AWS Managed Microsoft AD 低可用儲存空間 - AWS Directory Service
SYSVOL 資料夾正在儲存超過必要的群組政策物件Active Directory 資料庫已填滿磁碟區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Managed Microsoft AD 低可用儲存空間

當您 AWS 的 Managed Microsoft AD 因 Active Directory 可用儲存空間不足,必須立即採取動作,將目錄傳回作用中狀態。以下章節涵蓋造成這種損害最常見的兩個原因:

  1. SYSVOL 資料夾正在儲存超過必要的群組政策物件

  2. Active Directory 資料庫已填滿磁碟區

如需 AWS Managed Microsoft AD 儲存體的定價資訊,請參閱AWS Directory Service 定價

SYSVOL 資料夾正在儲存超過必要的群組政策物件

這種損害的常見原因是在 SYSVOL 資料夾中儲存群組政策處理的非必要檔案。這些非必要檔案可以是 EXEs、 MSIs或群組政策處理所需的任何其他檔案。群組原則應處理的必要物件是群組政策物件、登入/登出指令碼,以及群組原則物件的中央存放區。任何非必要檔案都應存放在 Managed Microsoft AD 網域控制器 ( AWS Managed Microsoft AD) 以外的檔案伺服器上。

如果需要群組原則軟體安裝的檔案,建議您使用檔案伺服器來存放這些安裝檔案。如果您不想自行管理檔案伺服器, AWS 會提供受管檔案伺服器選項 Amazon FSx

若要移除任何不必要的檔案,您可以透過共用的通用命名慣例 (UNC) 路徑來存取SYSVOL共用。例如,如果您網域的完整網域名稱 (FQDN) 是 example.com,則 的UNC路徑SYSVOL會是「\\example.localSYSVOL\example.local\」。一旦您找到並移除群組原則處理目錄時不需要的物件,其應該就會在 30 分鐘內回到作用中狀態。如果 30 分鐘後目錄未處於作用中狀態,請聯絡 AWS 支援。

僅將必要的群組政策檔案存放在SYSVOL共用中,可確保您不會因為 bloat SYSVOL 而損害目錄。

Active Directory 資料庫已填滿磁碟區

造成這種損害的常見原因是 Active Directory 資料庫填滿了磁碟區。如要驗證是否是這種情況,您可以檢閱您目錄中物件的 total (總) 計數。我們將 total (總) 這個字以粗體表示,是為了讓您了解 deleted (已刪除) 的物件仍然會計入目錄中的物件總數。

根據預設, AWS Managed Microsoft AD 會將 AD Recycling Bin 中的項目保留 180 天,然後再成為 Recycled-Object。一旦物件成為 Recycled-Object (已標記),便會另外再保留 180 天,最後才會從目錄清除。所以當物件遭到刪除時,物件仍會存在目錄資料庫中達 360 天,之後才會遭到清除。這就是為什麼必須評估物件的總數。

如需 AWS Managed Microsoft AD 支援物件計數的詳細資訊,請參閱AWS Directory Service 定價

若要取得目錄中包含已刪除物件的物件總數,您可以從加入 Windows 執行個體的網域執行下列 PowerShell 命令。如需如何設定管理執行個體的步驟,請參閱 AWS Managed Microsoft AD 中的使用者和群組管理

Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'

以下是以上命令的範例輸出:

Count
10000

如果總計數超過您上述備註中您目錄大小所支援的物件數,您便已超過您目錄的容量。

以下是解決這項損害的選項:

  1. 清理 AD

    1. 刪除任何不需要的 AD 物件。

    2. 從 AD 資源回收筒移除任何不需要的物件。請注意,這是一項破壞性動作,且復原這些遭到刪除物件的唯一方法是執行目錄還原。

    3. 以下命令將會從 AD 資源回收筒移除任何遭到刪除的物件。

      重要

      使用此命令時請特別小心,因為這是一項破壞性動作,且復原這些遭到刪除物件的唯一方法是執行目錄還原。

      $DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
$NetBios = $DomainInfo.NetBIOSName
$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }
ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }

    4. 使用 AWS Support 開啟案例,請求 AWS Directory Service 回收可用空間。

  2. 如果您的目錄類型是 Standard Edition,請使用 AWS Support 開啟案例,請求將目錄升級至 Enterprise Edition。這也會增加您目錄的成本。如需定價資訊,請參閱 AWS Directory Service 定價

在 AWS Managed Microsoft AD 中,AWS 委派已刪除物件存留期管理員群組的成員可以修改msDS-DeletedObjectLifetime屬性,該屬性設定已刪除物件在變成回收物件之前保留在 AD Recycling Bin 中的天數。

注意

這是進階主題。如果設定不當,可能會導致資料遺失。我們強烈建議您先檢閱 The AD Recycle Bin: Understanding, Implementing, Best Practices, and Troubleshooting,以進一步了解這些程序。

msDS-DeletedObjectLifetime 屬性值變更為較低的數字,有助於確保您的物件數不會超過支援的層級。此屬性最低的有效值可以設為 2 天。一旦超過這個值,您將再也無法使用 AD 資源回收筒復原遭到刪除的物件。您將需要從快照還原目錄,才能復原這些物件。如需詳細資訊,請參閱使用快照還原 AWS Managed Microsoft AD系統會從時間點進行還原,因此快照還原可能導致資料遺失。

如要變更您目錄的刪除物件生命週期,請執行以下命令:

注意

如果您照原樣執行命令,該命令會將刪除物件生命週期屬性值設為 30 天。如果您想要使生命週期更長或更短,請將 “30” 取代成任何您偏好的數字。但是,我們建議您不要超過預設值 180。

$DeletedObjectLifetime = 30
$DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}