Suivi de lien distribué sur les contrôleurs de domaine Windows

Résumé

Cet article décrit comment vous pouvez utiliser les services de suivi de lien distribué dans Windows pour effectuer le suivi de la création et du mouvement de fichiers liés sur des serveurs et des volumes au format NTFS.

Plus d'informations

Une vue d’ensemble du suivi de lien distribué

Vous pouvez utiliser le service serveur de suivi de lien distribué et le service Client de suivi de lien distribué pour effectuer le suivi des liens vers des fichiers sur les partitions au format NTFS. Suivi de lien distribué assure le suivi des liens dans les scénarios où il est fait le lien vers un fichier sur un volume NTFS, tels que les raccourcis système et les liaisons OLE. Si ce fichier est renommé, déplacé sur un autre volume sur le même ordinateur, déplacé vers un autre ordinateur ou déplacé selon un scénario similaire, Windows utilise le suivi de lien distribué pour rechercher le fichier. Lorsque vous accédez à un fichier qui a été déplacé, le suivi de lien distribué recherche le lien ; Vous ne connaissent que le fichier a été déplacé, ou de suivi de lien distribué est utilisé pour la recherche du fichier déplacé.

Suivi de lien distribué est constitué par un client et un serveur. Le service serveur de suivi de lien distribué s’exécute exclusivement sur les contrôleurs de domaine Windows Server. Il stocke les informations dans Active Directory, et il fournit des services pour aider le service Client de suivi de lien distribué. Le service Client de suivi de lien distribué s’exécute sur tous les ordinateurs basés sur Microsoft Windows XP et Windows 2000, y compris ceux dans les environnements de groupe de travail ou qui ne sont pas dans un groupe de travail. Il fournit l’unique interaction avec les serveurs de suivi de lien distribué.

Parfois, les clients de suivi de lien distribué fournissent le service serveur de suivi de lien distribué des informations sur les liaisons de fichiers, le service serveur de suivi de lien distribué stocke dans Active Directory. Les clients de suivi de lien distribué peuvent également interroger le service serveur de suivi de lien distribué pour obtenir ces informations lorsqu’un raccourci système ou une liaison OLE ne peut pas être résolue. Les clients de suivi de lien distribué demandent au serveur de suivi de lien distribué pour mettre à jour les liaisons tous les 30 jours. Le service serveur de suivi de lien distribué nettoie les objets qui n’ont pas été actualisés depuis 90 jours.


Lorsqu’un fichier est référencé par une liaison est déplacé sur un autre volume (sur le même ordinateur ou sur un autre ordinateur), le client de suivi de lien distribué informe le serveur de suivi de lien distribué, qui créé un objet linkTrackOMTEntry dans Active Directory. Un objet kTrackVolEntry est créé dans Active Directory pour chaque volume NTFS du domaine.

Remarque: dans Windows Server 2008 et versions ultérieures, le lien de suivi serveur Service ne figure pas dans Windows plus. Ainsi, vous pouvez supprimer en toute sécurité les objets à partir d’Active Directory.

Suivi de lien distribué et Active Directory

Distribué les objets sont répliqués entre tous les contrôleurs de domaine dans le domaine qui héberge le compte d’ordinateur et tous les serveurs de catalogue global dans la forêt de suivi de lien. Le service serveur de suivi de lien distribué crée des objets dans le chemin de nom unique suivant :
CN = FileLinks, CN = System, DC = conteneur denom de domaine d’Active Directory

Les objets de suivi de lien distribué existent dans les deux tables suivantes sous CN = FileLinks, CN = dossier système :
  • CN = ObjectMoveTable, CN = FileLinks, CN = System, DC =nom de domaine:

    Cet objet contient des informations sur les fichiers liés qui ont été déplacés dans le domaine.
  • CN = VolumeTable, CN = FileLinks, CN = System, DC =nom de domaine:

    Cet objet stocke des informations sur chaque volume NTFS du domaine.
Les objets de suivi de lien distribué consomment très peu d’espace individuellement, mais ils peuvent consommer un espace dans Active Directory lorsqu’ils sont autorisés à s’accumuler au fil du temps.

Si vous désactivez le suivi de lien distribué et supprimez les objets de suivi de lien distribué d’Active Directory, le comportement suivant peut se produire :
  • Taille de base de données Active Directory peut être réduite (ce comportement se produit une fois que les objets ont été désactivés et la mémoire nettoyée et la fois que vous effectuez une procédure de défragmentation hors connexion).
  • Le trafic de réplication entre les contrôleurs de domaine peut être réduit.

