ntdsutil.exe使用详解

1.  用ntdsutil来清除无效的DC信息!

假如你的备份域为abc.mstc.com 主域为ctu.mstc.com,现在备份域坏了。那么你在装有super tools的主控域上执行如下命令:
' ^/ _# r3 \3 ], V) g1 l3 ^
C:\>ntdsutil9 T0 h: u. F( W! O- s/ q( J. T
ntdsutil: metadata cleanup - 清理不使用的服务器的对象1 I: ~8 D5 k9 G6 r$ l  e& Z* _
metadata cleanup: select operation target - 选择的站点,服务器,域,角色和命名上下文
7 \0 f& y9 q+ ]6 G+ \
select operation target: connections - 连接到一个特定域控制器
$ }/ f9 Y) d# P
server connections: connect to server ctu.mstc.com  --绑定到 ctu.
用本登录的用户的凭证连接 ctu。
server connections: quit - 返回上一层目录
select operation target: list site - 在企业中列出站点(找到1个站点,标识为0)& w/ j4 q0 |, ]: a
找到 1 站点" p' }4 I! X# Q  g# Z# \1 Z: M
  J0 j/ h4 y7 g" R
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
( T4 B( g+ W2 F2 N1 r# I
select operation target: select site 0 - 将标识为 0 的站点定为所选站点; L0 L# W! I- a) P$ u$ L0 T9 O$ R2 _
0 p9 T. t+ |" \
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
9 Q/ k( ]. N! V2 I* X; X
没有当前域
  C* q' M. k9 `; h
没有当前服务器
3 V4 u" r% ?4 p* Z4 k. P: j
当前的命名上下文+ w- p  c% x+ N3 j
& i* Y- }5 w, ?! M1 y& {
0 D7 b) T% i; ~7 n2 l1 d
select operation target: list domains - 列出所有包含交叉引用的域
找到 1 域
0 - DC= mstc,DC=com
select operation target: select domain 0 - 将标识为 0 的域定为所选域
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com- B6 O) G) Y5 ?* h! e
! c# _7 B3 A! k& {& X3 A. ~  A
域 - DC= mstc,DC=com
' [; q. g) G7 `, m: m; I8 e" r
没有当前服务器+ O8 u0 Y2 V! C
$ z+ r) x9 W8 u. b: [
当前的命名上下文" C5 d3 Q1 ^9 C6 K+ X9 Z  x
% ]' g8 ~) l& A8 g+ |
% l3 s: p( j% Y' }; Z
select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个:0-abc.mstc.com;1-ctu. mstc.com)
" m8 j" g# n5 A/ b
找到 2 服务器
/ i: ~; K9 S) G7 q
0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
! X$ j$ s$ P! V# ~# Q3 x: h
1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
1 r5 l8 _+ K$ {/ H- r1 Q; y& L
select operation target: select server 0 - 将标识为 0 的服务器(abc)定为所选服务器——也就是要删除的DC7 \% D) T  h# H. S8 L
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com# Y. _0 X+ n; C8 i
7 H/ K8 k' a7 j+ l, P
域 - DC= mstc,DC=com0 _: V( H1 _6 j" ~$ `3 q; U
. `5 V& a  S. a' m1 ~
服务器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
' e) I) k9 i7 [- G! [" Q
DSA 对象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
DNS 主机名称 - abc.mstc.com
, B3 ]) M! _& q2 {/ i2 w: S
计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com
当前的命名上下文( v5 m! Q+ ^5 c9 O5 m3 Q
2 p3 O6 e% A* P$ w' I8 T
9 F& m7 Q: d5 y" T; q( P, J) r0 O
4 h, i0 C/ e! `* k2 }
select operation target: quit - 返回上一层目录% _$ X  r5 q$ e- M3 M! j% z2 t4 Z
' l$ p: o: k; h
- J! C7 X" Q6 f1 c  O! W1 }
0 q& v2 x+ P% c) U  F
metadata cleanup: remove select server - 从所选服务器上删除 DS 对象6 k- _: W: R" v' H( g
在弹出的对话提示框上选择“是”,
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了,从服务器“ctu”9 Q9 Y+ X* ]( p% `( {4 q
现在,abc.mstc.com这个Dc对象就在你的AD里消失了.
  p- M1 t+ D$ I' n
% F& W5 `+ K/ f+ m/ ^. X

