Espace de stockage disponible bientôt saturé dans Active Directory - AWS Directory Service
Le dossier SYSVOL stocke des objets de politique de groupe plus qu'essentielsLa base de données Active Directory a atteint sa capacité maximale

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Espace de stockage disponible bientôt saturé dans Active Directory

Lorsque votre Microsoft AD AWS géré est altéré en raison d'un faible espace de stockage disponible dans Active Directory, une action immédiate est requise pour rétablir l'état actif de l'annuaire. Pour connaître les deux causes les plus fréquentes de cette déficience, veuillez consulter les sections suivantes :

  1. Le dossier SYSVOL stocke des objets de politique de groupe plus qu'essentiels

  2. La base de données Active Directory a atteint sa capacité maximale

Pour obtenir des informations sur les tarifs relatifs au stockage Microsoft AD AWS géré, consultez la section AWS Directory Service Tarification.

Le dossier SYSVOL stocke des objets de politique de groupe plus qu'essentiels

Cette déficience est souvent causée par le stockage de fichiers non essentiels dans le dossier SYSVOL dédiés au traitement de la stratégie de groupe. Ils peuvent se présenter sous forme de fichiers EXE, MSI ou autre qui ne sont pas essentiels au traitement de la stratégie de groupe. Les éléments de stratégie de groupe essentiels devant être traités sont les objets de stratégie de groupe, les scripts de connexion et de déconnexion, ainsi que le magasin central des objets de stratégie de groupe. Tous les fichiers non essentiels doivent être stockés sur un ou plusieurs serveurs de fichiers autres que vos contrôleurs de domaine Microsoft AD AWS gérés.

Si vous avez besoin de fichiers pour l'installation du logiciel de stratégie de groupe, stockez-les sur un serveur de fichiers. Si vous préférez ne pas gérer vous-même un serveur de fichiers, AWS propose une option de serveur de fichiers géré, Amazon FSx.

Pour supprimer des fichiers inutiles, accédez au dossier partagé SYSVOL via le chemin UNC (Universal Naming Convention). Par exemple, si le nom complet de votre domaine est example.com, le chemin UNC de SYSVOL serait « \\example.local\SYSVOL\example.local\ ». Une fois ces objets non essentiels au traitement de l'annuaire par la stratégie de groupe localisés et supprimés, l'annuaire doit redevenir actif sous 30 minutes. Si le répertoire n'est pas actif après 30 minutes, veuillez contacter le AWS Support.

En stockant seulement les fichiers de stratégie de groupe essentiels dans le dossier partagé SYSVOL, vous permettez à votre annuaire de ne pas être affecté par la distension de SYSVOL.

La base de données Active Directory a atteint sa capacité maximale

Cette déficience est souvent causée par le fait que la base de données Active Directory a atteint sa capacité maximale. Pour vérifier cela, veuillez consulter le nombre total d'objets dans votre annuaire. Nous mettons en gras le mot total pour que vous compreniez que les objets supprimés sont toujours comptabilisés dans le nombre total d'objets d'un annuaire.

Par défaut, AWS Managed Microsoft AD conserve les articles dans la corbeille de recyclage AD pendant 180 jours avant qu'ils ne deviennent des objets recyclés. Une fois un objet recyclé (désactivé), il est conservé pendant 180 jours avant d'être finalement supprimé de l'annuaire. Ainsi, un objet supprimé demeure dans la base de données de l'annuaire pendant 360 jours avant d'être définitivement supprimé. C'est pourquoi vous devez évaluer le nombre total d'objets.

Pour plus de détails sur le nombre d'objets pris en charge par AWS Managed Microsoft AD, consultez la section AWS Directory Service Tarification.

Pour obtenir le nombre total d'objets dans un répertoire qui inclut les objets supprimés, vous pouvez exécuter la PowerShell commande suivante à partir d'une instance Windows jointe au domaine. Pour apprendre à configurer une instance de gestion, reportez-vous à la section Gérer des utilisateurs et des groupes dans AWS Managed Microsoft AD. 