Distribué les valeurs par défaut du service serveur de suivi de lien sur les contrôleurs de domaine Windows Server

Dans Windows 2000, Windows XP et Windows Server 2003, la valeur de début pour le service Client de suivi de lien distribué est définie sur automatique. Sur les serveurs Windows 2000, le service serveur de suivi de lien distribué démarre manuellement par défaut. Toutefois, si vous utilisez Dcpromo.exe pour promouvoir un serveur à un domaine, le service serveur de suivi de lien distribué est configuré pour démarrer automatiquement.

Pour les serveurs Windows Server 2003, le service serveur de suivi de lien distribué est désactivé par défaut. Lorsque vous utilisez Dcpromo.exe pour promouvoir un serveur à un domaine, le service serveur de suivi de lien distribué n’est pas configuré pour démarrer automatiquement. Lorsqu’un contrôleur de domaine Windows 2000 est mis à niveau vers Windows Server 2003, le service serveur de suivi de lien distribué est également désactivé pendant la mise à niveau. Si vous êtes un administrateur et que vous souhaitez utiliser le service serveur de suivi de lien distribué, vous devez utiliser la stratégie de groupe, ou vous devez définir manuellement le service à démarrer automatiquement. En outre, le service Client de suivi de lien distribué sur les ordinateurs qui exécutent Windows Server 2003 ou Windows XP SP1 n’essaie pas d’utiliser le service serveur de suivi de lien distribué par défaut. Si vous souhaitez configurer ces ordinateurs pour tirer parti du service serveur de suivi de lien distribué, activez le paramètre de stratégie permettent de suivi de lien distribué aux clients d’utiliser les ressources du domaine . Pour ce faire, ouvrez le nœud système/modèles administratifs Configuration ordinateur dans Stratégie de groupe.

Recommandations de Microsoft pour le suivi de lien distribué sur les serveurs Windows 2000

Microsoft vous recommande d’utiliser les paramètres suivants avec le suivi de lien distribué sur les serveurs Windows 2000 :
  1. Désactiver le service serveur de suivi de lien distribué sur tous les contrôleurs de domaine (il s’agit de la configuration par défaut sur tous les serveurs Windows Server 2003).

    En raison de la surcharge de réplication et l’espace utilisé par les tables FileLinks dans Active Directory, Microsoft vous recommande de désactiver le service serveur de suivi de lien distribué sur les contrôleurs de domaine Active Directory. Pour arrêter le service, utilisez une des méthodes suivantes :
    • Dans l’enfichable Services (Services.msc ou compmgmt.msc), double-cliquez sur le service Serveur de suivi de lien distribué , puis cliquez sur désactivé dans la zone type de démarrage .
    • Définir la valeur de démarrage dans le nœud d’ordinateur Configuration/Windows Settings/System Services de stratégie de groupe.
    • Définir les paramètres de stratégie sur une unité d’organisation qui héberge tous les contrôleurs de domaine Windows 2000.

      Redémarrez les contrôleurs de domaine une fois la stratégie répliquée afin que la stratégie sera appliquée. Si vous ne redémarrez pas les contrôleurs de domaine, vous devrez arrêter manuellement le service sur chaque contrôleur de domaine.
  2. Supprimer les objets de suivi de lien distribué sur les contrôleurs de domaine Active Directory.

    Consultez la section « Comment pour supprimer distribués lien suivi, objet » de cet article pour plus d’informations sur la façon de supprimer des objets de suivi de lien distribué. Il est recommandé de supprimer les objets après avoir désactivé le service serveur de suivi de lien distribué.

    Remarque La taille de l’arborescence d’informations d’annuaire (DIT) sur les contrôleurs de domaine n’est pas réduite jusqu'à ce que les actions suivantes sont effectuées :
    1. Les objets sont supprimés du service d’annuaire.

      Remarque Les objets supprimés sont stockés dans le conteneur objets supprimés jusqu'à l’expiration de la durée de vie de désactivation. La valeur par défaut pour une durée de vie de désactivation est de 60 jours. La valeur minimale est de deux jours. Par défaut, la valeur est de 180 jours pour les forêts qui sont installés avec Windows Server 2003 Service Pack 1 ou une version ultérieure de Windows Server 2003.

