Отслеживание распределенных ссылок на контроллерах домена на основе Windows

В этой статье описывается, как можно использовать службы отслеживания распределенных ссылок в Windows для отслеживания создания и перемещения связанных файлов на томах и серверах в формате NTFS.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 312403

Обзор отслеживания распределенных ссылок

Для отслеживания ссылок на файлы в разделах в формате NTFS можно использовать службу сервера отслеживания распределенных ссылок и службу клиента для отслеживания распределенных ссылок. Отслеживание распределенных ссылок отслеживает ссылки в сценариях, где ссылка на файл тома NTFS, например ярлыки оболочки и ссылки OLE. Если этот файл переименован, перемещен в другой том на том же компьютере, перемещен на другой компьютер или перемещен в других аналогичных сценариях, Windows использует для поиска файла отслеживание распределенных ссылок. При доступе к перемещенной ссылке отслеживание распределенной ссылки находит ее; Вы не знаете, что файл перемещен или что для поиска перемещенного файла используется отслеживание распределенных ссылок.

Служба распределенного отслеживания ссылок состоит из клиентской и серверной службы. Служба сервера отслеживания распределенных ссылок работает исключительно на контроллерах домена на основе Windows Server. Он хранит сведения в Active Directory и предоставляет службы, которые помогают службе клиента отслеживания распределенных ссылок. Служба клиента отслеживания распределенных ссылок работает на всех компьютерах с Windows 2000 и Microsoft Windows XP, включая компьютеры в средах workgroup или не включаемых в группу. Он обеспечивает единое взаимодействие с серверами отслеживания распределенных ссылок.

Клиенты для отслеживания распределенных ссылок иногда предоставляют службе сервера отслеживания распределенных ссылок сведения о ссылках на файлы, которые служба сервера отслеживания распределенных ссылок хранит в Active Directory. Клиенты для отслеживания распределенных ссылок также могут запрашивать у службы сервера отслеживания распределенных ссылок эту информацию, если не удается разрешить ярлык оболочки или ссылку OLE. Клиенты для отслеживания распределенных ссылок выдают серверу отслеживания распределенных ссылок запрос на обновление ссылок каждые 30 дней. Служба сервера отслеживания распределенных ссылок скавергирует объекты, которые не были обновлены в течение 90 дней

Когда файл, на который ссылается ссылка, перемещается в другой том (на том же компьютере или другом компьютере), клиент отслеживания распределенных ссылок сообщает серверу отслеживания распределенных ссылок, который создает объект linkTrackOMTEntry в Active Directory. Объект linkTrackVolEntry создается в Active Directory для каждого тома NTFS в домене.

В Windows Server 2008 и более новых версиях служба сервера отслеживания распределенных ссылок больше не включена в Windows. Таким образом, вы можете безопасно удалить объекты из Active Directory.

Отслеживание распределенных ссылок и Active Directory

Объекты отслеживания распределенных ссылок реплицированы между всеми контроллерами домена в домене, где размещена учетная запись компьютера, и всеми серверами глобального каталога в лесу. Служба сервера отслеживания распределенных ссылок создает объекты по следующему пути с различающимся именем:

CN=FileLinks,CN=System,DC= контейнер доменных имен Active Directory

Объекты для отслеживания распределенных ссылок существуют в следующих двух таблицах в папке CN=FileLinks,CN=System:

• CN=ObjectMoveTable,CN=FileLinks,CN=System,DC= domain name:

В этом объекте хранится информация о связанных файлах, которые были перемещены в домен.

CN=VolumeTable,CN=FileLinks,CN=System,DC= domain name:

В этом объекте хранится информация о каждом томе NTFS в домене.

Объекты отслеживания распределенных ссылок потребляют мало места по отдельности, но могут потреблять большой объем пространства в Active Directory, если им разрешено накапливаться с течением времени.

Если отключить отслеживание распределенных ссылок и удалить объекты отслеживания распределенных ссылок из Active Directory, может произойти следующее поведение:

• Размер базы данных Active Directory может быть уменьшен (это происходит после того, как объекты были расшифровлены и собраны мусора, а также после выполнения автономной дефрагментации).
• Трафик репликации между контроллерами домена может быть уменьшен.

Службы распределенного сервера отслеживания ссылок по умолчанию на контроллерах домена на основе Windows Server

В Windows 2000, Windows XP и Windows Server 2003 для запуска службы клиента отслеживания распределенных ссылок установлено значение Automatic. На серверах под управлением Windows 2000 служба сервера отслеживания распределенных ссылок запускается вручную по умолчанию. Однако если вы используете Dcpromo.exe для продвижения сервера в домен, служба сервера отслеживания распределенных ссылок настроена на автоматический запуск.

