ntdsutil.使用详解.doc

ntdsutil.exe使用详解- -t9 m* Q- l8 s/ g6 o( X! a K o $ G4 L, a3 8 P; W( aK8 P Z- m* N. N, _/ u7 f# J4 s: L% D8 y在实际操作和试验中收集了各种ntdsutil的使用技巧,特总结一下,给大家看看!* G. o& B1 x b6 I. o5 z% T8 E, m2 i1用ntdsutil来清除无效的DC信息！; o5 n: v) R$ q7 I A6 B) n, |8 q$ ?4 x2 F3 |2 J假如你的备份域为 主域为,现在备份域坏了。那么你在装有super tools的主控域上执行如下命令：2 x5 M: ?: I3 Ps; |6 + g6 C! A( H8 p3 L: S/ JC:ntdsutil$ _$ O9 b( d8 7 e* b6 O3 J% T7 a2 p; i+ F k4 e3 intdsutil: metadata cleanup - 清理不使用的服务器的对象/ j) g8 j, I2 + F) uv9 X4 o; $ o3 u8 b% W* u7 L& N7 Nmetadata cleanup: select operation target - 选择的站点，服务器，域，角色和命名上下文. x% z- q8 S. V. , / h6 S, H/ c3 e+ s1 qselect operation target: connections - 连接到一个特定域控制器( V* x6 Z. G, D- w- z2 u. _& G+ x( Pserver connections: connect to server -绑定到 ctu.2 C. e* z! 0 x; e: u. T0 Q6 M- r& r# N! c& e用本登录的用户的凭证连接 ctu。% T& N: A3 1 f, v& C3 E8 ) : T l/ & v Fserver connections: quit - 返回上一层目录) W9 O; f R# vr. i2 T / h5 # i E/ d; t0 select operation target: list site - 在企业中列出站点(找到1个站点，标识为0); N- D7 K/ I. r G! Z& ; K1 W- o1 x( z* _5 p/ F找到 1 站点# A1 m1 a2 a Z 1 - T7 h7 h# K |* _$ 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com: v8 y r f6 k9 y: p t* H9 p3 W% , 1 Rselect operation target: select site 0 - 将标识为 0 的站点定为所选站点$ a * r2 _4 O. U9 p2 1 , Y7 % J i: o$ c0 站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com7 6 a( V2 J8 + p% P, K! C4 X3 k4 h3 D8 W+ P6 _ |没有当前域 t) O) T, X# ( Q4 M% N* R0 S2 F0 z2 M5 没有当前服务器% x# v0 f L5 N8 ( v# b w* W& 当前的命名上下文; o% k! K- y( L o4 A2 t# c5 I, 8 C9 a. N: Y J# ?1 b0 n, x5 7 S7 ( T / 6 u3 A0 m3 C! H# : e D2 x$ x- R3 c9 i8 y$ W% Z2 g! kselect operation target: list domains - 列出所有包含交叉引用的域. r. s1 3 a+ J P2 W( U6 k; % w# D5 y找到 1 域8 A D% L2 E?+ g: F- Z( d2 g- e0 J$ J( L; X$ 8 f1 X6 l! 0 - DC= mstc,DC=com0 z9 G# w* 3 f! c- ?% j2 k( l; , L: O) l3 I7 O1 select operation target: select domain 0 - 将标识为 0 的域定为所选域+ - A. W% D. J( O$ mI* W) w s% s- ( X站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com/ |$ E( W; m- k- t1 X2 n) c8 5 ?4 N: v( n4 K! q域 - DC= mstc,DC=com5 X- G5 N5 h- r2 q1 p9 Z6 N; n! ZU8 j G3 . O) 7 e没有当前服务器* i x6 a$ L, Y5 Q! D6 f2 E7 A P4 _2 L2 a. s2 E2 b* s/ ! m& C, c6 I当前的命名上下文- N4 G) s$ j1 c4 W+ t/ Y7 p1 C8 g& k* u1 x6 dk# J& n2 M! ?