Poco espacio de almacenamiento disponible en Active Directory

Si su Microsoft AD AWS administrado está dañado debido a que Active Directory tiene poco espacio de almacenamiento disponible, es necesario tomar medidas inmediatas para devolver el directorio a un estado activo. Las dos causas más frecuentes de este deterioro se tratan en las siguientes secciones:

1. La carpeta SYSVOL almacena algo más que objetos esenciales de políticas de grupo

2. La base de datos de Active Directory está llena

Para obtener información sobre los precios del almacenamiento AWS administrado de Microsoft AD, consulte AWS Directory Service Precios.

La carpeta SYSVOL almacena algo más que objetos esenciales de políticas de grupo

Una causa frecuente de este deterioro es el almacenamiento de archivos no esenciales para el procesamiento de políticas de grupo en la carpeta SYSVOL. Estos archivos no esenciales pueden ser EXE, MSI o cualquier otro archivo que no sea esencial para el procesamiento de la política de grupo. Los objetos esenciales para procesar políticas de grupo son los objetos de políticas de grupo, los scripts de inicio/cierre de sesión y elalmacén central de objetos de políticas de grupo. Todos los archivos no esenciales deben almacenarse en un servidor de archivos que no sean los controladores de dominio AWS gestionados de Microsoft AD.

Si se necesitan archivos para la instalación de software de políticas de grupo, debe utilizar un servidor de archivos para almacenar esos archivos de instalación. Si prefiere no autogestionar un servidor de archivos, AWS ofrece una opción de servidor de archivos gestionado, Amazon FSx.

Para eliminar cualquier archivo innecesario, puede acceder al recurso compartido SYSVOL a través de su ruta de convención de nomenclatura universal (UNC). Por ejemplo, si el nombre de dominio completo (FQDN) de su dominio es example.com, la ruta UNC de SYSVOL será “\\example.local\SYSVOL\example.local\”. Una vez que localice y elimine los objetos no esenciales para que la política de grupo procese el directorio, debería volver a un estado activo en 30 minutos. Si después de 30 minutos el directorio no está activo, póngase en contacto con AWS Support.

Al almacenar únicamente los archivos esenciales de políticas de grupo en su recurso compartido SYSVOL, no dañará su directorio por un sobredimensionamiento de SYSVOL.

La base de datos de Active Directory está llena

Una causa frecuente de este deterioro es que la base de datos de Active Directory está llena. Para ver si es el caso, puede comprobar la cantidad total de objetos que hay en su directorio. Resaltamos la palabra total en negrita para asegurarnos de que entienda que los objetos eliminados también se tienen en cuenta a la hora de calcular el número total de objetos que hay en un directorio.

De forma predeterminada, AWS Managed Microsoft AD guarda los artículos en la papelera de reciclaje de AD durante 180 días antes de que se conviertan en objetos reciclados. Cuando un objeto se convierte en un objeto reciclado (con marcador de exclusión), este se conserva durante otros 180 días antes de que se elimine definitivamente del directorio. Por lo tanto, cuando se elimina un objeto, este existe en la base de datos del directorio durante 360 días antes de su eliminación definitiva. Esta es la razón por la que se debe evaluar el número total de objetos.

Para obtener más información sobre los recuentos de objetos AWS gestionados compatibles con Microsoft AD, consulta AWS Directory Service los precios.

Para obtener el número total de objetos de un directorio que incluye los objetos eliminados, puedes ejecutar el siguiente PowerShell comando desde una instancia de Windows unida a un dominio. Para obtener información sobre los pasos para configurar una instancia de administración, consulte Administrar usuarios y grupos en AWS Microsoft AD gestionado.

Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'

A continuación se muestra un ejemplo de resultados del comando anterior:

Count
10000

Si la cantidad total es superior al número de objetos admitidos para el tamaño de su directorio, que figura en la nota anterior, ha superado la capacidad de su directorio.

A continuación se muestran las opciones para resolver este problema:

1. Limpieza de AD

   1. Eliminación de los objetos no deseados de AD.

   2. Eliminación de los objetos no deseados de la papelera de reciclaje de AD. Tenga en cuenta que esta es una acción destructiva y que la única forma de recuperar esos objetos eliminados será realizar una restauración del directorio.

   3. El siguiente comando eliminará todos los objetos eliminados de la papelera de reciclaje de AD.

      importante

      Utilice este comando con extrema precaución, ya que se trata de un comando destructivo y la única forma de recuperar esos objetos eliminados será realizar una restauración del directorio.

      $DomainInfo = Get-ADDomain
      $BaseDn = $DomainInfo.DistinguishedName
      $NetBios = $DomainInfo.NetBIOSName
      $ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }
      ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }

   4. Abre un caso con AWS Support para solicitar que se AWS Directory Service recupere el espacio libre.

2. Si el tipo de directorio es Standard Edition, abra un caso con AWS Support solicitando que su directorio se actualice a Enterprise Edition. Esto también aumentará el costo de su directorio. Para obtener información acerca de los precios, consulte Precios de AWS Directory Service.

En Microsoft AD AWS administrado, los miembros del grupo de administradores AWS delegados de por vida de objetos eliminados tienen la posibilidad de modificar el msDS-DeletedObjectLifetime atributo que establece el tiempo en días que los objetos eliminados se guardan en la papelera de reciclaje de AD antes de que se conviertan en objetos reciclados.

nota

Este es un tema avanzado. Si no se configura correctamente, puede provocar la pérdida de datos. Le recomendamos que revise primero La papelera de reciclaje de AD: comprensión, implementación, prácticas recomendadas y solución de problemas para comprender mejor estos procesos.

La capacidad para cambiar el valor del atributo de msDS-DeletedObjectLifetime a un número inferior puede ayudar a garantizar que la cantidad de objetos no supere los niveles permitidos. El valor válido más bajo que se puede establecer para este atributo es de 2 días. Una vez superado ese valor, ya no podrá recuperar el objeto eliminado mediante la papelera de reciclaje de AD. Tendrá que restaurar su directorio a partir de una instantánea para recuperar los objetos. Para obtener más información, consulte Creación de una instantánea o restauración del directorio. Cualquier restauración a partir de una instantánea puede provocar la pérdida de datos, ya que las instantáneas reflejan el estado del directorio en un momento determinado.

Para cambiar el tiempo de conservación de los objetos eliminados en su directorio, ejecute el siguiente comando:

nota

Si ejecuta el comando tal cual, establecerá el valor del atributo de tiempo de conservación de los objetos eliminados en 30 días. Si desea que sea más largo o más corto, reemplace “30” con el número que prefiera. No obstante, le recomendamos que no supere el número predeterminado de 180.

$DeletedObjectLifetime = 30
$DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}