ntdsutil.exe使用詳解

ntdsutil.exe使用詳解

1．  用ntdsutil來清除無效的DC信息！

假如你的備份域爲abc.mstc.com 主域爲ctu.mstc.com,現在備份域壞了。那麼你在裝有super tools的主控域上執行如下命令：
' ^/ _# r3 \3 ], V) g1 l3 ^
C:\>ntdsutil9 T0 h: u. F( W! O- s/ q( J. T
ntdsutil: metadata cleanup - 清理不使用的服務器的對象1 I: ~8 D5 k9 G6 r$ l  e& Z* _
metadata cleanup: select operation target - 選擇的站點，服務器，域，角色和命名上下文
7 \0 f& y9 q+ ]6 G+ \
select operation target: connections - 連接到一個特定域控制器
$ }/ f9 Y) d# P
server connections: connect to server ctu.mstc.com  --綁定到 ctu.
用本登錄的用戶的憑證連接 ctu。
server connections: quit - 返回上一層目錄
select operation target: list site - 在企業中列出站點(找到1個站點，標識爲0)& w/ j4 q0 |, ]: a
找到 1 站點" p' }4 I! X# Q  g# Z# \1 Z: M
  J0 j/ h4 y7 g" R
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
( T4 B( g+ W2 F2 N1 r# I
select operation target: select site 0 - 將標識爲 0 的站點定爲所選站點; L0 L# W! I- a) P$ u$ L0 T9 O$ R2 _
0 p9 T. t+ |" \
站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
9 Q/ k( ]. N! V2 I* X; X
沒有當前域
  C* q' M. k9 `; h
沒有當前服務器
3 V4 u" r% ?4 p* Z4 k. P: j
當前的命名上下文+ w- p  c% x+ N3 j
& i* Y- }5 w, ?! M1 y& {
0 D7 b) T% i; ~7 n2 l1 d
select operation target: list domains - 列出所有包含交叉引用的域
找到 1 域
0 - DC= mstc,DC=com
select operation target: select domain 0 - 將標識爲 0 的域定爲所選域
站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com- B6 O) G) Y5 ?* h! e
! c# _7 B3 A! k& {& X3 A. ~  A
域 - DC= mstc,DC=com
' [; q. g) G7 `, m: m; I8 e" r
沒有當前服務器+ O8 u0 Y2 V! C
$ z+ r) x9 W8 u. b: [
當前的命名上下文" C5 d3 Q1 ^9 C6 K+ X9 Z  x
% ]' g8 ~) l& A8 g+ |
% l3 s: p( j% Y' }; Z
select operation target: list servers for domain in site - 列出所選域和站點中的服務器(找到兩個：0-abc.mstc.com；1-ctu. mstc.com)
" m8 j" g# n5 A/ b
找到 2 服務器
/ i: ~; K9 S) G7 q
0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
! X$ j$ s$ P! V# ~# Q3 x: h
1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
1 r5 l8 _+ K$ {/ H- r1 Q; y& L
select operation target: select server 0 - 將標識爲 0 的服務器（abc）定爲所選服務器——也就是要刪除的DC7 \% D) T  h# H. S8 L
站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com# Y. _0 X+ n; C8 i
7 H/ K8 k' a7 j+ l, P
域 - DC= mstc,DC=com0 _: V( H1 _6 j" ~$ `3 q; U
. `5 V& a  S. a' m1 ~
服務器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
' e) I) k9 i7 [- G! [" Q
DSA 對象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
DNS 主機名稱 - abc.mstc.com
, B3 ]) M! _& q2 {/ i2 w: S
計算機對象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com
當前的命名上下文( v5 m! Q+ ^5 c9 O5 m3 Q
2 p3 O6 e% A* P$ w' I8 T
9 F& m7 Q: d5 y" T; q( P, J) r0 O
4 h, i0 C/ e! `* k2 }
select operation target: quit - 返回上一層目錄% _$ X  r5 q$ e- M3 M! j% z2 t4 Z
' l$ p: o: k; h
- J! C7 X" Q6 f1 c  O! W1 }
0 q& v2 x+ P% c) U  F
metadata cleanup: remove select server - 從所選服務器上刪除 DS 對象6 k- _: W: R" v' H( g
在彈出的對話提示框上選擇“是”，
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”刪除了，從服務器“ctu”9 Q9 Y+ X* ]( p% `( {4 q
現在，abc.mstc.com這個Dc對象就在你的AD裏消失了.
  p- M1 t+ D$ I' n
% F& W5 `+ K/ f+ m/ ^. X