      Sauf si vous avez fort de surveillance de la réplication Active Directory, nous vous recommandons d’utiliser la valeur de 180 jours. Ne réduisez pas cette valeur pour gérer les problèmes de taille DIT. Si vous avez des problèmes avec la taille de la base de données, contactez les Services de Support technique de Microsoft.

    2. Le garbage collection a exécuté jusqu'à la fin.
    3. Vous utilisez Ntdsutil.exe pour défragmenter le fichier Ntds.dit en mode Dsrepair.

Comment faire pour supprimer des objets de suivi de lien distribué

Il n’est pas essentiel de supprimer manuellement les objets de suivi de lien distribué après avoir arrêté le service serveur de suivi de lien distribué à moins d’avoir à récupérer de l’espace disque occupé par ces objets aussi rapidement que possible. Les clients de suivi de lien distribué demandent au serveur de suivi de lien distribué pour mettre à jour les liaisons tous les 30 jours. Le service serveur de suivi de lien distribué nettoie les objets qui n’ont pas été mis à jour dans les 90 jours.

Lorsque vous exécutez le Dltpurge.vbs VBScript, tous les objets Active Directory qui sont utilisés par le service serveur de suivi de lien distribué sont supprimés du domaine dans lequel le script est exécuté. Vous devez exécuter le script sur un contrôleur de domaine pour chaque domaine dans une forêt. Pour exécuter Dltpurge.vbs
  1. Obtenez le script Dltpurge.vbs auprès du Support technique de Microsoft. Une version texte de Dltpurge.vbs se trouve dans l’article suivant de la Base de connaissances Microsoft :
    315229 de version texte de Dltpurge.vbs pour l’article Q312403 de la Base de connaissances Microsoft.

  2. Arrêtez le service serveur de suivi de lien distribué sur tous les contrôleurs de domaine du domaine ciblé par Dltpurge.vbs.
  3. Utilisez des privilèges d’administrateur pour ouvrir une session sur la console d’un contrôleur de domaine ou un ordinateur membre du domaine ciblé par Dltpurge.vbs.
  4. Utilisez la syntaxe suivante pour exécuter Dltpurge.vbs à partir d’une ligne de commande :
    cscript dltpurge.vbs -s monserveur -d dc = mondomaine, dc = mycompany, dc = com
    Dans cette ligne de commande :
    • -s est le nom d’hôte DNS du contrôleur de domaine sur lequel vous souhaitez supprimer des objets de suivi de lien distribué.
    • -d , est le chemin d’accès du nom unique du domaine sur lequel vous souhaitez supprimer des objets de suivi de lien distribué.
  5. Effectuer une procédure de défragmentation hors connexion du fichier Ntds.dit une fois que les objets ont été désactivés et par le garbage collecté.
    Pour plus d’informations sur le processus de nettoyage, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

    Processus de nettoyage de base de données 198793 d’Active Directory

Une expérience de client exemple

Le scénario catastrophe décrit dans cette section illustre quelques aspects à prendre en compte lorsque vous supprimez un grand nombre d’objets de suivi de lien distribué dans un grand domaine de production.

Trey Research, un client Fortune 500 fictif avec plus de 40 000 employés dans le monde entier déploie une forêt Active Directory unique qui se compose d’un domaine racine vide avec des domaines enfants mappant les principales régions du monde (Amérique du Nord, en Asie, en Europe et ainsi de suite). Le plus grand domaine de la forêt contienne environ 35 000 comptes d’utilisateur et le même nombre de comptes d’ordinateur.


Les fichiers Ntds.dit ont été placés sur des baies raid de 18 gigaoctets (Go). Depuis le déploiement initial de Windows 2000, les fichiers de catalogue global ont augmenté de 17 Go.

