Natürlich sollte man heutzutage die Festplatten sowie die Partitionierung dieser auf den Domänencontrollern, zukunftsorientiert aus- bzw. einrichten.
Falls einem dann doch mal die Systempartition C: worauf die Active Directory-Datenbank sowie Logs darauf liegen, knapp wird, ist es möglich die AD-Datenbank samt Logs auf eine andere Partition zu verschieben.
Das Verschieben unter Windows 2000 und Windows Server 2003
Die Active Directory-Datenbank sowie die Log-Dateien können unter Windows 2000 sowie Windows Server 2003 folgendermaßen verschoben werden:
- Zuerst gilt es den Domänencontroller im Modus Verzeichnisdienstwiederherstellung zu starten.
Der Eintrag erscheint beim Startvorgang des Servers, mit betätigen der F8-Taste.
- Am Anmeldebildschirm angelangt, muss man sich als Administrator und dem “Kennwort für den Wiederherstellungsmodus” (das während dem Heraufstufen zum DC vergeben wurde) anmelden.
- Wenn man angemeldet ist gilt es entweder unter Start-Ausühren oder aus einer Kommandozeile (CMD) heraus, dass NTDSUTIL zu starten um in den speziellen Active Directory-Bearbeitungsmodus zu gelangen. Wie bei allen Windows Tools, kann man sich auch hier mit dem Schalter /? eine Hilfe anzeigen lassen
- An der NTDSUTIL-Eingabeaufforderung gibt man folgendes ein: FILES
- In der “File Maintenance” – Eingabeaufforderung, kann zwischen zwei Optionen gewählt werden:
- Zum Verschieben der Active Directory-Datenbank “NTDS.DIT”, kann mit dem Befehl move db to <Laufwerk:\\Zielort> die NTDS.DIT an ihren neuen Zielort (z.B. “D:\NTDS\”) verschoben werden.
- Zum Verschieben der Active Directory Log Dateien “EDB*.LOG” (mit je 10 MB Größe), tippt man den Befehl move logs to <Laufwerk:\\Zielort> ein.
Wenn der <Zielort> (bei der Datenbank sowie Logs) Leerzeichen im Verzeichnisnamen enthält, gilt es die Bezeichnung in Anführungszeichen zu setzen.
- Zum Verschieben der Active Directory-Datenbank “NTDS.DIT”, kann mit dem Befehl move db to <Laufwerk:\\Zielort> die NTDS.DIT an ihren neuen Zielort (z.B. “D:\NTDS\”) verschoben werden.
- Mit dem Befehl info wird eine Übersicht und der neue Speicherort der Active Drectory-Datenbank sowie Log-Dateien angezeigt.
- Um die Integrität der NTDS.DIT an dem neuen Speicherort zu überprüfen, gibt man den Befehl integrity ein.
- Mit der zweimaligen Eingabe von quit gelangt man zur Eingabeaufforderung.
- Anschließend gilt es noch sicherzustellen, dass die Dateiberechtigung auf NTFS-Ebene für das neue Verzeichnis in der die Active Directory-Datenbank sowie Log-Dateien gespeichert sind stimmen.
Die vier Gruppen “Administratoren, Ersteller-Besitzer, Lokaler Dienst und System” müssen eingetragen sein und die Rechtevergabe hat folgendermaßen auszusehen:
Administratoren=Vollzugriff. Als Vererbung ist einzustellen “Dieser Ordner, Unterordner und Dateien“.
Ersteller-Besitzer=Vollzugriff. Als Vererbung ist einzustellen “Nur Unterordner und Dateien“.
SYSTEM=Vollzugriff. Als Vererbung ist einzustellen “Dieser Ordner, Unterordner und Dateien“.
Lokaler Dienst=Ordner erstellen, Daten anhängen. Als Vererbung ist einzustellen “Dieser Ordner und Unterordner“.
Die Berechtigungen sind direkt auf dem neuen Verzeichnis zu setzen und sollten nicht vererbt werden!
- Nun startet man den Domänencontroller im normalen Modus.
Das Verschieben ab Windows Server 2008
Ab Windows Server 2008 kann man die AD-Datenbank sowie die Log-Dateien, ohne das der DC im Modus Verzeichnisdienstwiederherstellung gestartet werden muss, verschieben.