Для серверов на основе Windows Server 2003 служба сервера отслеживания распределенных ссылок по умолчанию отключена. При использовании Dcpromo.exe для продвижения сервера в домен служба сервера отслеживания распределенных ссылок не настроена на автоматический запуск. При обновлении контроллера домена на основе Windows 2000 до Windows Server 2003 служба сервера отслеживания распределенных ссылок также отключена во время обновления. Если вы администратор и хотите использовать службу сервера отслеживания распределенных ссылок, необходимо либо использовать групповую политику, либо вручную настроить автоматический запуск службы. Кроме того, служба клиента отслеживания распределенных ссылок на компьютерах под управлением Windows Server 2003 или Windows XP с пакетом обновления 1 (SP1) не пытается использовать службу сервера отслеживания распределенных ссылок по умолчанию. Если вы хотите настроить эти компьютеры для использования службы сервера отслеживания распределенных ссылок, в разрешать клиентам отслеживания распределенных ссылок использовать параметр политики ресурсов домена. Для этого откройте узел «Конфигурация компьютера/Административные шаблоны/Система» в групповой политике.

Рекомендации Майкрософт по отслеживанию распределенных ссылок на серверах на основе Windows 2000

Корпорация Майкрософт рекомендует использовать следующие параметры с отслеживанием распределенных ссылок на серверах на основе Windows 2000:

Отключите службу сервера отслеживания распределенных ссылок на всех контроллерах домена (это конфигурация по умолчанию на всех серверах под управлением Windows Server 2003).

Из-за накладных расходов на репликацию и пространства, которое таблицы FileLinks используют в Active Directory, Корпорация Майкрософт рекомендует отключить службу сервера отслеживания распределенных ссылок на контроллерах домена Active Directory. Чтобы остановить службу, используйте любой из следующих методов:

В оснастке «Службы» (Services.msc или compmgmt.msc) дважды щелкните службу распределенного сервера отслеживания ссылок и выберите «Отключено» в поле «Тип запуска».

Определите значение запуска в узле «Конфигурация компьютера/Параметры Windows/Системные службы» групповой политики.

Определите параметры политики для подразделения, в котором размещены все контроллеры домена Windows 2000.

Перезапустите контроллеры домена после репликации политики, чтобы политика была применена. Если не перезапустить контроллеры домена, необходимо вручную остановить службу на каждом контроллере домена.

Удаление объектов отслеживания распределенных ссылок из контроллеров домена Active Directory.

Дополнительные сведения об удалении объектов Distributed Link Tracking см. в разделе «Удаление объекта отслеживания распределенных ссылок» этой статьи. Рекомендуется удалять объекты после отключения службы сервера отслеживания распределенных ссылок.

Размер DIT на контроллерах домена не уменьшается до тех пор, пока не будут выполнены следующие действия.

Объекты удаляются из службы каталогов.

Удаленные объекты хранятся в контейнере «Удаленные объекты» до истечения срока действия удаленного объекта. Значение по умолчанию для времени существования догмы 60 дней. Минимальное значение — два дня. По умолчанию для новых лесов, установленных вместе с Windows Server 2003 Пакет обновления 1 или более поздней версии Windows Server 2003, установлено значение 180 дней.

Если у вас нет активного мониторинга репликации Active Directory, рекомендуется использовать значение 180 дней. Не уменьшать это значение для обработки проблем с размером DIT. Если у вас возникли проблемы с размером базы данных, обратитесь в службу поддержки клиентов Майкрософт.

Сборка мусора завершена.

Используйте Ntdsutil.exe для дефрагментации файла Ntds.dit в режиме Dsrepair.

Удаление объектов для отслеживания распределенных ссылок

Не важно вручную удалять объекты отслеживания распределенных ссылок после остановки службы сервера отслеживания распределенных ссылок, если вам не нужно как можно быстрее освободить место на диске, потребляемое этими объектами. Клиенты для отслеживания распределенных ссылок выдают серверу отслеживания распределенных ссылок запрос на обновление ссылок каждые 30 дней. Служба сервера отслеживания распределенных ссылок скакуирует объекты, которые не были обновлены в течение 90 дней.

При запуске Dltpurge.vbs VBScript все объекты Active Directory, используемые службой распределенного сервера отслеживания ссылок, удаляются из домена, в котором работает сценарий. Сценарий необходимо запустить на одном контроллере домена для каждого домена в лесу. Чтобы запустить Dltpurge.vbs:

Получите сценарий Dltpurge.vbs из службы поддержки продуктов Майкрософт.

Остановите службу сервера отслеживания распределенных ссылок на всех контроллерах домена, на которые нацелена Dltpurge.vbs.

Используйте права администратора для входа в консоль контроллера домена или рядового компьютера в домене, на который нацелена Dltpurge.vbs.