( 9 n) P1 / t7 w2 R, a! |* M: f! X5 w! q$ H3 F7 I3 ) k1 Jselect operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个：0-；1-ctu. )$ a3 j0 z+ a: PA) p5 7 f) y9 b; # l0 O$ C2 Q: P. k找到 2 服务器6 ?; ?1 Y2 f0 O0 c4 3 l8 W7 M$ _8 X) Z0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com4 H# T c 2 k/ Z_0 F2 h& z$ v- J7 F+ G1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com+ Q# Z) p5 j0 A/ R: _ R# l ) o6 9 X8 Z7 x- H7 O7 |. iselect operation target: select server 0 - 将标识为 0 的服务器（abc）定为所选服务器也就是要删除的DC6 $ 5 s. G4 # 8 M# g4 s/ e, g- pU站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com# V& X8 hT% ) I9 Y5 Z3 G: R域 - DC= mstc,DC=com7 N5 Ey# o6 I7 E; G6 - G- s4 D w% * m$ U3 ! Z服务器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com6 w4 u L- B3 / c0 q1 m4 c. d5 I& v) z3 T+ V4 ; ( x% C/ _: s, 5 l + l W/ % a+ * p5 4 Y! 5 S# L7 T n4 T% B( L5 e* _7 p v: MDSA 对象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur a8 I m* r2 u8 A$ cP& ts9 Z) ODNS 主机名称 - 5 s% I: T4 s7 s4 X$ w& T4 k P7 h9 Z计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com7 _ / k6 - n3 c- H6 |+ s$ f7 U) g7 V: _$ m0 T$ l当前的命名上下文3 w3 * _9 : P! K7 K( + K! : vV8 E0 _) S+ G# C& Q4 p - T4 m) G A* D D4 b( M4 M M+ B1 ( H! a p$ w; U F3 P F/ b N/ k2 Uselect operation target: quit - 返回上一层目录) L1 3 H6 . B1 s: k2 H; C* + G+ d. X: l( O7 w+ e1 d; U4 b* G0 A% f. L& f# Y3 Q2 F! j X6 l/ E6 j7 a* |; a2 C/ % Lmetadata cleanup: remove select server - 从所选服务器上删除 DS 对象& L# J3 x+ 6 P6 # a! 9 j4 p( P% A! w% 在弹出的对话提示框上选择“是”， h; v; & d+ R% |2 0 o! T0 t2 g$ % g; PL$ s( M5 U$ r“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了，从服务器“ctu”0 z8 W K6 : eu; H$ f* 3 N) g4 l4 现在，这个Dc对象就在你的AD里消失了.& d$ b& e# P) F: 4 Y# u* y( p# I- T$ g2 9 i9 |0 q # b) 1 o2 R5 i* Y& a1 K5 U8 v $ R: N1 O; a& P v- X- U9 y3 J; N4 . q2用ntdsutil来转移fsmo五种角色。N$ M# k7 5 O5 d6 B8 l9 q- p4 G0 S% L当您运行Dcpromo.exe 程序并安装 AD 时，将向目录林中的第一个域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的，另外三个是域范围的。