Denn eines der Neuerungen ab Windows Server 2008, ist die Möglichkeit des Stoppen und Starten des Dienstes Active Directory-Domänendienste (AD-DS). Die Vorgehensweise wäre wie folgt:
Im ersten Schritt muss der Dienst Active Directory-Domänendienste in der Dienstesteuerung (services.msc) oder in der Kommandozeile mit dem Befehl net stop ntds gestoppt werden. Zeitgleich werden dann die abhängigen Dienste Dateireplikationsdienst, Kerberos-Schlüsselverteilungsdienst, Standortübergreifender Messagingdienst und DNS-Server ebenfalls mit angehalten.
Es gilt zunächst das NTDSUTIL aufzurufen, entweder unter Start-Ausführen oder direkt in der Kommandozeile.
In NTDSUTIL muss anschließend die Active Directory-Instanz aktiviert werden. Dieses ist mit dem Befehl activate instance ntds möglich.
Danach wechselt man mit dem Befehl Files in das File maintenance Submenü.
In der “File Maintenance” – Eingabeaufforderung, kann zwischen zwei Optionen gewählt werden:
- Zum Verschieben der Active Directory-Datenbank “NTDS.DIT”, kann mit dem Befehl move db to <Laufwerk:\\Zielort> die NTDS.DIT an ihren neuen Zielort (z.B. “D:\NTDS\”) verschoben werden.
- Zum Verschieben der Active Directory Log Dateien “EDB*.LOG” (mit je 10 MB Größe), tippt man den Befehl move logs to <Laufwerk:\\Zielort> ein.
Wenn der <Zielort> (bei der Datenbank sowie Logs) Leerzeichen im Verzeichnisnamen enthält, gilt es die Bezeichnung in Anführungszeichen zu setzen.
- Zum Verschieben der Active Directory-Datenbank “NTDS.DIT”, kann mit dem Befehl move db to <Laufwerk:\\Zielort> die NTDS.DIT an ihren neuen Zielort (z.B. “D:\NTDS\”) verschoben werden.
Mit dem Befehl info wird eine Übersicht und der neue Speicherort der Active Drectory-Datenbank sowie Log-Dateien angezeigt.
Um die Integrität der NTDS.DIT an dem neuen Speicherort zu überprüfen, gibt man den Befehl integrity ein.
Mit der zweimaligen Eingabe von quit gelangt man zur Eingabeaufforderung.
Anschließend gilt es noch sicherzustellen, dass die Dateiberechtigung, auf NTFS-Ebene für das neue Verzeichnis in der die Active Directory-Datenbank sowie Log-Dateien gespeichert sind, stimmen. Doch zuvor muss man den Dienst Active Directory-Domänendienste samt den abhängigen Diensten, entweder in der Dienstesteuerung oder in der Kommandozeile mit dem Befehl net start ntds starten. Das ist deshalb notwendig, da ansonsten nicht alle Namen aufgelöst und lediglich die SIDs angezeigt werden. Das erschwert unnötig das Sicherstellen der Dateiberechtigung.
Die vier Gruppen “Administratoren, Ersteller-Besitzer, Lokaler Dienst und System” müssen eingetragen sein und die Rechtevergabe hat folgendermaßen auszusehen:
Administratoren=Vollzugriff. Als Vererbung ist einzustellen “Dieser Ordner, Unterordner und Dateien“.
Ersteller-Besitzer=Vollzugriff. Als Vererbung ist einzustellen “Nur Unterordner und Dateien“.
SYSTEM=Vollzugriff. Als Vererbung ist einzustellen “Dieser Ordner, Unterordner und Dateien“.
Lokaler Dienst=Ordner erstellen, Daten anhängen. Als Vererbung ist einzustellen “Dieser Ordner und Unterordner“.
Die Berechtigungen sind direkt auf dem neuen Verzeichnis zu setzen und sollten nicht vererbt werden!
Wichtig: Vor- und nach dem Verschieben der Datenbank sowie Protokolldateien, sollte zwingend eine Datensicherung des System States existieren!
Gerade nach dem Verschieben ist es wichtig eine System State-Sicherung zu tätigen, da bei einem Restore einer älteren Sicherung, der Pfad zur NTDS.DIT nicht mehr stimmt.
Weitere Informationen:
Die Active Directory-Datenbank reparieren
Relocating SYSVOL Manually
Reset the File Replication service staging folder to a different logical drive
How To Move the Ntds.dit File or Log Files
When you perform a system state backup on a domain controller that is running Windows Server 2003 with Service Pack 1, Backup may fail
“Directory Services cannot start” error message when you start your Windows-based or SBS-based domain controller
Comments are closed, but trackbacks and pingbacks are open.