在實際操作和試驗中收集了各種ntdsutil的使用技巧,特總結(jié)一下,給大家看看!
1. 用ntdsutil來清除無效的DC信息!
假如你的備份域為abc.mstc.com 主域為ctu.mstc.com,現(xiàn)在備份域壞了�����。那么你在裝有super tools的主控域上執(zhí)行如下命令:
C:\>ntdsutil
ntdsutil: metadata cleanup - 清理不使用的服務(wù)器的對象
metadata cleanup: select operation target - 選擇的站點,服務(wù)器�����,域��,角色和命名上下文
select operation target: connections - 連接到一個特定域控制器
server connections: connect to server ctu.mstc.com --綁定到 ctu.
用本登錄的用戶的憑證連接 ctu���。
server connections: quit - 返回上一層目錄
select operation target: list site - 在企業(yè)中列出站點(找到1個站點�,標識為0)
找到 1 站點
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
select operation target: select site 0 - 將標識為 0 的站點定為所選站點
站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
沒有當前域
沒有當前服務(wù)器
當前的命名上下文
select operation target: list domains - 列出所有包含交叉引用的域
找到 1 域
0 - DC= mstc,DC=com
select operation target: select domain 0 - 將標識為 0 的域定為所選域
站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
域 - DC= mstc,DC=com
沒有當前服務(wù)器
當前的命名上下文
select operation target: list servers for domain in site - 列出所選域和站點中的服務(wù)器(找到兩個:0-abc.mstc.com;1-ctu. mstc.com)
找到 2 服務(wù)器
0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
select operation target: select server 0 - 將標識為 0 的服務(wù)器(abc)定為所選服務(wù)器——也就是要刪除的DC
站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com
域 - DC= mstc,DC=com
服務(wù)器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
DSA 對象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
DNS 主機名稱 - abc.mstc.com
計算機對象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com
當前的命名上下文
select operation target: quit - 返回上一層目錄
metadata cleanup: remove select server - 從所選服務(wù)器上刪除 DS 對象
在彈出的對話提示框上選擇“是”�����,
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”刪除了�,從服務(wù)器“ctu”
現(xiàn)在�,abc.mstc.com這個Dc對象就在你的AD里消失了.
2.用ntdsutil來轉(zhuǎn)移fsmo五種角色��。
當您運行Dcpromo.exe 程序并安裝 AD 時,將向目錄林中的第一個域控制器授予五個 FSMO 角色�。其中有兩個 FSMO角色是目錄林范圍的,另外三個是域范圍的。如果創(chuàng)建了子域����,兩個目錄林范圍的角色將不會更改。一個具有兩個域的目錄林將有八個FSMO���;其中兩個是目錄林范圍的角色���,每個域各有三個特定于域的 FSMO 角色。這五個角色是schema master-架構(gòu)主機���,Domainnaming master-域命名主機�,Rid master-rid主機,pdc master-pdc防真器����,InfrastructureMaster-結(jié)構(gòu)主機�。想要把這幾種角色移動到另一臺計算機上有2種方法���,一種是轉(zhuǎn)移�����,但必須2臺計算機處于正常運行狀態(tài)�。如果有其中某臺處于離線狀態(tài)只能用第二種方法,使用ntdsutil工具來強制獲取這些角色?��,F(xiàn)在如果你的主控壞了這些角色也都在主控上�,請在裝有supporttools工具新的域控或備份域控上執(zhí)行如下命令:首先在CMD下運行
netdom query /d:域名 fsmo
查看一下當前哪些角色在哪臺服務(wù)器上�,
然后在CMD下運行
"ntdsutil"如果不知道命令怎么寫����,可以輸入?得到幫助提示����,
"roles"
"connections"
"connect to server 服務(wù)器名" 綁定一臺當前在線的DC
當連接成功后輸入 q 退出
回到上一層(roles)準備做角色遷移
"Seize schema master"
"Seize domain naming master"
"Seize RID master"
"Seize PDC"
"Seize infrastructure master"
以上五個命令����,分別用作遷移上面所提到的5個角色到我們之前綁定的服務(wù)器上�。
完成后再次回到CMD下執(zhí)行"netdom query /d:域名 fsmo",檢查角色是否已被遷移
在“常規(guī)”選項卡上�����,找到全局編錄復選框以查看其是否選中��。如果正常就說明角色轉(zhuǎn)換已成功����。
3.微軟提供了NTDSUtil這個工具可以對AD數(shù)據(jù)文件進行下線碎片整理操作. 由于微軟已經(jīng)提供了這整個操作過程的說明,所以在這里我只稍微重復一下,再加上一些額外的說明以避免大家犯一些不必要的災難性錯誤, 因為這是一個很關(guān)鍵的操作,一旦出錯將是災難性的.
1. 用必要的備份軟件備份你即將要操作的每一架DC,如果沒有專業(yè)的備份軟件用NTBackup也可以.
2. 重啟DC按F8鍵進入目錄服務(wù)恢復模式以進行對AD的操作.