如果创建了子域，两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO；其中两个是目录林范围的角色，每个域各有三个特定于域的 FSMO 角色。这五个角色是schema master-架构主机，Domain naming master-域命名主机，Rid master-rid主机，pdc master-pdc防真器，Infrastructure Master-结构主机。想要把这几种角色移动到另一台计算机上有2种方法，一种是转移，但必须2台计算机处于正常运行状态。如果有其中某台处于离线状态只能用第二种方法，使用ntdsutil工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上，请在装有support tools工具新的域控或备份域控上执行如下命令：首先在CMD下运行; s- D- U1 L3 x$ Znetdom query /d:域名 fsmo. B3 T5 x D, L) k/ n查看一下当前哪些角色在哪台服务器上，& Q% G# u; U! J: h然后在CMD下运行0 o; y9 P( p. M- N y3 s% yntdsutil如果不知道命令怎么写，可以输入？得到帮助提示，$ h* P, Uf3 i$ G9 5 M) , Groles7 n: s9 G8 Y- M& D3 Iconnections. c& ?7 i: n5 O* connect to server 服务器名绑定一台当前在线的DC5 4 w. f+ P$ A/ x当连接成功后输入 q退出* s8 x4 n5 y+ E5 9 r1 T回到上一层（roles）准备做角色迁移& ?1 I# l1 P# Y: Seize schema master: S0 _$ n# |( E$ F( C- LSeize domain naming master4 |- r3 5 K& f I( K2 aSeize RID master$ F4 J% _- 7 wSeize PDC$ |4 W$ J3 W1 N+ H1 I+ a, s. tSeize infrastructure master) v( e( A; P- U: F Q J8 z3 S. : l9 K3 以上五个命令，分别用作迁移上面所提到的5个角色到我们之前绑定的服务器上。6 O5 |3 b) s% N M, m完成后再次回到CMD下执行netdom query /d:域名 fsmo，检查角色是否已被迁移! w- z* m! V. y0 C+ z1 H0 T4 ?; E$ s6 v% F; ?- Y0 W( 0 u: v- E( 3 B! G/ s1 X在“常规”选项卡上，找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。; T* j6 M9 K2 k! L6 _2 D* R8 q J/ 7 T4 a0 g0 P$ Q# k+ K9 e! r/ U/ D2 b( G# w0 f1 n. |& b) g: E ) x; t$ * t6 . U8 s_ Q- t W1 j9 . B3 Z# N- |: 3微软提供了NTDSUtil这个工具可以对AD数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一个很关键的操作,一旦出错将是灾难性的.6 ?aH. ?/ H. o9 H& Lk q, J3 g1 F l1 _8 u L2 x9 Q. t) G3 Y1 t y0 7 s7 k- s4 # _) F: G, E) f1 Z H; k5 s+ b+ f( g W% V5 q3 M* t, l/ j! r/ u 1. 用必要的备份软件备份你即将要操作的每一架DC,如果没有专业的备份软件用NTBackup也可以.1 # B5 - 5 e; v- I8 I0 m0 NE1 P$ I! a- D5 X4 G1 A P8 j$ 9 R1 X! Y2. 重启DC按F8键进入目录服务恢复模式以进行对AD的操作. a7 V: Z, ) Y) n; G* I c/ M0 i9 z% c. Z3 Q- D& n7 ) L5 t3. 如果硬盘还有足够的空间那么请再次备份当前的ntds.dit文件,把它拷贝到一个临时文件夹内作为备份直到所有的整理工作成功完成.记住,不要重新命名文件,否则整个压缩过程不可能完成.! Q3 q% g4 H* i: h% % 9 # z2 V7 D, , W6 T& D: w) X) S w/ s4. 在命令行下键入以下的命令:. Q i# x+ c% D3 ) x D. , Y; j3 v) 6 x4 E: M( C r1 _- C % * ma) Ntdsutil- Y% e4 4 n# e0 C) s+ rl$ e$ d9 R# X0 J+ Y. _3 c( L) M1 ?