Используйте следующий синтаксис для запуска Dltpurge.vbs из командной строки:

В этой командной строке:

• -s — это DNS-имя хоста контроллера домена, на котором необходимо удалить объекты отслеживания распределенных ссылок.
• -d — это путь к различающимся именам домена, в котором необходимо удалить объекты отслеживания распределенных ссылок.

Выполните процедуру автономной дефрагментации файла Ntds.dit после того, как объекты будут расшифровлены и собраны мусора. Для получения дополнительных сведений о процессе сборки мусора щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

198793 Процесс сбора мусора для базы данных Active Directory

Пример работы с клиентами

Наихудший сценарий, описанный в этом разделе, иллюстрирует некоторые проблемы, которые следует учитывать при удалении большого количества объектов Для отслеживания распределенных ссылок в крупном производственном домене.

Trey Research, вымышленный клиент Из Списка 500 с более чем 40 000 сотрудников по всему миру, развертывает один лес Active Directory, состоящий из пустого корневого домена с потомков доменами, которые соединяют основные географические регионы мира (Северная Америка, Азия, Европа и т. п.). Самый большой домен в лесу содержит около 35 000 учетных записей пользователей и одинаковое количество учетных записей компьютеров.

Файлы Ntds.dit были размещены в массивах raid с 18 ГБ. С момента первоначального развертывания Windows 2000 файлы глобального каталога стали больше 17 ГБ.

Trey Research хочет развернуть Windows Server 2003 в течение следующих 10 дней, но для начала обновления требуется не менее 1,5 ГБ доступного дискового пространства в секции базы данных. Им требуется столько места на диске, Adprep.exe известно, что они добавляют от трех до пяти унаследованных aces в зависимости от ранее установленных установок и пакетов обновления. К большому размеру глобального каталога или нехватке места на диске могут действовать следующие условия:

Условие 1: Trey Research был ранним поставщиком Windows 2000, а самые большие диски, полученные от предпочитаемого поставщика оборудования, были 9 ГБ или 18 ГБ при настройке в массиве raid. Текущие диски в два раза больше половины стоимости.

Условие 2. Очистка DNS не включена в зонах DNS, интегрированных с Active Directory, которые были делегированы каждому домену в лесу.

Условие 3. Пользователям домена разрешено создавать учетные записи компьютеров в домене. У администраторов не было повторяющегося процесса определения и удаления учетных записей потерянных компьютеров.

Условие 4. В течение некоторого времени дескрипторы безопасности были определены администраторами, пакетами обновления и обновлениями на корневых главах контекста именования (cn=schema, cn=configuration, cn= domain) и других контейнерах, в котором находятся тысячи объектов в Active Directory. Кроме того, аудит включен для тех же разделов. При наборе разрешений и в том, что касается аудита объектов в Active Directory, размер базы данных увеличивается. Средство подготовки лесов и доменов Windows 2000 для контроллеров домена на основе Windows Server 2003 (Adprep) также добавляет унаследованные aces; Таким образом, Trey Research необходимо было освободить место на диске перед обновлением домена.

Условие 5. Trey Research не регулярно выполнял процедуры автономной дефрагментации файлов Ntds.dit в режиме Dsrepair.

Условие 6: при проверке контейнера имени домена CN=FileLinks,CN=System,DC= в наибольшем домене было обнаружено более 700 000 объектов Для отслеживания распределенных ссылок. Дескриптор безопасности для каждого объекта Отслеживание распределенной ссылки составляет примерно 2 килобайта (КБ). Каждое из этих условий было оценено как вклад в DIT-файл размером 17 ГБ:

Условие 1. Trey Research решил не развертывать новые диски из-за затрат и времени, необходимого для этого. Кроме того, им требовалось временное место на диске, так как ожидалось сжатие базы данных Active Directory после обновления до Windows Server 2003 и завершения процесса хранилища одного экземпляра (SIS реализует более эффективное хранение разрешений в базах данных Active Directory).

Условия 2 и 3: Trey Research решил, что эти условия — лучшие методики; Однако даже если бы Trey Research реализовал их, они не достигают нужных результатов. Они решили включить очистку DNS, так как она легко реализована.

Условие 4. Trey Research понял, что если они переопредели дескрипторы безопасности и списки управления доступом к системе (SACLs), они будут получать результаты, которые они ищут, но решили, что реализация этой процедуры занимает много времени, пока не сможет тщательно протестировать уменьшение размера, затраты на репликацию и, что самое важное, совместимость программ и администрирования в лабораторном сценарии, который зеркально отражает производственную среду.

Поскольку Компания Trey Research развернула Windows 2000 с sp2 и несколькими обновлениями, они ожидали, что добавочных унаследованных aces, добавленных Adprep (для объектов в доменной nc) может быть всего 300 мегабайт (MBs). Они могут проверить это поведение в лабораторной среде, которая используется для тестирования обновлений производственного леса.

