如何用Ntdsutil工具简化活动目录管理?

日期: 2011-03-09 作者:Gary Olsen翻译:周毅 来源:TechTarget中国 英文

我们已经了解了Windows Server 2008 和R2中的Ntdsutil工具及自windows 2000以来该工具的变化,对Windows 2008中Ntdsutil命令的功能也有了一定了解,下面我们将继续来看在Sever 2008中还有那些强大的功能值得我们一用。   Ntdsutil:文件   Files命令要求停止活动目录域服务器。 以下几个命令较为常用: Checksum –检查引擎数据库的物理完整性。当数据库报错,尤其是在事件日志中,你可以使用该命令,也可以使用主菜单上的语义数据检测器。

Integrity –该命令非常类似于Checksum,但是运行不……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

我们已经了解了Windows Server 2008 和R2中的Ntdsutil工具及自windows 2000以来该工具的变化,对Windows 2008中Ntdsutil命令的功能也有了一定了解,下面我们将继续来看在Sever 2008中还有那些强大的功能值得我们一用。

  Ntdsutil:文件

  Files命令要求停止活动目录域服务器。 以下几个命令较为常用:

  • Checksum --检查引擎数据库的物理完整性。当数据库报错,尤其是在事件日志中,你可以使用该命令,也可以使用主菜单上的语义数据检测器。
  • Integrity --该命令非常类似于Checksum,但是运行不同的检查。
  • Set default folder security --该命令用于重设NTDS文件夹上的安全设置。这个命令不常用,除非你不小心误操作了NTDS文件夹,不得不重新恢复。
  • Move logs to %S and Move DB to %S --该命令用于移动数据库和日志文件。

  虽然我们不会每天都用到这些命令,但是如过你看到在事件日志中出现了数据库错误时,Integrity 和Checksum命令就能马上派上用场。你也可以使用语义数据库检测去检测数据库的一致性。

  Ntdsutil:语义数据库分析

  这是个功能强大的命令,而且非常容易使用。 在任何时候,只要在事件日志中看到数据库错误,我都会使用它。老实说,这个是我唯一使用的命令。

Semantic Checker: Go Fixup

  此命令可以快速地进行完整性检查,根据我的经验,该命令每次都可以成功修复数据库。当然,不能保证它能修复所有数据库问题,但是它肯定不会带来任何新问题。此命令可以和上面提及的Ntdsutil:Files中的数据库修复命令一起使用。

  Ntdsutil:组成员评估

  这个选项为用户或组在安全令牌中存储安全标识符(SID)。虽然有一些老的资源工具包中的工具也能执行该操作,但是能把该工具整合到Ntdsutil确实非常棒。使用该命令前,需要先使用Set Global Catalog 或 Set Resource DC 命令去定义GC/DC。

Run Corp.com olseng

该命令会是一个五个步骤的操作过程,结果保存到C: olseng-20110217024622.tsv(包括所有安全信息的文本文件)。

  Ntdsutil:角色

  这是查看、夺取并转移灵活单主机操作(Flexible Single Master Operations ,FSMO)角色的最快办法。在使用该命令时,有几点要注意:

  • 在FSMO维护(Role)菜单中,进入Connection菜单连接到域控制器,该域控制器是你想转移角色的目的地。这非常重要。
    Connections: Connect to server Wtec-dc1
  • 退回到FSMO维护菜单(如图7所示)

Ntdsutil,工具,活动目录,管理

Figure 7:FSMO维护菜单

  • 图7显示命令选项和详细的解释。
  • 想使用Ntdsutil命令查看所有角色,进入选择操作目标菜单,然后输入所选服务器的角色列表(如图7)。虽然输出不好看,但是涵盖了所有你想要的内容。使用Netdom命令可以获取更详细的信息。
     Netdom Query Fsmo
  • 你可以使用如下命令,夺取PDC角色
    Fsmo Maintenance: Seize PDC

  请注意,任何夺取操作都会先自动尝试转换。Ntdsutil的优点就是可以一次性管理所有FSMO角色。

  Ntdsutil:IFM

  从介质安装是Windows 2008上的新功能,能通过域控制器提升操作(dcpromo) 安装向导使用高级安装选项建立一个新的域控制器,比windows 2003要快得多。在执行这个选项前,会要求对DC做一次备份,此后恢复文件会复制到服务器的本地介质中。域控制器提升操作(dcpromo) /ADV发出指令称要对首次升级使用静态恢复文件而不是通过网络。图8显示IFM菜单选项和一个创建完整实例的例子。包括如下操作:

  • 创建完整的SYSVOL活动目录实例和非SYSVOL完整实例
  • 创建SYSVOL和非SYSVOL只读域控制器 (RODC)实例

Ntdsutil,工具,活动目录,管理
图 8: Ntdsutil IFM快照

  IFM创建一个快照,首先会进行数据库碎片整理,然后保存快照到你指定的硬盘文件夹中。
Create sysvol full c:adbackup

  在C:adbackup中将会有三个目录,分别是:Active Directory、Registry和SYSVOL,这里面的所有文件都会在执行dcpromo操作时用到。

  使用IFM命令,能很容易地从现有域控制器上获得安装所需的活动目录资源,就好像是向待提升的服务器,进行一个简单的复制操作。IFM使得升级服务器来作为域控制器变得异常简单。一旦域控制器提升操作(dcpromo)结束,复制将立即进行以保证及时更新。请注意,一个只读域控制器(read-only domain controller, RODC)实例会在读/写域控制器中创建,但是只有只读域控制器实例自己能创建一个只读域控制器实例。

  正如你所看见的,Ntdsutil非常强大。因篇幅所限,还有很多有用的命令选项不能一一介绍。请记住对于安全、账户管理、分区管理、LDAP策略和其它AD LDS分区选项,Ntdsutil都是一个非常方便的命令,当然,有时候也很危险。通常,Ntdsutil会提供警示信息来让你自我保护。 记住一点,无论做什么,在点击回车时,一定要清楚知道自己正在做什么。

作者

Gary Olsen
Gary Olsen

相关推荐