3. 如果硬盤還有足夠的空間那么請再次備份當前的ntds.dit文件,把它拷貝到一個臨時文件夾內(nèi)作為備份直到所有的整理工作成功完成.記住,不要重新命名文件,否則整個壓縮過程不可能完成.
4. 在命令行下鍵入以下的命令:
a) Ntdsutil
b) Files
c) Info (記下當前ntds.dit的路徑.)
d) 鍵入 compact to "c:\compact" 以把經(jīng)過壓縮處理的ntds.dit文件放置到這個文件夾中保存, 如果這個文件不存在,Ntdsutil 會自動建立一個(這個文件夾可以是任意名字).
5. 如果要退出Ntdsutil的界面,請連續(xù)兩次鍵入下面的命令:
a) quit
b) quit
6. 用在c:\compact文件夾下已經(jīng)經(jīng)過壓縮后的ntds.dit覆蓋當前的ntds.dit.
7. 刪除在AD數(shù)據(jù)庫文件文件夾下的所有.log文件.
8. 重新正常啟動DC.
9. 再次備份整理后的DC,如果一切正常,你就可以把剛才復制備份的ntds.dit刪除了.
4. 查找和清理(或刪除)重復的安全標識符 (SID)
如何檢查是否有重復的 SID
1. 在 Ntdsutil 命令提示符下��,鍵入 security account management����,然后按 ENTER 鍵。
2. 在 Security Account Maintenance 命令提示符下��,鍵入 connect to server 服務(wù)器的 DNS 名稱�����,然后按 ENTER 鍵����。連接到存儲著您的 SAM 數(shù)據(jù)庫的服務(wù)器。
3. 在 Security Account Maintenance 命令提示符下���,鍵入 check duplicate sid�,然后按 ENTER 鍵。將顯示重復的 SID�。
如何清理重復的 SID
1. 在 Ntdsutil 命令提示符下,鍵入 security account management,然后按 ENTER 鍵�。
2. 在 Security Account Maintenance 命令提示符下���,鍵入 connect to server 服務(wù)器的 DNS 名稱,然后按 ENTER 鍵�。連接到存儲著您的 SAM 數(shù)據(jù)庫的服務(wù)器。
3. 在 Security Account Maintenance 命令提示符下����,鍵入 cleanup duplicate sid�����,然后按 ENTER 鍵��。Ntdsutil 將確認刪除重復的 SID。
4. 在 Security Account Maintenance 命令提示符下��,鍵入 q�����,然后按 ENTER 鍵�����。
5. 完成 Ntdsutil 下的操作后,鍵入 q�����,然后按 ENTER 鍵�。
6. 使用 Ntdsutil 實用工具將 IP 地址添加到 IP 拒絕列表.
如何向拒絕列表添加 IP 地址
1. 在 Ntdsutil 命令提示符下,鍵入 IPDeny List���,然后按 ENTER 鍵���。
2. 在 IP Deny List 命令提示符下,鍵入 connections�����,然后按 ENTER 鍵��。
3. 在 server connections 命令提示符下�,鍵入 connect to server 服務(wù)器的 dns 名稱���,然后按 ENTER 鍵。
備注:請連接到您正在使用的服務(wù)器�。
4. 在 Server connections 命令提示符下,鍵入 q����,然后按 ENTER 鍵返回到先前的菜單。
5. 在 IP Deny List 命令提示符下�����,鍵入 add IP 地址掩碼��,然后按 ENTER 鍵����。
如果您正在單節(jié)點環(huán)境中工作�,可將“node”用作掩碼變量。
6. 在 IP Deny List 命令提示符下���,鍵入 commit��,然后按 ENTER 鍵提交所作的更改。
如何驗證添加的項
1. 在 IP Deny List 命令提示符下����,鍵入 Show,然后按 ENTER 鍵�����。
將顯示所有被拒絕的 IP 地址的列表��。
2. 在 IP Deny List 命令提示符下���,鍵入 q����,然后按 ENTER 鍵。
3. 在 Ntdsutil 命令提示符下���,鍵入 q��,然后按 ENTER 鍵退出 Ntdsutil���。
6. 重設(shè)DSRM密碼
1. “開始” - “運行” - “CMD”
2. ntdsutil
3. 在“ntdsutil:”提示符下輸入“set DSRM Password”
4. 在“重置DSRM管理員密碼:”提示符下輸入“Reset Password on server <servername>”�,其中<servername>是想修改DSRM管理員密碼的服務(wù)器名。
5. 在“請鍵入DS還原模式管理員賬戶的密碼:”提示符下輸入新的密碼���。
6. 確認新的密碼��。
7. 設(shè)置密碼成功����,工具回到“重置DSRM管理員密碼:”提示符��。
8. 輸入“quit”返回到ntdsutil命令提示符��。
9. 如果不需要執(zhí)行其他ntdsutil操作�,再次輸入“quit”退出ntdsutil工具。
