快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

新永乐国际乐在其中:Ntdsutil对活动目录的管理



有传言说微软正计划去掉落Ntdsutil.exe,该对象从Windows 2000开始就供给到各类活动目录功能的敕令行造访。Ntdsutil已经成为我调试活动目录问题的常用对象,然则我却发明,只管在Windows Server 2008和R2中Ntdsutil增添了许多功能来前进易用性,仍旧只有很少一部分治理员应用它。

Ntdsutil功能很强大年夜,但也很危险。问题就在于某些Ntdsutil敕令要求活动目录处于脱机状态。在Windows 2000和2003中,经由过程重启域节制器和开启目录办事还原模式(Directory Services Restore Mode,DSRM)完成活动目录的脱机。这是独逐一种完针言义数据库反省(semantic database checker)等操作的措施。

然而,重启DC(两次)并不是我们盼望的,然则在掩护窗口时常常会要求有这样的操作。重启并进入DSRM(平日要求安然模式)会导致所有的办事都脱机,虽然我们不保举这么做,但这种做法却相称普遍。

幸运的是,Windows Server 2008中引入了一个很不错的新选项,可以将活动目录办事安装为可以脱机应用的办事(见图1)。当活动目录域名办事(Active Directory Domain Services,AD DS)关闭后,Ntdsutil就可以在不重启的环境下进行语义数据库阐发。

图1:活动目录域名办事

Ntdsutil敕令先容

那么让我们来看看Windows Server 2008和R2版的Ntdsutil,进修一些强大年夜的操作,说不定某天就能让你少打一个技巧支持电话:

1.元数据清理:容许删除办事器、站点、域以及命名高低文工具(当你必须手动降级DC或有一些毁坏工具时这分外有用。)

2.文件*:治理活动目录数据库文件(这个不常用,然则照样有一些很有用的敕令)

3.组成员评估:显示主要的安然信息

4.角色:治理FSMO角色

5.IFM(从介质安装)*:捕获活动目录的快新永乐国际乐在其中照,然后在dcpromo的介质安装历程中应用

6.语义数据库阐发*:查找并修复数据库差错

7.快照:治理快照,包括枚举、安装和卸载快照

8.授权还原:将域节制器还原到某个特准光阴点

这些操作要求在活动目录域名办事竣事的环境下进行。

注:虽然在以前,活动目录轻型目录办事( Active Directory Lightweight Directory Services,AD LDS)应用dsdbutil和dsmgmt这两个对象来治理AD LDS实例,但微软实际上已将这些对象整合到Ntdsutil中了。我不会在这里评论争论AD LDS的具体功能,但我们必须意识到现在所有的治理功能都在AD LDS中了,这点很紧张。

有几个技术可以赞助治理员迅速认识Ntdsutil对象。初学者应知道,敕令可以用缩写,这意味着你只要输入足够的字母就可以唯必然义Ntdsutil敕令。例如,要应用元数据清除敕令,你只需键入“meta cl”。别的,治理员还可以应用偏向键调出曾用的敕令。

Ntdsutil还包括了一个退出选项,在任何菜单级别选择该选项,都邑进入上一级菜新永乐国际乐在其中单。^C则表示退出全部Ntdsutil。连接选项会在很多Ntdsutil敕令中呈现,如元数据清除,如图2所示。它定义了一个到某一特定域节制器的链接。当这个敕令呈现时,你只需进入连接菜单然后输入:

Connections: Con To Ser

操作会在该域节制器复制的活动目录生效。你可以应用已登任命户的密码,或者别的指定一个。

图2:Ntdsutil元数据清除敕令

Ntdsutil也有一个在线赞助组件,如图3所示。多年来我曾多次应用这个对象,我还老是在任一菜单级别中键入?来快速显示可用的选项。

对付在线赞助,有几个变更必要留意。例如,授权还原操作现在必要一个实例的定义。这与Ntdsutil治理AD LDS分区的要领有关。假如你得履新错提示,要求你指定一个实例,那么你可以应用如下的敕令:

Ntdsutil:Activate Partition ntds(或选择相宜的AD LDS实例进行治理)。

图3:Ntdsutil赞助组件

Ntdsutil:文件

Files敕令要求竣事活动目录域办事器。 以下几个敕令较为常用:

