AWS Microsoft AD gerenciou pouco espaço de armazenamento disponível - AWS Directory Service
SYSVOLa pasta está armazenando mais do que objetos essenciais de política de grupoO banco de dados do Active Directory preencheu o volume

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Microsoft AD gerenciou pouco espaço de armazenamento disponível

Quando seu Microsoft AD AWS gerenciado está comprometido devido a Active Directory com pouco espaço de armazenamento disponível, é necessária uma ação imediata para retornar o diretório ao estado ativo. As duas causas mais comuns desse problema são abordadas nas seções abaixo:

  1. SYSVOLa pasta está armazenando mais do que objetos essenciais de política de grupo

  2. O banco de dados do Active Directory preencheu o volume

Para obter informações sobre preços sobre o armazenamento AWS gerenciado do Microsoft AD, consulte AWS Directory Service Preços.

SYSVOLa pasta está armazenando mais do que objetos essenciais de política de grupo

Uma causa comum dessa deficiência é o armazenamento de arquivos não essenciais para processamento da Política de Grupo na pasta. SYSVOL Esses arquivos não essenciais podem serEXEs,MSIs, ou qualquer outro arquivo que não seja essencial para o processamento da Política de Grupo. Os objetos essenciais para a política de grupo processar são os objetos da política de grupo, os scripts de logon\logoff e o Repositório central para objetos da política de grupo. Todos os arquivos não essenciais devem ser armazenados em um (s) servidor (es) de arquivos diferente dos controladores de domínio AWS gerenciados do Microsoft AD.

Se forem necessários arquivos para a Instalação do software da política de grupo, você deverá usar um servidor de arquivos para armazenar esses arquivos de instalação. Se você preferir não autogerenciar um servidor de arquivos, AWS fornece uma opção de servidor de arquivos gerenciado, a Amazon FSx.

Para remover qualquer arquivo desnecessário, você pode acessar o SYSVOL compartilhamento por meio do caminho de convenção de nomenclatura universal (UNC). Por exemplo, se o nome de domínio totalmente qualificado do seu domínio (FQDN) for exemplo.com, o UNC caminho para o SYSVOL seria “\\ exemplo.local\\ exemplo.local\SYSVOL”. Depois de localizar e remover os objetos não essenciais para a política de grupo processar o diretório, ele deve regressar a um estado Active (Ativo) dentro de 30 minutos. Se após 30 minutos o diretório não estiver ativo, entre em contato com o AWS Support.

Armazenar somente arquivos essenciais de Política de Grupo em seu SYSVOL compartilhamento garantirá que você não prejudique seu diretório devido ao SYSVOL inchaço.

O banco de dados do Active Directory preencheu o volume

Uma causa comum desse problema é o banco de dados do Active Directory preencher o volume. Para verificar se é esse o caso, você pode revisar a contagem total de objetos no seu diretório. A palavra total está em negrito para garantir que você entenda que os objetos deleted (excluídos) ainda são contabilizados no número total de objetos em um diretório.

Por padrão, o Microsoft AD AWS gerenciado mantém os itens na lixeira do AD por 180 dias antes de se tornarem um objeto reciclado. Depois de se tornar um Objeto reciclado (para exclusão), o objeto é retido por mais 180 dias antes de ser finalmente eliminado do diretório. Portanto, quando um objeto é excluído, ele fica no banco de dados do diretório por 360 dias antes de ser limpo. É por isso que o número total de objetos precisa ser avaliado.

Para obter mais detalhes sobre as contagens de objetos compatíveis com o Microsoft AD AWS gerenciado, consulte AWS Directory Service Preços.

Para obter o número total de objetos em um diretório que inclui os objetos excluídos, você pode executar o PowerShell comando a seguir em uma instância do Windows associada ao domínio. Para obter as etapas de configuração de uma instância de gerenciamento, consulte Gerenciamento de usuários e grupos no AWS Managed Microsoft AD. 

Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'

Veja abaixo um exemplo de saída do comando acima:

Count
10000

Se a contagem total estiver acima da contagem de objetos compatível com o tamanho do diretório listado na observação acima, você excedeu a capacidade do diretório.

Veja abaixo as opções para resolver esse problema:

  1. Limpeza AD

    1. Excluir todos os objetos indesejados do AD.

    2. Remover todos os objetos indesejados da Lixeira do AD. Observe que trata-se de uma ação destrutiva e a única maneira de recuperar esses objetos excluídos será executar uma restauração do diretório.

    3. O comando a seguir removerá todos os objetos excluídos da Lixeira do AD.

      Importante

      Use este comando com extrema cautela, pois trata-se de um comando destrutivo e a única maneira de recuperar esses objetos excluídos será executar uma restauração do diretório. 

      $DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
$NetBios = $DomainInfo.NetBIOSName
$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }
ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }

    4. Abra um caso com o AWS Support para solicitar que AWS Directory Service recupere o espaço livre.

  2. Se seu tipo de diretório for Standard Edition, abra um caso com o AWS Support solicitando que seu diretório seja atualizado para a Enterprise Edition. Isso também aumentará o custo do seu diretório. Para obter informações sobre a definição de preço, consulte Definição de preço do AWS Directory Service.

No AWS Managed Microsoft AD, os membros do grupo AWS Delegated Deleted Object Lifetime Administrators têm a capacidade de modificar o msDS-DeletedObjectLifetime atributo que define por quanto tempo, em dias, os objetos excluídos são mantidos na Lixeira do AD antes de se tornarem Objetos Reciclados.

nota

Este é um tópico avançado. Se for configurado incorretamente, ele poderá resultar em perda de dados. É altamente recomendável que você consulte primeiro A Lixeira do AD: noções básicas, implementação, práticas recomendadas e solução de problemas para obter uma melhor compreensão desses processos.

A capacidade de alterar o valor do atributo msDS-DeletedObjectLifetime para um número menor pode ajudar a garantir que a contagem de objetos não exceda os níveis com suporte. O menor valor válido em que este atributo pode ser definido é 2 dias. Depois que esse valor for excedido, você não poderá mais recuperar o objeto excluído usando a Lixeira do AD. Isso exigirá a restauração do seu diretório a partir de um snapshot para recuperar o(s) objeto(s). Para obter mais informações, consulte Restaurando seu Microsoft AD AWS gerenciado com instantâneos. Todas as restaurações de um snapshot podem causar perda de dados, pois elas são de um momento em específico.

Para alterar o tempo de vida do objeto excluído do diretório, execute o comando a seguir:

nota

Se você executar o comando como ele está, ele definirá o valor do atributo Deleted Object Lifetime como 30 dias. Se você quiser tornar esse período mais longo ou mais curto, substitua “30” pelo número que preferir. No entanto, recomendamos que você não ultrapasse o número padrão de 180.

$DeletedObjectLifetime = 30
$DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}