( W8 x. b) Files9 J rH. p4 h+ o- j% U( Q7 r) * . _9 8 g2 c* o. y- p+ W3 A3 tT% m0 V9 Xc) Info (记下当前ntds.dit的路径.)& f& E+ y/ N5 X5 E+ o4 e. B! M& Q& z4 o( g( T* C4 C9 D, N6 d/ m; w, a4 d) 键入 compact to c:compact 以把经过压缩处理的ntds.dit文件放置到这个文件夹中保存, 如果这个文件不存在,Ntdsutil 会自动建立一个(这个文件夹可以是任意名字).6 L3 |7 h) B& T: % w9 ?# B0 ! k. g! S$ w% * B3 t( & W6 b5. 如果要退出Ntdsutil的界面,请连续两次键入下面的命令: ) 0 o2 p. b( H6 P9 K2 s9 H& : e/ 8 F3 H. _* h1 U; d1 s# p4 aa) quit, g7 b, A6 S/ s9 D, H) 0 d# 1 A. i) |6 ) - % h+ X. E2 f9 o* r5 Bb) quit% v0 i- G% e- A* V( ?! # Q6 F6 jd+ i5 : y. k% C( W6 P6 x/ u7 a5 x( Q6. 用在c:compact文件夹下已经经过压缩后的ntds.dit覆盖当前的ntds.dit.2 E* D# B) u9 l8 B- k d4 6 _! X2 L# F7 P3 h9 M+ X f- N3 g: B6 P% Z% Q7. 删除在AD数据库文件文件夹下的所有.log文件.& d9 F* V3 U0 : n) |; q ( ( Z1 Ng# HV3 r9 c2 H# x! |3 T# s2 f; k8. 重新正常启动DC.B/ v+ w. i) Z- P! M6 ve1 b1 E# n2 n2 O& c0 X6 M4 x7 E5 u S1 s4 S2 F& x9. 再次备份整理后的DC,如果一切正常,你就可以把刚才复制备份的ntds.dit删除了.8 N6 k7 , k+ Vc( P3 ?. H! b8 p/ ( + Q4 C: 5 / s$ 3 ?0 k2 s5 U* m& D) K% R# q& k8 & l. n* G4 g8 k5 _4 e Z6 XH5 p) q , p: 5 f, r+ S5 l3 u. 3 G4 s- t8 B6 L) w/ E & i2 w _6 P9 E7 C y& r. z! P2 L2 h w B) S/ $ z; h! v0 Z0 y4. 查找和清理（或删除）重复的安全标识符 (SID)$ I7 J/ ?! T! L$ S, A6 O5 J; U8 P* t5 5 B& m3 z- K4 S) Q如何检查是否有重复的 SID1 S$ |/ n, x% g6 N8 l3 S& ( A8 u+ M+ z3 f) o& Z4 / w: E! V1. 在 Ntdsutil 命令提示符下，键入 security account management，然后按 ENTER 键。 0 C+ v4 M* X: Z1 Y% e2 c5 y9 h( t: t|4 w$ |- J) m2. 在 Security Account Maintenance 命令提示符下，键入 connect to server 服务器的 DNS 名称，然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 ! r4 O# b9 |+ Q; T. qu( X& t2 + b9 h6 L2 P/ c+ c5 3. 在 Security Account Maintenance 命令提示符下，键入 check duplicate sid，然后按 ENTER 键。将显示重复的 SID。% o) w+ F. E 3 _ n% s0 D6 L! _! A; b: L6 f5 r( M( N# e) P; K8 x( O; v l/ o如何清理重复的 SID% % N H. x9 + ?- i9 T( g, z7 ag& 2 q7 d1 p a: q. v9 f2 $ y N( |+ V0 L1. 在 Ntdsutil 命令提示符下，键入 security account management，然后按 ENTER 键。 8 W1 y( Q z$ u( b) x6 J% h, % t7 s& K C( u7 z) Ju% - # e$ t% ) ) O2. 在 Security Account Maintenance 命令提示符下，键入 connect to server 服务器的 DNS 名称，然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 p GI4 : K9 T+ v( S. G+ c, i6 i& ?