/ y* L) ^9 m0 B6 D/ r
2．用ntdsutil來轉移fsmo五種角色。
" J; C8 p, [/ P& H7 @
當您運行Dcpromo.exe 程序並安裝 AD 時，將向目錄林中的第一個域控制器授予五個 FSMO 角色。其中有兩個 FSMO 角色是目錄林範圍的，另外三個是域範圍的。如果創建了子域，兩個目錄林範圍的角色將不會更改。一個具有兩個域的目錄林將有八個 FSMO；其中兩個是目錄林範圍的角色，每個域各有三個特定於域的 FSMO 角色。這五個角色是schema master-架構主機，Domain naming master-域命名主機，Rid master-rid主機，pdc master-pdc防真器，Infrastructure Master-結構主機。想要把這幾種角色移動到另一臺計算機上有2種方法，一種是轉移，但必須2臺計算機處於正常運行狀態。如果有其中某臺處於離線狀態只能用第二種方法，使用ntdsutil工具來強制獲取這些角色。現在如果你的主控壞了這些角色也都在主控上，請在裝有support tools工具新的域控或備份域控上執行如下命令：首先在CMD下運行5 H7 u  \4 x! i# N/ x+ X' q! o/ m- h
netdom query /d:域名 fsmo
查看一下當前哪些角色在哪臺服務器上，
然後在CMD下運行　  s) X0 d3 W% ~* `! U
"ntdsutil"如果不知道命令怎麼寫，可以輸入？得到幫助提示，
"roles"　
"connections"　  E: h: A. w% {# ?5 L- d( a
"connect to server 服務器名"　綁定一臺當前在線的DC
當連接成功後輸入 q　退出
回到上一層（roles）準備做角色遷移
"Seize schema master"8 k4 |8 }6 h9 C+ `( t
"Seize domain naming master"
"Seize RID master"
"Seize PDC"
"Seize infrastructure master"# f9 P  L5 U- u# Y; n
以上五個命令，分別用作遷移上面所提到的5個角色到我們之前綁定的服務器上。. U4 a9 w/ G+ I4 Q: P! G; p
完成後再次回到CMD下執行"netdom query /d:域名 fsmo"，檢查角色是否已被遷移1 l9 M1 j" g$ q0 h
在“常規”選項卡上，找到全局編錄複選框以查看其是否選中。如果正常就說明角色轉換已成功。* G* t( P1 r0 r. Q/ l- \
! s; N% ~! g% q* z, q
0 D6 c& H7 B( F
4 r  X$ m+ J% t$ L
3 ^. [2 K  l, k& c) P