/ y* L) ^9 m0 B6 D/ r
2.用ntdsutil来转移fsmo五种角色。
" J; C8 p, [/ P& H7 @
当您运行Dcpromo.exe 程序并安装 AD 时,将向目录林中的第一个域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每个域各有三个特定于域的 FSMO 角色。这五个角色是schema master-架构主机,Domain naming master-域命名主机,Rid master-rid主机,pdc master-pdc防真器,Infrastructure Master-结构主机。想要把这几种角色移动到另一台计算机上有2种方法,一种是转移,但必须2台计算机处于正常运行状态。如果有其中某台处于离线状态只能用第二种方法,使用ntdsutil工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上,请在装有support tools工具新的域控或备份域控上执行如下命令:首先在CMD下运行5 H7 u  \4 x! i# N/ x+ X' q! o/ m- h
netdom query /d:域名 fsmo
查看一下当前哪些角色在哪台服务器上,
然后在CMD下运行   s) X0 d3 W% ~* `! U
"ntdsutil"如果不知道命令怎么写,可以输入?得到帮助提示,
"roles" 
"connections"   E: h: A. w% {# ?5 L- d( a
"connect to server 服务器名" 绑定一台当前在线的DC
当连接成功后输入 q 退出
回到上一层(roles)准备做角色迁移
"Seize schema master"8 k4 |8 }6 h9 C+ `( t
"Seize domain naming master"
"Seize RID master"
"Seize PDC"
"Seize infrastructure master"# f9 P  L5 U- u# Y; n
以上五个命令,分别用作迁移上面所提到的5个角色到我们之前绑定的服务器上。. U4 a9 w/ G+ I4 Q: P! G; p
完成后再次回到CMD下执行"netdom query /d:域名 fsmo",检查角色是否已被迁移1 l9 M1 j" g$ q0 h
在“常规”选项卡上,找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。* G* t( P1 r0 r. Q/ l- \
! s; N% ~! g% q* z, q
0 D6 c& H7 B( F
4 r  X$ m+ J% t$ L
3 ^. [2 K  l, k& c) P

' d1 I9 Y% ^* u- ?# ]/ x7 e2 o4 D
3.微软提供了NTDSUtil这个工具可以对AD数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一个很关键的操作,一旦出错将是灾难性的.4 x" _1 E; U1 a" B
5 l- d" m6 w; b/ f* R( U5 K
& ^. C, D) g# ~$ z4 X
. u/ ?+ T6 D! L& Q
1. 用必要的备份软件备份你即将要操作的每一架DC,如果没有专业的备份软件用NTBackup也可以.
2. 重启DC按F8键进入目录服务恢复模式以进行对AD的操作.7 Z) V" g9 c# q1 b, m$ f* x
( ^2 c' E4 D. G1 {4 b! l' R% N
4 J  x" k# M. }; f3 p7 y) X
3. 如果硬盘还有足够的空间那么请再次备份当前的ntds.dit文件,把它拷贝到一个临时文件夹内作为备份直到所有的整理工作成功完成.记住,不要重新命名文件,否则整个压缩过程不可能完成.4 O# z# t& u6 S) n+ I( L
6 L" b- |1 Y# i7 c* ]0 ^
4. 在命令行下键入以下的命令:: E& T  j  h3 y/ z/ j+ w& |
% j# x$ M! x0 i3 N
a) Ntdsutil
& r% }, q  {" J0 z9 Y
b) Files
' C3 F! V; m: {" N4 U* |4 Y7 c1 f  K
c) Info (记下当前ntds.dit的路径.)
7 {# d0 E- P9 Z- ?
$ c, P( g# I$ u# a1 z
d) 键入 compact to "c:\compact" 以把经过压缩处理的ntds.dit文件放置到这个文件夹中保存, 如果这个文件不存在,Ntdsutil 会自动建立一个(这个文件夹可以是任意名字).
5 E/ Y+ e1 P6 j7 Y- R
5. 如果要退出Ntdsutil的界面,请连续两次键入下面的命令: 
- L+ q; I3 R" X; z2 m, I: `. o9 p
a) quit
) k& y: K# t7 m8 i$ o! k; p
3 K7 ^9 ?! O3 U1 P! J
b) quit
' ?, L$ D2 E/ O3 m0 o" F
' q2 H, i% R8 \& c: i
6. 用在c:\compact文件夹下已经经过压缩后的ntds.dit覆盖当前的ntds.dit.
( N1 H! e7 h1 S( D$ |6 Z6 L7 h
7. 删除在AD数据库文件文件夹下的所有.log文件.
8. 重新正常启动DC./ p( Y$ ^7 L( }& u3 L$ U+ G7 T
9. 再次备份整理后的DC,如果一切正常,你就可以把刚才复制备份的ntds.dit删除了.
8 C* z* v7 g6 H. S8 P0 N

% ~  g. a7 K0 A6 |4 a
- V- \/ y8 S( v
9 n1 m; A) P5 `# H6 g* m) l# o" B
  j  j  z+ \: {& G, e, 
1 \5 t$ s) m1 a
4. 查找和清理(或删除)重复的安全标识符 (SID)  D: ~! O) m; h2 {( K- t1 y% B
! j% d0 I) @& i

如何检查是否有重复的 SID3 y4 E- {: D; J( W) ?
9 y" ~$ n& w; j+ r6 s/ I! ?
0 _2 h0 [* ]  J- n+ O/ |& C" {3 }! W  I
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。 
3 |1 ^9 b/ M/ ]: n: W: l- Y4 h5 @
- }7 b4 {: ~0 J6 a
2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 
  S: H1 _- F6 ]. b- c
* n5 e  F: H- W$ N
3. 在 Security Account Maintenance 命令提示符下,键入 check duplicate sid,然后按 ENTER 键。将显示重复的 SID。