Условие 5. Trey Research понял, что при выполнении автономной процедуры дефрагментации они могут не восстановить «whitespace» в файле Ntds.dit. На самом деле администраторы Trey Research заметили увеличение размера базы данных сразу после завершения процедуры дефрагментации в автономном режиме. Это поведение произошло из-за неэффективности ядом базы данных Windows 2000; Этот обдвижок усовершенствована в Windows Server 2003.

Условие 6. Trey Research соглашается, что очевидным действием будет простое массовое удаление всех объектов отслеживания распределенных ссылок из cn=FileLinks,CN=System,DC= контейнера доменных имен на контроллере домена в каждом домене в лесу. Однако они поняли, что в этом случае дополнительное место на диске не будет освобождено до тех пор, пока объекты не будут полностью расшифровлены и не будут собраны мусора, а также до завершения процедуры дефрагментации в автономном режиме на каждом контроллере домена в этом домене. Несмотря на то, что значение времени жизни до простоя можно установить как минимум два дня, несколько контроллеров домена в лесу Trey Research были отключены, так как они дожидались обновлений оборудования и программного обеспечения. Если объекты будут удалены до начала репликации, удаленные объекты могут быть повторно анимизированы или несогласованные данные могут быть отозваны между серверами глобального каталога в лесу. Чтобы обеспечить немедленное освобождение, Компания Trey Research выполнила следующую процедуру:

1. Они удалили дескриптор безопасности по умолчанию для объектов класса схемы «Отслеживание распределенных ссылок» и заменили его на один объект безопасности (учетную запись пользователя).
2. Они написали программу VBScript, которая удалила все существующие дескрипторы безопасности, а затем заменила их явным ace для одного из участников безопасности.
3. Они удалили объекты для отслеживания распределенных ссылок с приращением в 10 000 единиц с трехчасовой задержкой между удалением каждого объекта.
4. Они выполнили процедуру автономной дефрагментации на каждом контроллере домена в домене после удаления всех объектов отслеживания распределенных ссылок. Когда Trey Research удалил дескриптор и выполнил процедуру дефрагментации, база данных восстановила около 1,5 ГБ дискового пространства на всех контроллерах домена в домене. Этого пространства было достаточно для удобного запуска средства Adprep и обновления всех контроллеров домена на основе Windows 2000 и глобальных каталогов до Windows Server 2003.

После обновления операционной системы до Windows Server 2003 Trey Research освободилось больше места на диске, когда функция хранения одного экземпляра в Windows Server 2003 снизила размер базы данных примерно до 8 ГБ (для получения этих результатов необходимо выполнить процедуру дефрагментации в автономном режиме). После истечения интервала TSL было восстановлено больше места, объекты отслеживания распределенных ссылок были собраны в сборку мусора и выполняли процедуру дефрагментации в автономном режиме.

Trey Research продвигал новый контроллер домена на основе реплики Windows 2000 в домен и размещал учетную запись компьютера в подразделении, не в том подразделении, в который они обычно использовались. За два дня на контроллере домена на основе Windows 2000 было представлено около 8000 объектов для отслеживания распределенных ссылок. Компания Trey Research либо остановила отслеживание распределенных ссылок, либо создала политику для остановки службы, а затем связала политику с подразделениями, где будут работать контроллеры домена на основе Windows 2000. Наконец, Trey Research Dltpurge.vbs пометить оставшиеся объекты для удаления.

Структура удаления объекта DLT

Сами DLT-объекты содержат мало атрибутов и не используют мало места в Active Directory. Если объект помечен для удаления (удален), все ненужные атрибуты удаляются, за исключением тех, которые необходимы для отслеживания объекта, пока он не будет удален из Active Directory.

В случае объектов отслеживания ссылок пометка объекта для удаления составляет только два атрибута: dscorepropagationdata и objectcategory. Удаление этих двух атрибутов приводит к первоначальной экономии 34-хбайт. Однако процесс пометки объекта отслеживания ссылок для удаления также обновляет объект путем добавления атрибута IS_DELETED (4 bytes) и путем изменения атрибутов RDN и «common name», что приводит к росту каждого из этих атрибутов примерно на 80 bytes. Кроме того, атрибут «метаданные репликации» также растет примерно на 50 bytes, чтобы отразить обновления, выполняемые для этого объекта. Таким образом, если пометить объект отслеживания ссылок для удаления, он будет расти приблизительно на 200байт. The NTDS. DIT не будет демонстрировать уменьшение размера, пока удаленные объекты не будут удалены, не будут собраны мусора и не будет выполнена дефрагментация в автономном режиме.

Если служба отключена, как рекомендуется в этой статье, автоматическое переключение не происходит.