Ntdsutil.exe使用详解

2008-07-29 09:06:24

   转自：http://bbs.51cto.com/thread-6731-1-1.html

51CTO技术论坛ty;N^/o~Rt7R@ Y
在实际操作和试验中收集了各种ntdsutil的使用技巧,特总结一下,给大家看看!

1．  用ntdsutil来清除无效的DC信息！

假如你的备份域为abc.mstc.com 主域为ctu.mstc.com,现在备份域坏了。那么你在装有super tools的主控域上执行如下命令：51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离W[^ };fXS

C:\>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服务器的对象

metadata cleanup: select operation target - 选择的站点，服务器，域，角色和命名上下文51CTO技术论坛7O1LRmN&x0_
R

j3Ra[:r]+S#P
select operation target: connections - 连接到一个特定域控制器(G.sOzB.c

server connections: connect to server ctu.mstc.com  --绑定到 ctu.
6?0fD"b@MW
用本登录的用户的凭证连接 ctu。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离x&r$^\
l4K

server connections: quit - 返回上一层目录bbs.51cto.com X(Fi N.Rw

select operation target: list site - 在企业中列出站点(找到1个站点，标识为0)

找到 1 站点

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com5D|0K/c1Ay
bbs.51cto.comblHZ9aF
select operation target: select site 0 - 将标识为 0 的站点定为所选站点

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com

没有当前域
51CTO技术论坛-@/|lBc
zu
没有当前服务器
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离|%Q:E ]-v+{
Pc
当前的命名上下文Os ^-r
SP^6z3[
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离j,A~g'D Q3r
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离8vJ@4Cy
51CTO技术论坛4K)o"B%e
v'{

select operation target: list domains - 列出所有包含交叉引用的域51CTO技术论坛6p-]y
id8p.l!{.RHjm
bbs.51cto.com,]
Pts,qZ9tr%K
找到 1 域2n-i/])W0uOJkt
bbs.51cto.comk,^q&bt:?j�N#VP
0 - DC= mstc,DC=com
bbs.51cto.com5T;n-E0NS[VrZ
select operation target: select domain 0 - 将标识为 0 的域定为所选域
51CTO技术论坛bH1}X
^6?#}"h-}
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离0LM{TMSV
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离@gGx9TT9^"Ue
域 - DC= mstc,DC=com,K-mvF[a
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;{ZC8~Q0[3Td
没有当前服务器51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离vt9]7c:Mr(y
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离*]6v_1Q"CuO3a;sU9h
当前的命名上下文bbs.51cto.comxQ&V:K6v#vB3Snw

bbs.51cto.com'C0iM$_gs3J f\

select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个：0-abc.mstc.com；1-ctu. mstc.com).r @i^8V}

找到 2 服务器

0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com51CTO技术论坛1CIl{]gZa

select operation target: select server 0 - 将标识为 0 的服务器（abc）定为所选服务器——也就是要删除的DCbbs.51cto.comP#Go)I9\ E Jz
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离\2Ce_D
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"\v#X Rdh
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离7`._*PT}b'y0oj2O
域 - DC= mstc,DC=com

服务器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

.x5H4CKc
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!w-`]2^&Y0E

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;C%h$`;M%D4l
DSA 对象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主机名称 - abc.mstc.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离[/s sP3G

计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=combbs.51cto.comld4UCT"Hq5N2mv%W

当前的命名上下文Ul'@Z;G
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
Bo2\t.OC9x
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2LR#O`C

bbs.51cto.comFH2sd#K
l
select operation target: quit - 返回上一层目录5d&n1~*C`D~4M
|"Ha

51CTO技术论坛xe4Z7n1p1G|
bbs.51cto.com-R%`!G%{XD0^E
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 N2V0{
P l_3n9B
metadata cleanup: remove select server - 从所选服务器上删除 DS 对象}4mZu
Y6Dh

在弹出的对话提示框上选择“是”，51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离'\Qzzk$t`
E)rY
6h)K8[[#c-q,` x
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了，从服务器“ctu”

现在，abc.mstc.com这个Dc对象就在你的AD里消失了.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离,x"F`/zq
0Aa0_V4q/~(\s"l
bbs.51cto.comYYj3\'LM"G
z xB
~KQ&S
51CTO技术论坛%No7@4Aw-e