如何清理重复的 SID
* S% x+ W* t8 ]5 K3 a- }
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。 8 x( c/ O; n( F8 ~. a9 ?) U6 H! c
" F! N7 c2 t- n, y% I- k6 u
2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 8 j! d- I& Q0 u/ K
3. 在 Security Account Maintenance 命令提示符下,键入 cleanup duplicate sid,然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。 & P8 H0 N3 y! }9 K2 d$ q, k. W' I
4. 在 Security Account Maintenance 命令提示符下,键入 q,然后按 ENTER 键。 
7 p; Y& {6 o* ^% M; W
5 ?7 {2 J2 @9 ^4 S* M
5. 完成 Ntdsutil 下的操作后,键入 q,然后按 ENTER 键。9 D& v# p; H1 c( K
1 J/ ?! O& |, }* D

7 L* e( r% y" l! x0 Q, ?6 I* ?
# f& @2 P; t  {1 d. 
- F3 s7 h( A7 F: {5 }
! l9 f! F$ S. s- t- {
& z- l0 W0 w* m3 V4 o
5. 使用 Ntdsutil 实用工具将 IP 地址添加到 IP 拒绝列表.
3 \# g$ }9 g9 e( k2 }$ 如何向拒绝列表添加 IP 地址
1. 在 Ntdsutil 命令提示符下,键入 IPDeny List,然后按 ENTER 键。 ' n: R9 B5 }) a8 j0 v( _# S  x
4 |8 Z* D, x5 G, E# F$ x6 ?0 Y+ G! s
2. 在 IP Deny List 命令提示符下,键入 connections,然后按 ENTER 键。 
3. 在 server connections 命令提示符下,键入 connect to server 服务器的 dns 名称,然后按 ENTER 键。3 B3 X" R* ]0 u! x) ~% I( b
1 g2 W6 e  }# |& Z! S
备注:请连接到您正在使用的服务器。 
4. 在 Server connections 命令提示符下,键入 q,然后按 ENTER 键返回到先前的菜单。 : P# o2 n9 h' v+ ?/ F" D: _: ^& F
. D/ B/ R, _$ c- @9 q
5. 在 IP Deny List 命令提示符下,键入 add IP 地址掩码,然后按 ENTER 键。 
$ r7 Z& j; N( X. R& M0 ~
如果您正在单节点环境中工作,可将“node”用作掩码变量。 
6. 在 IP Deny List 命令提示符下,键入 commit,然后按 ENTER 键提交所作的更改。 
  j5 t- O: E3 I" s" n% @
, S2 e% M* j4 b1 A' [6 U/ ~# t# B
如何验证添加的项1 g1 w- R& `6 _! a; `5 g
$ n8 P; l( r. w2 J+ h& o9 O
: U! A5 a/ s4 {9 Z1 b
1. 在 IP Deny List 命令提示符下,键入 Show,然后按 ENTER 键。 
( Q  M5 Z+ P9 q5 M7 v+ v
; m% c# X. O& j; U4 D0 C6 Y
将显示所有被拒绝的 IP 地址的列表。 - s- C# v/ @# R, g6 R
0 a) S' Z$ U3 a
2. 在 IP Deny List 命令提示符下,键入 q,然后按 ENTER 键。 
; b- S( h2 S3 _
3. 在 Ntdsutil 命令提示符下,键入 q,然后按 ENTER 键退出 Ntdsutil。
$ @6 H( P2 _  T/ o

& N8 Q; e5 g+ o6. 重设DSRM密码
1. “开始” - “运行” - “CMD”* j  r+ @1 F3 `6 E% m- z7 m
2. ntdsutil
2 J; |, C/ d5 h* h
9 W, p& e  ~( V
3. 在“ntdsutil:”提示符下输入“set DSRM Password”! Q# I$ t8 v1 N$ N* A. Q% i; s" @
1 {, b1 s3 e6 L/ B' k6 w) |0 N) D
4. 在“重置DSRM管理员密码:”提示符下输入“Reset Password on server <servername>”,其中<servername>是想修改DSRM管理员密码的服务器名。
* I$ `, H2 I* A- g' _2 V
5. 在“请键入DS还原模式管理员账户的密码:”提示符下输入新的密码。
4 b: U( x( m. A/ [$ ?
6. 确认新的密码。
" j, b. i; F  q9 H1 i8 u' A1 J6 n
7. 设置密码成功,工具回到“重置DSRM管理员密码:”提示符。
2 K5 ?' k/ Q1 z; Q. Z
8. 输入“quit”返回到ntdsutil命令提示符。
9. 如果不需要执行其他ntdsutil操作,再次输入“quit”退出ntdsutil工具。


转自:http://blog.sina.com.cn/jingmikongjian