Trey Research souhaite déployer Windows Server 2003 dans les 10 jours, mais a besoin d’au moins 1,5 Go d’espace disque disponible sur la partition de la base de données avant d’initier la mise à niveau. Ils ont besoin de cette quantité d’espace disque car Adprep.exe est connu pour ajouter des entrées ACE héritées de trois à cinq selon les correctifs et service packs qui ont été précédemment installés. Les conditions suivantes contribuent à la taille importante du catalogue global ou le manque d’espace disque :
  • Condition 1 : Trey Research a été des premiers acquéreurs de Windows 2000 et les plus grands lecteurs fournis par leur fournisseur matériel ont été 9 Go ou 18 Go lorsqu’ils ont été configurés dans une matrice raid. Lecteurs en cours sont le double de la taille de la moitié du coût.
  • Condition 2 : Nettoyage DNS a été pas activé sur les zones DNS intégrées à Active Directory qui ont été déléguées à chaque domaine de la forêt.
  • Condition 3 : Les utilisateurs de domaine ont été autorisés à créer des comptes d’ordinateur dans le domaine. Les administrateurs n’avaient pas un processus périodique d’identifier et de supprimer des comptes d’ordinateurs orphelins.
  • Condition 4 : Au cours du temps, les descripteurs de sécurité ont été définis par les administrateurs, les service packs et les correctifs sur les têtes de contexte (CN) de dénomination racine (cn = schema, cn = configuration, cn =domain) et autres conteneurs qui hébergent des milliers d’objets dans Active Directory. En outre, l’audit a été activé sur les mêmes partitions. Lorsque vous définissez des autorisations et que vous activez l’audit sur les objets dans Active Directory, la taille de la base de données augmente. L’outil qui prépare les forêts Windows 2000 et domaines pour les contrôleurs de domaine Windows Server 2003 (Adprep) ajoute également des ACE héritées. Par conséquent, Trey Research devait libérer de l’espace sur le disque avant leur mise à niveau du domaine.
  • Condition 5 : Trey Research n’effectuait pas les procédures de défragmentation hors connexion des fichiers Ntds.dit en mode Dsrepair.
  • Condition 6 : Lorsque le CN = FileLinks, CN = System, DC =nom de domaine a été révisé le conteneur le plus grand domaine, on plus de 700 000 objets de suivi de lien distribué. Le descripteur de sécurité sur chaque objet de suivi de lien distribué est d’environ 2 kilo-octets (Ko).
Chacune de ces conditions a été évaluée pour sa contribution au fichier .dit de 17 Go :
  • Condition 1 : Trey Research a décidé de ne pas déployer de nouveaux lecteurs en raison du coût et le temps qu’il faudrait pour cela. En outre, ils nécessaire uniquement le disque espace temporairement car on s’attendait à la base de données de répertoire actif pour réduire après leur mise à niveau vers Windows Server 2003 et la banque d’Instance unique (SIS) a été terminée (SIS implémente un stockage plus efficace des autorisations dans les bases de données Active Directory).
  • Conditions 2 et 3 : Trey Research a décidé que ces conditions ont été les meilleures pratiques ; Toutefois, même si Trey Research a implémenté les, ne permettraient pas d’obtenir les résultats nécessaires. A décidé de l’activation du nettoyage DNS car il est facilement implémentée. Pour plus d’informations sur la façon d’identifier des comptes d’ordinateurs inutilisés, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

    Façon 197478 détecter et supprimer les comptes d’ordinateurs inactifs

  • Condition 4 : Trey Research s’est rendu compte qu’ils redéfini les descripteurs de sécurité et les listes de contrôle d’accès système (SACL), permettraient d’obtenir les résultats qu’ils recherchent, mais a décidé que cette procédure peut prendre beaucoup de temps à appliquer jusqu'à ce qu’ils peuvent tester la réduction de la taille, la surcharge de réplication et, plus important, de compatibilité de programme/administration dans le scénario qui reflète l’environnement de production.