2．用ntdsutil来转移fsmo五种角色。51CTO技术论坛V;p#j
H
p-le

当您运行 Dcpromo.exe 程序并安装 AD 时，将向目录林中的第一个域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的，另外三个是域范围的。如果创建了子域，两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO；其中两个是目录林范围的角色，每个域各有三个特定于域的 FSMO 角色。这五个角色是schema master-架构主机，Domain naming master-域命名主机，Rid master-rid主机，pdc master-pdc防真器，Infrastructure Master-结构主机。想要把这几种角色移动到另一台计算机上有2种方法，一种是转移，但必须2台计算机处于正常运行状态。如果有其中某台处于离线状态只能用第二种方法，使用ntdsutil工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上，请在装有support tools工具新的域控或备份域控上执行如下命令：首先在CMD下运行7M;v`.aT4@K
netdom query /d:域名 fsmo
查看一下当前哪些角色在哪台服务器上，
然后在CMD下运行　
"ntdsutil"如果不知道命令怎么写，可以输入？得到帮助提示，51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6@3B1V yB2W
"roles"　51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离|!c8T)B/t
S;lMC"i
"connections"　
"connect to server 服务器名"　绑定一台当前在线的DC
当连接成功后输入 q　退出51CTO技术论坛XN3y
|,h5O+bd-A
回到上一层（roles）准备做角色迁移
"Seize schema master"bbs.51cto.com?
Y9ds~nh/T
"Seize domain naming master"51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离z$Jt
le/z?e,?
"Seize RID master"51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离$E"aU^ ^F%a?
"Seize PDC"
"Seize infrastructure master"4V
J&Ef[:d
以上五个命令，分别用作迁移上面所提到的5个角色到我们之前绑定的服务器上。
完成后再次回到CMD下执行"netdom query /d:域名 fsmo"，检查角色是否已被迁移

51CTO技术论坛W
yQ/F,W
在“常规”选项卡上，找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。

bbs.51cto.comXS i+X
t"N{0d

bbs.51cto.coms ?4r(w8t ?

3．微软提供了NTDSUtil这个工具可以对AD数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一个很关键的操作,一旦出错将是灾难性的.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离(h/Crs7IK4C*]

r6M;X�MAp(D

$_(m3tcej
;[djM}B;pb8?)S

1. 用必要的备份软件备份你即将要操作的每一架DC,如果没有专业的备份软件用NTBackup也可以.
7b%]^&jU
Q\FI0^|'Pl
2. 重启DC按F8键进入目录服务恢复模式以进行对AD的操作.
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离�zJ-jr `

3. 如果硬盘还有足够的空间那么请再次备份当前的ntds.dit文件,把它拷贝到一个临时文件夹内作为备份直到所有的整理工作成功完成.记住,不要重新命名文件,否则整个压缩过程不可能完成.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离k5M
K_ir$H
bbs.51cto.com^C$z~ ^U:tt�_
B

4. 在命令行下键入以下的命令:

a) Ntdsutil
bbs.51cto.com9O,e+m3q8F+p
51CTO技术论坛"g6S4r9RA!cM5}6n#F
b) Files
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+}k v-r�x$q\-r:Q
)tN K'BdFZe(I
c) Info (记下当前ntds.dit的路径.)51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离{y^.R1n [8h"BN

d) 键入 compact to "c:\compact" 以把经过压缩处理的ntds.dit文件放置到这个文件夹中保存, 如果这个文件不存在,Ntdsutil 会自动建立一个(这个文件夹可以是任意名字).bbs.51cto.com&U(Elt9D+J
8V C6V-gJy
8_Ey,BH0zE0J#`
5. 如果要退出Ntdsutil的界面,请连续两次键入下面的命令:
2{$H%u
Y$\nt'W]
]Z
51CTO技术论坛MF$V8US3D%e
a) quit

b) quit\5LA]}Cv#qB:m\&R

xEp\)Lf4Y|1U]nyr
6. 用在c:\compact文件夹下已经经过压缩后的ntds.dit覆盖当前的ntds.dit.

51CTO技术论坛-fW3bk
jk!|Zc
7. 删除在AD数据库文件文件夹下的所有.log文件.
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离MScy8q)S.kO5~
.mKolCB*cx
8. 重新正常启动DC.

9. 再次备份整理后的DC,如果一切正常,你就可以把刚才复制备份的ntds.dit删除了.

bbs.51cto.com:_K(Wo!Y2U(Q

bbs.51cto.com0{S
Jld�n,p

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离]H(I'|j8fH6`
4_&lczK
G:e

4. 查找和清理（或删除）重复的安全标识符 (SID)
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!HO.U5k7D
EX
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1f/X/tx!D]"V,M
如何检查是否有重复的 SID

1. 在 Ntdsutil 命令提示符下，键入 security account management，然后按 ENTER 键。
o7WY!d0v4@,}

2. 在 Security Account Maintenance 命令提示符下，键入 connect to server 服务器的 DNS 名称，然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 bbs.51cto.com$I`6nHwi a
y{
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5k8x@4P/]$M
bbs.51cto.comNQ-l,v2Y@0h
3. 在 Security Account Maintenance 命令提示符下，键入 check duplicate sid，然后按 ENTER 键。将显示重复的 SID。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"z"F'z?)J'JRU
51CTO技术论坛V}zI:wW
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离AO+y1S;a7j(d
如何清理重复的 SIDbbs.51cto.com/@wRnS(} {?l

