Pouco espaço de armazenamento disponível no AWS Managed Microsoft AD - AWS Directory Service
A pasta SYSVOL está armazenando mais do que objetos essenciais da política de grupoO banco de dados do Active Directory preencheu o volume

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Pouco espaço de armazenamento disponível no AWS Managed Microsoft AD

Quando o AWS Managed Microsoft AD está danificado devido ao Active Directory ter pouco espaço de armazenamento disponível, uma ação imediata é necessária para retornar o diretório a um estado ativo. As duas causas mais comuns desse problema são abordadas nas seções abaixo:

  1. A pasta SYSVOL está armazenando mais do que objetos essenciais da política de grupo

  2. O banco de dados do Active Directory preencheu o volume

Para obter mais informações sobre o armazenamento do AWS Managed Microsoft AD, consulte Preços do Directory Service.

A pasta SYSVOL está armazenando mais do que objetos essenciais da política de grupo

Uma causa comum desse problema é o armazenamento de arquivos não essenciais para processamento da política de grupo na pasta SYSVOL. Esses arquivos não essenciais podem ser EXEs, MSIs ou qualquer outro arquivo que não seja essencial para a política de grupo processar. Os objetos essenciais para a política de grupo processar são os objetos da política de grupo, os scripts de logon\logoff e o Repositório central para objetos da política de grupo. Todos os arquivos não essenciais devem ser armazenados em servidores de arquivos que não sejam seus controladores de domínio AWS Managed Microsoft AD.

Se forem necessários arquivos para a Instalação do software da política de grupo, você deverá usar um servidor de arquivos para armazenar esses arquivos de instalação. Se você preferir não gerenciar por conta própria um servidor de arquivos, a AWS fornecerá uma opção de servidor de arquivos gerenciado, o Amazon FSx.

Para remover arquivos desnecessários, você pode acessar o compartilhamento SYSVOL no caminho de convenção de nomenclatura universal (UNC). Por exemplo, se o nome de domínio totalmente qualificado (FQDN) for example.com, o caminho UNC para SYSVOL será “\\example.local\SYSVOL\example.local\”. Depois de localizar e remover os objetos não essenciais para a política de grupo processar o diretório, ele deve regressar a um estado Active (Ativo) dentro de 30 minutos. Se o diretório não estiver ativo após 30 minutos, entre em contato com o AWS Support.

Armazenar apenas arquivos essenciais da política de grupo em seu compartilhamento SYSVOL garantirá que você não prejudique seu diretório devido à sobrecarga do SYSVOL.

O banco de dados do Active Directory preencheu o volume

Uma causa comum desse problema é o banco de dados do Active Directory preencher o volume. Para verificar se é esse o caso, você pode revisar a contagem total de objetos no seu diretório. A palavra total está em negrito para garantir que você entenda que os objetos deleted (excluídos) ainda são contabilizados no número total de objetos em um diretório.

Por padrão, o AWS Managed Microsoft AD mantém os itens na Lixeira do AD por 180 dias antes de eles se tornarem Objetos reciclados. Depois de se tornar um Objeto reciclado (para exclusão), o objeto é retido por mais 180 dias antes de ser finalmente eliminado do diretório. Portanto, quando um objeto é excluído, ele fica no banco de dados do diretório por 360 dias antes de ser limpo. É por isso que o número total de objetos precisa ser avaliado.

Para obter mais detalhes sobre as contagens de objetos compatíveis com o AWS Managed Microsoft AD, consulte Preços do Directory Service.

Para obter o número total de objetos em um diretório que inclui os objetos excluídos, é possível executar o comando do PowerShell a seguir a partir de uma instância do Windows associada ao domínio. Para obter as etapas de configuração de uma instância de gerenciamento, consulte Gerenciamento de usuários e grupos no AWS Managed Microsoft AD. 

Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'

Veja abaixo um exemplo de saída do comando acima:

Count
10000

Se a contagem total estiver acima da contagem de objetos compatível com o tamanho do diretório listado na observação acima, você excedeu a capacidade do diretório.

Veja abaixo as opções para resolver esse problema:

  1. Limpeza AD

    1. Excluir todos os objetos indesejados do AD.

    2. Remover todos os objetos indesejados da Lixeira do AD. Observe que trata-se de uma ação destrutiva e a única maneira de recuperar esses objetos excluídos será executar uma restauração do diretório.

    3. O comando a seguir removerá todos os objetos excluídos da Lixeira do AD.

      Importante

      Use este comando com extrema cautela, pois trata-se de um comando destrutivo e a única maneira de recuperar esses objetos excluídos será executar uma restauração do diretório. 

      $DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
$NetBios = $DomainInfo.NetBIOSName
$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }
ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }

    4. Abra um caso com o AWS Support para solicitar que o Directory Service recupere o espaço livre.

  2. Se seu tipo de diretório for Standard Edition, abra um caso com o AWS Support solicitando que o diretório seja atualizado para Enterprise Edition. Isso também aumentará o custo do seu diretório. Para obter informações sobre a definição de preço, consulte Definição de preço do Directory Service.

No AWS Managed Microsoft AD, os membros do grupo Administradores de ciclo de vida de objeto excluído delegados pela AWS têm a capacidade de modificar o atributo msDS-DeletedObjectLifetime que define a quantidade de tempo em dias em que os objetos excluídos são mantidos na Lixeira do AD antes de se tornarem Objetos reciclados.

nota

Este é um tópico avançado. Se for configurado incorretamente, ele poderá resultar em perda de dados. É altamente recomendável que você consulte primeiro A Lixeira do AD: noções básicas, implementação, práticas recomendadas e solução de problemas para obter uma melhor compreensão desses processos.

A capacidade de alterar o valor do atributo msDS-DeletedObjectLifetime para um número menor pode ajudar a garantir que a contagem de objetos não exceda os níveis com suporte. O menor valor válido em que este atributo pode ser definido é 2 dias. Depois que esse valor for excedido, você não poderá mais recuperar o objeto excluído usando a Lixeira do AD. Isso exigirá a restauração do seu diretório a partir de um snapshot para recuperar o(s) objeto(s). Para obter mais informações, consulte Restaurando seu Microsoft AD AWS gerenciado com instantâneos. Todas as restaurações de um snapshot podem causar perda de dados, pois elas são de um momento em específico.

Para alterar o tempo de vida do objeto excluído do diretório, execute o comando a seguir:

nota

Se você executar o comando como ele está, ele definirá o valor do atributo Deleted Object Lifetime como 30 dias. Se você quiser tornar esse período mais longo ou mais curto, substitua “30” pelo número que preferir. No entanto, recomendamos que você não ultrapasse o número padrão de 180.

$DeletedObjectLifetime = 30
$DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}