento de arquivos não essenciais para processamento da política de grupo na pasta SYSVOL. Esses arquivos não essenciais podem ser EXEs, MSIs ou qualquer outro arquivo que não seja essencial para a política de grupo processar. Os objetos essenciais para a política de grupo processar são os objetos da política de grupo, os scripts de logon\logoff e o Repositório central para objetos da política de grupo. Todos os arquivos não essenciais devem ser armazenados em um (s) servidor (es) de arquivos diferente dos controladores de domínio AWS gerenciados do Microsoft AD.

Se forem necessários arquivos para a Instalação do software da política de grupo, você deverá usar um servidor de arquivos para armazenar esses arquivos de instalação. Se você preferir não autogerenciar um servidor de arquivos, AWS fornece uma opção de servidor de arquivos gerenciado, o Amazon FSx.

Para remover quaisquer arquivos desnecessários, você pode acessar o compartilhamento SYSVOL através do caminho UNC (Universal naming convention, Convenção de nomenclatura universal). Por exemplo, se o FQDN (Fully qualified domain name, Nome de domínio totalmente qualificado) for example.com, o caminho UNC para SYSVOL será “\\example.local\SYSVOL\example.local\”. Depois de localizar e remover os objetos não essenciais para a política de grupo processar o diretório, ele deve regressar a um estado Active (Ativo) dentro de 30 minutos. Se após 30 minutos o diretório não estiver ativo, entre em contato com o AWS Support.

Armazenar apenas arquivos essenciais da política de grupo em seu compartilhamento SYSVOL garantirá que você não prejudique seu diretório devido à sobrecarga do SYSVOL.

O banco de dados do Active Directory preencheu o volume

Uma causa comum desse problema é o banco de dados do Active Directory preencher o volume. Para verificar se é esse o caso, você pode revisar a contagem total de objetos no seu diretório. A palavra total está em negrito para garantir que você entenda que os objetos deleted (excluídos) ainda são contabilizados no número total de objetos em um diretório.

Por padrão, o Microsoft AD AWS gerenciado mantém os itens na lixeira do AD por 180 dias antes de se tornarem um objeto reciclado. Depois de se tornar um Objeto reciclado (para exclusão), o objeto é retido por mais 180 dias antes de ser finalmente eliminado do diretório. Portanto, quando um objeto é excluído, ele fica no banco de dados do diretório por 360 dias antes de ser limpo. É por isso que o número total de objetos precisa ser avaliado.

Para obter mais detalhes sobre as contagens de objetos compatíveis com o Microsoft AD AWS gerenciado, consulte AWS Directory Service Preços.

Para obter o número total de objetos em um diretório que inclui os objetos excluídos, você pode executar o PowerShell comando a seguir em uma instância do Windows associada ao domínio. Para obter as etapas de configuração de uma instância de gerenciamento, consulte Gerenciar usuários e grupos no AWS Microsoft Managed AD. 

Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'

Veja abaixo um exemplo de saída do comando acima:

Count
10000

Se a contagem total estiver acima da contagem de objetos compatível com o tamanho do diretório listado na observação acima, você excedeu a capacidade do diretório.

Veja abaixo as opções para resolver esse problema:

  1. Limpeza AD

    1. Excluir todos os objetos indesejados do AD.

    2. Remover todos os objetos indesejados da Lixeira do AD. Observe que trata-se de uma ação destrutiva e a única maneira de recuperar esses objetos excluídos será executar uma restauração do diretório.

    3. O comando a seguir removerá todos os objetos excluídos da Lixeira do AD.

      Importante

      Use este comando com extrema cautela, pois trata-se de um comando destrutivo e a única maneira de recuperar esses objetos excluídos será executar uma restauração do diretório. 

      $DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
$NetBios = $DomainInfo.NetBIOSName
$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }
ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }

    4. Abra um caso com o AWS Support para solicitar que AWS Directory Service recupere o espaço livre.

  2. Se seu tipo de diretório for Standard Edition, abra um caso com o AWS Support solicitando que seu diretório seja atualizado para a Enterprise Edition. Isso também aumentará o custo do seu diretório. Para obter informações sobre a definição de preço, consulte Definição de preço do AWS Directory Service.

No AWS Managed Microsoft AD, os membros do grupo AWS Delegated Deleted Object Lifetime Administrators têm a capacidade de modificar o msDS-DeletedObjectLifetime atributo que define por quanto tempo, em dias, os objetos excluídos são mantidos na Lixeira do AD antes de se tornarem Objetos Reciclados.

nota

Este é um tópico avançado. Se for configurado incorretamente, ele poderá resultar em perda de dados. É altamente recomendável que você consulte primeiro A Lixeira do AD: noções básicas, implementação, práticas recomendadas e solução de problemas para obter uma melhor compreensão desses processos.

A capacidade de alterar o valor do atributo msDS-DeletedObjectLifetime para um número menor pode ajudar a garantir que a contagem de objetos não exceda os níveis com suporte. O menor valor válido em que este atributo pode ser definido é 2 dias. Depois que esse valor for excedido, você não poderá mais recuperar o objeto excluído usando a Lixeira do AD. Isso exigirá a restauração do seu diretório a partir de um snapshot para recuperar o(s) objeto(s). Para ter mais informações, consulte Criar um snapshot ou restaurar seu diretório. Todas as restaurações de um snapshot podem causar perda de dados, pois elas são de um momento em específico.

Para alterar o tempo de vida do objeto excluído do diretório, execute o comando a seguir:

nota

Se você executar o comando como ele está, ele definirá o valor do atributo Deleted Object Lifetime como 30 dias. Se você quiser tornar esse período mais longo ou mais curto, substitua “30” pelo número que preferir. No entanto, recomendamos que você não ultrapasse o número padrão de 180.

$DeletedObjectLifetime = 30
$DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}