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离O5}#]_'`�\%Le
1. 在 Ntdsutil 命令提示符下，键入 security account management，然后按 ENTER 键。 3El
SmJG$~W#y
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离~9vm]v\

2. 在 Security Account Maintenance 命令提示符下，键入 connect to server 服务器的 DNS 名称，然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 %m5?.qo
K-I
FZ A.Z5`7Gvl
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离LI+T(My5M?
3. 在 Security Account Maintenance 命令提示符下，键入 cleanup duplicate sid，然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离%}x9f6T8uE1U#oVZ
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离.j
W~?8gDm-C3G
4. 在 Security Account Maintenance 命令提示符下，键入 q，然后按 ENTER 键。 ]+BalIw!p)@P

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离-ZH;qVwc0Hz
5. 完成 Ntdsutil 下的操作后，键入 q，然后按 ENTER 键。

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离`:z0^W3{_"w~
BH`}\7}.V2DB
?VN$we'pr0VKL?

^r%L�Y:r

R*D0@+~Q-X
5. 使用 Ntdsutil 实用工具将 IP 地址添加到 IP 拒绝列表.#r;g#D^2T[RD&\
\.~9IS!^'h9U
4GTa8~w7w
如何向拒绝列表添加 IP 地址e;uK:Wb0s@1|w

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+S1I@']
\?h
1. 在 Ntdsutil 命令提示符下，键入 IPDeny List，然后按 ENTER 键。 /ws&_sK(_;d+?$T[

;vPE_^
2. 在 IP Deny List 命令提示符下，键入 connections，然后按 ENTER 键。
@kz$f/M-u S'_i
bbs.51cto.comS;dO3wy)fM~M T&R
3. 在 server connections 命令提示符下，键入 connect to server 服务器的 dns 名称，然后按 ENTER 键。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离/c;d-@p,zTq/D.r4s
&f$W
Lk�F'Q�`/l

备注：请连接到您正在使用的服务器。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离ka#xZ3g!t4B
^,Y-e}BI:{J

4. 在 Server connections 命令提示符下，键入 q，然后按 ENTER 键返回到先前的菜单。

51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离l'{bF�?,OC
5. 在 IP Deny List 命令提示符下，键入 add IP 地址掩码，然后按 ENTER 键。 ]q}5W+yK
l#Sgj[ \+DFeA/e

如果您正在单节点环境中工作，可将“node”用作掩码变量。 "{vV8Ak]
bbs.51cto.com2H
v/N%vGO;T"q
"FI;|]8^AH!E
6. 在 IP Deny List 命令提示符下，键入 commit，然后按 ENTER 键提交所作的更改。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离x^g|S o]3ij

如何验证添加的项bbs.51cto.com`*AO E:QV5_

1. 在 IP Deny List 命令提示符下，键入 Show，然后按 ENTER 键。 @6g0\/|I
bbs.51cto.com%u9^)E.@B,w:P6A

将显示所有被拒绝的 IP 地址的列表。 "f+cQ(^`b

2. 在 IP Deny List 命令提示符下，键入 q，然后按 ENTER 键。 @2To'u VxV*EA3h

Qd'~%_{
t,pd/Z)m
3. 在 Ntdsutil 命令提示符下，键入 q，然后按 ENTER 键退出 Ntdsutil。51CTO技术论坛2X7E[ TJj:Ca
bbs.51cto.comwXh5Vx5@s8mSX"c
^hA.{;^2e}7Kuq
51CTO技术论坛-sP Y|-F`5~{

6. 重设DSRM密码

1. “开始” - “运行” - “CMD”
;C|'zL3K`,t@7mMld
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离/E3zoF |/Zh[
2. ntdsutil51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5H
\mR:P'G#o

3. 在“ntdsutil:”提示符下输入“set DSRM Password”51CTO技术论坛4Sp[2I!S"? ~Ze

D T-H)F6]$Bm&L[
4. 在“重置DSRM管理员密码：”提示符下输入“Reset Password on server <servername>”，其中<servername>是想修改DSRM管理员密码的服务器名。

5. 在“请键入DS还原模式管理员账户的密码：”提示符下输入新的密码。bbs.51cto.com9O"J4MF%H/O5n

6. 确认新的密码。

7. 设置密码成功，工具回到“重置DSRM管理员密码：”提示符。

8. 输入“quit”返回到ntdsutil命令提示符。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离iF;v8\!c,iY@
Y-_(u0yL
51CTO技术论坛_XK_6[+b4[*X
]t
9. 如果不需要执行其他ntdsutil操作，再次输入“quit”退出ntdsutil工具。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离Xh(YRIl

上一篇神啦！我的UPS这次真的行了？　　下一篇 cisco6509 2811 配置备份

类别：Linux/Windows ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

文章评论

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：

专注,技术成就梦想!----sunwayle.blog.51cto.com

Ntdsutil.exe使用详解