有传言说微软正计划去掉Ntdsutil.exe，该工具从Windows 2000开始就提供到各种活动目录功能的命令行访问。Ntdsutil已经成为我调试活动目录问题的常用工具，但是我却发现，尽管在Windows Server 2008和R2中Ntdsutil增加了许多功能来提高易用性，仍然只有很少一部分管理员使用它。

　　Ntdsutil功能很强大，但也很危险。问题就在于某些Ntdsutil命令要求活动目录处于脱机状态。在Windows 2000和2003中，通过重启域控制器和开启目录服务还原模式（Directory Services Restore Mode，DSRM）完成活动目录的脱机。这是唯一一种完成语义数据库检查（semantic database checker）等操作的方法。

　　然而，重启DC（两次）并不是我们希望的，但是在维护窗口时经常会要求有这样的操作。重启并进入DSRM（通常要求安全模式）会导致所有的服务都脱机，虽然我们不推荐这么做，但这种做法却相当普遍。

　　幸运的是，Windows Server 2008中引入了一个很不错的新选项，可以将活动目录服务安装为可以脱机使用的服务（见图1）。当活动目录域名服务（Active Directory Domain Services，AD DS）关闭后，Ntdsutil就可以在不重启的情况下进行语义数据库分析。

图1：活动目录域名服务

　　Ntdsutil命令介绍

　　那么让我们来看看Windows Server 2008和R2版的Ntdsutil，学习一些强大的操作，说不定某天就能让你少打一个技术支持电话：

• 元数据清理：允许删除服务器、站点、域以及命名上下文对象（当你必须手动降级DC或有一些损坏对象时这特别有用。）
• 文件*：管理活动目录数据库文件（这个不常用，但是还是有一些很有用的命令）
• 组成员评估：显示主要的安全信息
• 角色：管理FSMO角色
• IFM（从介质安装）*：捕获活动目录的快照，然后在dcpromo的介质安装过程中使用
• 语义数据库分析*：查找并修复数据库错误
• 快照：管理快照，包括列举、安装和卸载快照
• 授权还原：将域控制器还原到某个特定时间点

　　*这些操作要求在活动目录域名服务停止的情况下进行。

　　注：虽然在过去，活动目录轻型目录服务（ Active Directory Lightweight Directory Services，AD LDS）使用dsdbutil和dsmgmt这两个工具来管理AD LDS实例，但微软实际上已将这些工具整合到Ntdsutil中了。我不会在这里讨论AD LDS的详细功能，但我们必须意识到现在所有的管理功能都在AD LDS中了，这点很重要。

　　有几个技巧可以帮助管理员迅速熟悉Ntdsutil工具。初学者应知道，命令可以用缩写，这意味着你只要输入足够的字母就可以唯一定义Ntdsutil命令。例如，要使用元数据清除命令，你只需键入“meta cl”。另外，管理员还可以使用方向键调出曾用的命令。

　　Ntdsutil还包括了一个退出选项，在任何菜单级别选择该选项，都会进入上一级菜单。^C则表示退出整个Ntdsutil。连接选项会在很多Ntdsutil命令中出现，如元数据清除，如图2所示。它定义了一个到某一特定域控制器的链接。当这个命令出现时，你只需进入连接菜单然后输入：

 Connections: Con To Ser <域控制器名，如ATL-DC1>

　　操作会在该域控制器复制的活动目录生效。你可以使用已登录用户的密码，或者另外指定一个。

图2：Ntdsutil元数据清除命令

　　Ntdsutil也有一个在线帮助组件，如图3所示。多年来我曾多次使用这个工具，我还总是在任一菜单级别中键入？来快速显示可用的选项。

　　对于在线帮助，有几个变化需要注意。例如，授权还原操作现在需要一个实例的定义。这与Ntdsutil管理AD LDS分区的方式有关。如果你得到错误提示，要求你指定一个实例，那么你可以使用如下的命令：

 Ntdsutil：Activate Partition ntds（或选择合适的AD LDS实例进行管理）。

图3：Ntdsutil帮助组件