+ K& z+ H3 v7 C# J$ b3 r# W3 o8 n& M3. 在 Security Account Maintenance 命令提示符下，键入 cleanup duplicate sid，然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。 D1 $ 7 K M( h( ?3 Nv; ?2 N q& D- E! v2 u4 i5 U$ U5 X& : & H0 n+ r4. 在 Security Account Maintenance 命令提示符下，键入 q，然后按 ENTER 键。 5 c m6 Y0 8 N4 F/ % w; ?, u: b* W$ t6 |: O6 a7 T% . s3 y4 J/ P- 5. 完成 Ntdsutil 下的操作后，键入 q，然后按 ENTER 键。2 x) H m( E) R, U1 c! y) O+ F8 J7 4 h& a5 C! S1 n5 U# z5 _5 P- c1 G1 E3 R$ L- e/ SU( , - 2 c C D7 C+ A& N/ N# k% C- g4 g. h6 J4 S# Xf2 P9 ! A# h( l2 Z3 g: X) L8 O8 / x4 ( Po$ s$ e# Q* _1 Y+ L F , D: r$ p9 D: h8 i3 T9 6 r* e! f v3 V: N$ L( l& V5 C! G- m. _; D( L& g$ Z5. 使用 Ntdsutil 实用工具将 IP 地址添加到 IP 拒绝列表.9 n! Q6 C: |7 A0 | A* B! c, d, I, o( E, q# v# K: 如何向拒绝列表添加 IP 地址& 1 A/ j% S. C; 7 T+ c% - k; g$ j: x3 9 M3 R v$ F4 z- p ; se, 1 1. 在 Ntdsutil 命令提示符下，键入 IPDeny List，然后按 ENTER 键。 6 P# r; o! H# V% |1 _4 ?3 S9 G* M# a6 r# 2 z5 X. Y6 q; u2 Y* e6 z2. 在 IP Deny List 命令提示符下，键入 connections，然后按 ENTER 键。 ! V 3 Z/ o& B7 C# u) m* j7 w$ O ; F. J1 a% m; I& YT4 C, o Q( n& h3 g3. 在 server connections 命令提示符下，键入 connect to server 服务器的 dns 名称，然后按 ENTER 键。3 , U* T0 x& H% Q+ P2 l6 N- a$ y0 . T# r# W# ( yb1 n& V( i6 w6 ; b- 6 u4 m备注：请连接到您正在使用的服务器。 : ?8 Q1 W; n D C7 q# Y+ x8 H, r& W / 4 E% , u. W_) K: T1 e4. 在 Server connections 命令提示符下，键入 q，然后按 ENTER 键返回到先前的菜单。 % q( Z* X9 h0 l+ ; B: j8 U: |4 Y. A) d. t6 U4 A/ y. d4 b% k- J9 o4 u# B& G5. 在 IP Deny List 命令提示符下，键入 add IP 地址掩码，然后按 ENTER 键。 ; j% * ?1 v, q4 | i/ P7 y0 r- n) y7 O9 d$ E$ C! ! g0 X, Y6 如果您正在单节点环境中工作，可将“node”用作掩码变量。 % q/ Z/ i) 7 D0 d0 P$ D& i2 + i6 T4 S5 e$ B) K1 0 o r1 k7 3 X6. 在 IP Deny List 命令提示符下，键入 commit，然后按 ENTER 键提交所作的更改。 , O5 k1 ?. k4 k2 b/ m( ; G4 E3 k R* o+ |$ c$ O2 q9 j- q( Y7 S* v. T; 8 ?如何验证添加的项0 R1 F; o& V7 j. 2 k4 k+ C1 ( ) w9 G1 K! _ D4 o1 a! t4 D, Z* d1. 在 IP Deny List 命令提示符下，键入 Show，然后按 ENTER 键。 0 S8 a: P1 Q! 4 % h( K7 v) k; h4 0 $ 3 S. r5 f, z- K4 s# V5 V0 T8 将显示所有被拒绝的 IP 地址的列表。 8 * j# t# I7 g L; n* X5 |- X# Y; o% Y9 z( w0 M& M1 Y 8 h2. 在 IP Deny L