    Étant donné que Trey Research ayant déployé Windows 2000 SP2 et quelques correctifs, ils attendu que les ACE incrémentielles héritées ajoutées par Adprep (aux objets dans le contexte de nommage de domaine) peuvent être aussi petits que 300 mégaoctets (Mo). Il peuvent vérifier ce comportement dans un environnement de laboratoire utilisé pour tester les mises à niveau de la forêt de production.
  • Condition 5 : Trey Research a réalisé que si l’exécution d’une procédure de défragmentation hors connexion, ils ne peuvent pas récupérer des « espaces blancs » dans le fichier Ntds.dit. En fait, les administrateurs de Trey Research a remarqué une augmentation de la taille de la base de données immédiatement après la fin de la procédure de défragmentation hors connexion. Ce comportement survenue en raison d’un manque d’efficacité dans le moteur de base de données Windows 2000 ; Ce moteur est amélioré dans Windows Server 2003.
  • Condition 6 : Trey Research a décidé que l’évident d’action serait pour effectuer une simple suppression en bloc de tous les objets de suivi de lien distribué à partir de la nomenclature combinée = FileLinks, CN = System, DC = conteneur denom de domaine sur un contrôleur de domaine dans chaque domaine de la forêt. Toutefois, ils se sont aperçus que si elles le faisaient, l’espace disque supplémentaire ne serait pas libéré jusqu'à ce que les objets ont été désactivés et la mémoire nettoyée, et qu’ils terminent une procédure de défragmentation hors connexion sur chaque contrôleur de domaine dans ce domaine. Pendant la durée de vie de désactivation peut être la valeur à des valeurs que deux jours minimum, plusieurs contrôleurs de domaine Trey Research forêt ont été hors connexion comme ils attendue de matériel et de logiciel met à jour. Si les objets sont désactivés avant la réplication de bout en bout peut avoir lieu, les objets supprimés risquent d’être réanimés ou des données incohérentes peuvent être signalées parmi les serveurs de catalogue global dans la forêt.
Pour fournir une solution immédiate, Trey Research a effectué la procédure suivante :
  1. Elle a supprimé le descripteur de sécurité par défaut pour les objets de classe du schéma suivi de lien distribué et remplacement par une entité de sécurité unique (compte utilisateur).
  2. Il a écrit un programme VBScript qui a supprimé tous les descripteurs de sécurité existants et les a remplacés par une ace explicite pour une entité de sécurité unique.
  3. Ils supprimé les objets de suivi de lien distribué en incréments de 10 000 unités, avec un intervalle de trois heures entre chaque suppression.
  4. Exécution d’une procédure de défragmentation hors connexion sur chaque contrôleur de domaine dans le domaine une fois tous les objets de suivi de lien distribué supprimés.
Lorsque Trey Research a supprimé le descripteur et effectué la procédure de défragmentation, la base de données récupéré environ 1,5 Go d’espace disque sur tous les contrôleurs de domaine dans le domaine. Cet espace est suffisant pour exécuter l’outil Adprep confortablement et de tous les contrôleurs de domaine Windows 2000 et les catalogues globaux de mise à niveau vers Windows Server 2003.

Lorsque Trey Research a mis à niveau le système d’exploitation vers Windows Server 2003, plus d’espace disque a été libéré lorsque la fonctionnalité de banque d’instance unique dans Windows Server 2003 réduit la taille de la base de données à environ 8 Go (vous devez effectuer une procédure de défragmentation hors connexion pour obtenir ces résultats). Davantage d’espace a été récupéré après l’expiration de l’intervalle, des objets de suivi de lien distribué et l’exécution d’une procédure de défragmentation hors connexion.

Trey Research a promu un nouveau contrôleur de domaine Windows 2000 du réplica dans le domaine et placé le compte d’ordinateur dans une unité d’organisation différente de celle généralement utilisée. Dans les deux jours, environ 8 000 objets de suivi de lien distribué étaient présents sur le contrôleur de domaine Windows 2000. Trey Research soit arrêté le suivi de lien distribué ou créé une stratégie pour arrêter le service et puis lié la stratégie à des unités d’organisation hébergeant des contrôleurs de domaine Windows 2000. Pour finir, Trey Research a utilisé Dltpurge.vbs pour marquer les objets de suivi de lien distribué restants pour la suppression.

Anatomie de la suppression des objets DLT

Objets DLT eux-mêmes contiennent très peu d’attributs et utilisent très peu d’espace dans Active Directory. Lorsqu’un objet est marqué pour la suppression (désactivé), tous les attributs inutiles sont supprimés, à l’exception de ceux nécessaires au suivi de l’objet jusqu'à son effacement d’Active Directory.


Pour les objets de suivi de liaisons, le marquage de l’objet pour la suppression uniquement les montants suppression de deux attributs : dscorepropagationdata et objectcategory. La suppression de ces deux attributs entraîne une économie d’espace initiale de 34 octets. Toutefois, le processus de marquage de l’objet suivi de liaisons pour la suppression met également à jour l’objet en ajoutant un attribut IS_DELETED (4 octets) et le nom unique relatif et le « nom commun » en attributs, à l’origine de chacun de ces attributs de croître d’environ 80 octets. En outre, l’attribut de « métadonnées de réplication » augmente également d’environ 50 octets afin de refléter les mises à jour effectuées sur cet objet. Ainsi, en marquant un objet de suivi de liaisons pour la suppression, l’objet entraîne une augmentation totale d’environ 200 octets. Le NTDS. DIT n’affichera une réduction de la taille jusqu'à ce que les objets supprimés sont désactivés, mémoire nettoyée et effectuer une défragmentation en mode hors connexion.

Remarque Si le service est mis hors tension comme le recommande de cet article, l’autocleanup ne se produit pas.
Propriétés

ID d'article : 312403 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

Commentaires