' d1 I9 Y% ^* u- ?# ]/ x7 e2 o4 D
3．微軟提供了NTDSUtil這個工具可以對AD數據文件進行下線碎片整理操作. 由於微軟已經提供了這整個操作過程的說明,所以在這裏我只稍微重複一下,再加上一些額外的說明以避免大家犯一些不必要的災難性錯誤, 因爲這是一個很關鍵的操作,一旦出錯將是災難性的.4 x" _1 E; U1 a" B
5 l- d" m6 w; b/ f* R( U5 K
& ^. C, D) g# ~$ z4 X
. u/ ?+ T6 D! L& Q
1. 用必要的備份軟件備份你即將要操作的每一架DC,如果沒有專業的備份軟件用NTBackup也可以.
2. 重啓DC按F8鍵進入目錄服務恢復模式以進行對AD的操作.7 Z) V" g9 c# q1 b, m$ f* x
( ^2 c' E4 D. G1 {4 b! l' R% N
4 J  x" k# M. }; f3 p7 y) X
3. 如果硬盤還有足夠的空間那麼請再次備份當前的ntds.dit文件,把它拷貝到一個臨時文件夾內作爲備份直到所有的整理工作成功完成.記住,不要重新命名文件,否則整個壓縮過程不可能完成.4 O# z# t& u6 S) n+ I( L
6 L" b- |1 Y# i7 c* ]0 ^
4. 在命令行下鍵入以下的命令:: E& T  j  h3 y/ z/ j+ w& |
% j# x$ M! x0 i3 N
a) Ntdsutil
& r% }, q  {" J0 z9 Y
b) Files
' C3 F! V; m: {" N4 U* |4 Y7 c1 f  K
c) Info (記下當前ntds.dit的路徑.)
7 {# d0 E- P9 Z- ?
$ c, P( g# I$ u# a1 z
d) 鍵入 compact to "c:\compact" 以把經過壓縮處理的ntds.dit文件放置到這個文件夾中保存, 如果這個文件不存在,Ntdsutil 會自動建立一個(這個文件夾可以是任意名字).
5 E/ Y+ e1 P6 j7 Y- R
5. 如果要退出Ntdsutil的界面,請連續兩次鍵入下面的命令: 
- L+ q; I3 R" X; z2 m, I: `. o9 p
a) quit
) k& y: K# t7 m8 i$ o! k; p
3 K7 ^9 ?! O3 U1 P! J
b) quit
' ?, L$ D2 E/ O3 m0 o" F
' q2 H, i% R8 \& c: i
6. 用在c:\compact文件夾下已經經過壓縮後的ntds.dit覆蓋當前的ntds.dit.
( N1 H! e7 h1 S( D$ |6 Z6 L7 h
7. 刪除在AD數據庫文件文件夾下的所有.log文件.
8. 重新正常啓動DC./ p( Y$ ^7 L( }& u3 L$ U+ G7 T
9. 再次備份整理後的DC,如果一切正常,你就可以把剛纔複製備份的ntds.dit刪除了.
8 C* z* v7 g6 H. S8 P0 N

% ~  g. a7 K0 A6 |4 a
- V- \/ y8 S( v
9 n1 m; A) P5 `# H6 g* m) l# o" B
  j  j  z+ \: {& G, e, 
1 \5 t$ s) m1 a
4. 查找和清理（或刪除）重複的安全標識符 (SID)  D: ~! O) m; h2 {( K- t1 y% B
! j% d0 I) @& i

如何檢查是否有重複的 SID3 y4 E- {: D; J( W) ?
9 y" ~$ n& w; j+ r6 s/ I! ?
0 _2 h0 [* ]  J- n+ O/ |& C" {3 }! W  I
1. 在 Ntdsutil 命令提示符下，鍵入 security account management，然後按 ENTER 鍵。 
3 |1 ^9 b/ M/ ]: n: W: l- Y4 h5 @
- }7 b4 {: ~0 J6 a
2. 在 Security Account Maintenance 命令提示符下，鍵入 connect to server 服務器的 DNS 名稱，然後按 ENTER 鍵。連接到存儲着您的 SAM 數據庫的服務器。 
  S: H1 _- F6 ]. b- c
* n5 e  F: H- W$ N
3. 在 Security Account Maintenance 命令提示符下，鍵入 check duplicate sid，然後按 ENTER 鍵。將顯示重複的 SID。

如何清理重複的 SID
* S% x+ W* t8 ]5 K3 a- }
1. 在 Ntdsutil 命令提示符下，鍵入 security account management，然後按 ENTER 鍵。 8 x( c/ O; n( F8 ~. a9 ?) U6 H! c
" F! N7 c2 t- n, y% I- k6 u
2. 在 Security Account Maintenance 命令提示符下，鍵入 connect to server 服務器的 DNS 名稱，然後按 ENTER 鍵。連接到存儲着您的 SAM 數據庫的服務器。 8 j! d- I& Q0 u/ K
3. 在 Security Account Maintenance 命令提示符下，鍵入 cleanup duplicate sid，然後按 ENTER 鍵。Ntdsutil 將確認刪除重複的 SID。 & P8 H0 N3 y! }9 K2 d$ q, k. W' I
4. 在 Security Account Maintenance 命令提示符下，鍵入 q，然後按 ENTER 鍵。 
7 p; Y& {6 o* ^% M; W
5 ?7 {2 J2 @9 ^4 S* M
5. 完成 Ntdsutil 下的操作後，鍵入 q，然後按 ENTER 鍵。9 D& v# p; H1 c( K
1 J/ ?! O& |, }* D