Get-ADObject -Filter * -IncludeDeletedObjects | Measure-Object -Property 'Count' | Select-Object -Property 'Count'

Voici un exemple de sortie de la commande ci-dessus :

Count
10000

Si le nombre total est supérieur au nombre d'objets pouvant être pris en charge par votre annuaire comme indiqué dans la note ci-dessus, cela veut dire que votre annuaire a atteint sa capacité de stockage maximale.

Voici des options permettant de résoudre cette déficience :

  1. Nettoyez AD

    1. Supprimez tous les objets AD indésirables.

    2. Supprimez tous les objets indésirables de la corbeille AD. Veuillez noter que cette action est irréversible et que vous ne pourrez récupérer ces objets supprimés qu'en restaurant l'annuaire.

    3. La commande suivante supprimera définitivement tous les objets se trouvant dans la corbeille AD.

      Important

      Procédez avec prudence, car cette action est irréversible, et vous ne pourrez récupérer ces objets supprimés qu'en restaurant l'annuaire. 

      $DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
$NetBios = $DomainInfo.NetBIOSName
$ObjectsToRemove = Get-ADObject -Filter { isDeleted -eq $true } -IncludeDeletedObjects -SearchBase "CN=Deleted Objects,$BaseDn" -Properties 'LastKnownParent','DistinguishedName','msDS-LastKnownRDN' | Where-Object { ($_.LastKnownParent -Like "*OU=$NetBios,$BaseDn") -or ($_.LastKnownParent -Like '*\0ADEL:*') }
ForEach ($ObjectToRemove in $ObjectsToRemove) { Remove-ADObject -Identity $ObjectToRemove.DistinguishedName -IncludeDeletedObjects }

    4. Ouvrez un dossier auprès du AWS Support pour demander la AWS Directory Service récupération de l'espace libre.

  2. Si votre répertoire est de type Standard Edition, ouvrez un dossier auprès du AWS Support pour demander que votre répertoire soit mis à niveau vers l'édition Enterprise. Cela augmentera également le coût de votre annuaire. Pour de plus amples informations sur la tarification, veuillez consulter AWS Directory Service Pricing (français non garanti).

Dans AWS Managed Microsoft AD, les membres du groupe AWS Delegated Deleted Object Lifetime Administrators ont la possibilité de modifier msDS-DeletedObjectLifetime l'attribut qui définit le nombre de jours pendant lesquels les objets supprimés sont conservés dans la corbeille de recyclage AD avant de devenir des objets recyclés.

Note

Il s'agit d'un sujet avancé. Si la configuration n'est pas correctement effectuée, elle peut entraîner une perte de données. Pour mieux comprendre ce procédé, nous vous invitons à passer en revue Corbeille AD : compréhension, application, meilleures pratiques et résolution de problèmes.

Réduire le msDS-DeletedObjectLifetimenombre d'objets pris en charge peut vous aider à ne pas dépasser le niveau de capacité maximale. La valeur de ce nombre ne peut être inférieure à 2 jours. Une fois cette limite dépassée, vous ne pourrez plus récupérer l'objet supprimé via la corbeille AD. Pour récupérer le(s) objet(s) en question, vous devrez restaurer votre annuaire à partir d'un instantané. Pour plus d’informations, consultez Création d'un instantané ou d'une restauration de votre annuaire. Toute restauration à partir d'un instantané peut entraîner une perte de données, car les instantanés correspondent à un moment donné.

Pour modifier le cycle de vie de l'objet supprimé de votre annuaire, exécutez la commande suivante :

Note

Si vous exécutez la commande telle quelle, le cycle de vie de l'objet supprimé sera défini sur 30 jours. Si vous souhaitez rallonger ou raccourcir cette durée, remplacez « 30 » par le nombre correspondant. Cependant, nous vous recommandons de ne pas dépasser 180, le nombre par défaut.

$DeletedObjectLifetime = 30
$DomainInfo = Get-ADDomain
$BaseDn = $DomainInfo.DistinguishedName
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,$BaseDn" -Partition "CN=Configuration,$BaseDn" -Replace:@{"msDS-DeletedObjectLifetime" = $DeletedObjectLifetime}