7 L* e( r% y" l! x0 Q, ?6 I* ?
# f& @2 P; t  {1 d. 
- F3 s7 h( A7 F: {5 }
! l9 f! F$ S. s- t- {
& z- l0 W0 w* m3 V4 o
5. 使用 Ntdsutil 實用工具將 IP 地址添加到 IP 拒絕列表.
3 \# g$ }9 g9 e( k2 }$ 如何向拒絕列表添加 IP 地址
1. 在 Ntdsutil 命令提示符下，鍵入 IPDeny List，然後按 ENTER 鍵。 ' n: R9 B5 }) a8 j0 v( _# S  x
4 |8 Z* D, x5 G, E# F$ x6 ?0 Y+ G! s
2. 在 IP Deny List 命令提示符下，鍵入 connections，然後按 ENTER 鍵。 
3. 在 server connections 命令提示符下，鍵入 connect to server 服務器的 dns 名稱，然後按 ENTER 鍵。3 B3 X" R* ]0 u! x) ~% I( b
1 g2 W6 e  }# |& Z! S
備註：請連接到您正在使用的服務器。 
4. 在 Server connections 命令提示符下，鍵入 q，然後按 ENTER 鍵返回到先前的菜單。 : P# o2 n9 h' v+ ?/ F" D: _: ^& F
. D/ B/ R, _$ c- @9 q
5. 在 IP Deny List 命令提示符下，鍵入 add IP 地址掩碼，然後按 ENTER 鍵。 
$ r7 Z& j; N( X. R& M0 ~
如果您正在單節點環境中工作，可將“node”用作掩碼變量。 
6. 在 IP Deny List 命令提示符下，鍵入 commit，然後按 ENTER 鍵提交所作的更改。 
  j5 t- O: E3 I" s" n% @
, S2 e% M* j4 b1 A' [6 U/ ~# t# B
如何驗證添加的項1 g1 w- R& `6 _! a; `5 g
$ n8 P; l( r. w2 J+ h& o9 O
: U! A5 a/ s4 {9 Z1 b
1. 在 IP Deny List 命令提示符下，鍵入 Show，然後按 ENTER 鍵。 
( Q  M5 Z+ P9 q5 M7 v+ v
; m% c# X. O& j; U4 D0 C6 Y
將顯示所有被拒絕的 IP 地址的列表。 - s- C# v/ @# R, g6 R
0 a) S' Z$ U3 a
2. 在 IP Deny List 命令提示符下，鍵入 q，然後按 ENTER 鍵。 
; b- S( h2 S3 _
3. 在 Ntdsutil 命令提示符下，鍵入 q，然後按 ENTER 鍵退出 Ntdsutil。
$ @6 H( P2 _  T/ o

& N8 Q; e5 g+ o6. 重設DSRM密碼
1. “開始” - “運行” - “CMD”* j  r+ @1 F3 `6 E% m- z7 m
2. ntdsutil
2 J; |, C/ d5 h* h
9 W, p& e  ~( V
3. 在“ntdsutil:”提示符下輸入“set DSRM Password”! Q# I$ t8 v1 N$ N* A. Q% i; s" @
1 {, b1 s3 e6 L/ B' k6 w) |0 N) D
4. 在“重置DSRM管理員密碼：”提示符下輸入“Reset Password on server <servername>”，其中<servername>是想修改DSRM管理員密碼的服務器名。
* I$ `, H2 I* A- g' _2 V
5. 在“請鍵入DS還原模式管理員賬戶的密碼：”提示符下輸入新的密碼。
4 b: U( x( m. A/ [$ ?
6. 確認新的密碼。
" j, b. i; F  q9 H1 i8 u' A1 J6 n
7. 設置密碼成功，工具回到“重置DSRM管理員密碼：”提示符。
2 K5 ?' k/ Q1 z; Q. Z
8. 輸入“quit”返回到ntdsutil命令提示符。
9. 如果不需要執行其他ntdsutil操作，再次輸入“quit”退出ntdsutil工具。

轉自：http://blog.sina.com.cn/jingmikongjian