1.Checksum --反省引擎数据库的物理完备性。当数据库报错,尤其是在事故日志中,你可以应用该敕令,也可以应用主菜单上的语义数据检测器。

2.Integrity--该敕令异常类似于Checksum,然则运行不合的反省。

3.Set default folder security--该敕令用于重设NTDS文件夹上的安然设置。这个敕令不常用,除非你不小心误操作了NTDS文件夹,不得不从新规复。

4.Move logs to %S and Move DB to %S--该敕令用于移动数据库和日志文件。

虽然我们不会天天都用到这些敕令,然则如过你看到在事故日志中呈现了数据库差错时,Integrity 和Checksum敕令就能顿时派上用处。你也可以应用语义数据库检测去检测数据库的同等性。

Ntdsutil:语义数据库阐发

这是个功能强大年夜的敕令,而且异常轻易应用。 在任何时刻,只要在事故日志中看到数据库差错,我都邑应用它。老实说,这个是我独一应用的敕令。

Semantic Checker: Go Fixup

此敕令可以快速地进行完备性反省,根据我的履历,该敕令每次都可以成功修复数据库。当然,不能包管它能修复所稀有据库问题,然则它肯定不会带来任何新问题。此敕令可以和上面说起的Ntdsutil:Files中的数据库修复敕令一路应用。

Ntdsutil:组成员评估

这个选项为用户或组在安然令牌中存储安然标识符(SID)。虽然有一些老的资本对象包中的对象也能履行该操作,然则能把该对象整合到Ntdsutil确凿异常棒。应用该敕令前,必要先应用Set Global Catalog 或 Set Resource DC 敕令去定义GC/DC。

Run Corp.com olseng

该敕令会是一个五个步骤的操作历程,结果保存到C: olseng-20110217024622.tsv(包括所有安然信息的文本文件)。

正如你所望见的,Ntdsutil异常强大年夜。因篇幅所限,还有很多有用的敕令选项不能逐一先容。请记着对付安然、账户治理、分区治理、LDAP策略和其它AD LDS分区选项,Ntdsutil都新永乐国际乐在其中是一个异常方便的敕令,当然,无意偶尔候也很危险。平日,Ntdsutil会供给警示信息来让你自我保护。 记着一点,无论做什么,在点击回车时,必然要清楚知道自己正在做什么。

现在我们就来看看Windows Server 2008中Ntdsutil敕令的具体功能,来进一步熟识它的强大年夜功能。

Ntdsutil:元数据清理

该敕令是所有Ntdsutil敕令中最常用的一个,至少我这样觉得。早在Windows 2000中就有了该敕令,它主如果在手动履行了域节制器提升操作(dcpromo)后用于清除活动目录工具。Ntdsutil元数据清除敕令必要应用连接菜单连接活动目录节制器。

元数据清理要求明确指出相关站点、域、命名高低文和办事器来定位必要删除的工具。该操作是经由过程元数据清除菜单中的选择操作对象(SelOT)敕令来实现的。例如,假如我想从SelOT目录中删除ALT-DC4这个工具,我首先可以输入“?”敕令符来懂得该敕令的语法参数,如图4所示。

图 4:应用SelOT敕令

为了指定站点、域和办事器,你必须列出所有站点来获得一个相关编号,该编号会在选择敕令时应用。以下便是若何操作:

1.应用 List sites 敕令:

select operation target: list sites发明 6个 site(s)

0 - CN=Alpharetta,CN=Sites,CN=Configuration,DC=Wtec, DC=adapps,DC=hp,DC=com

1 - CN=Brussels,CN=Sites,CN=Configuration,DC=Wtec,

DC=adapps,DC=hp,DC=com

2 - CN=Melbourne,CN=Sites,CN=Configuration,DC=Wtec,

DC=adapps,DC=hp,DC=com

3 - CN=Bracknell,CN=Sites,CN=Configuration,DC=Wtec,

DC=adapps,DC=hp,DC=com

4 - CN=Roseville,CN=Sites,CN=Configuration,DC=Wtec,

DC=adapps,DC=hp,DC=com

5 - CN=Site1,CN=Sites,CN=Configuration,DC=Wtec,

DC=adapps,DC=hp,DC=com

1.现在可以应用Select site敕令。我们想处置惩罚的办事器是site 1 – Brussels:: sel新永乐国际乐在其中ect operation target: sel site 1(留意 “1”是Brussels在LIST sites敕令中的相关编号。)输出如下:

Site -CN=Brussels,CN=Sites,CN=Configuration,DC=Wtec,DC=adapps,DC=hp,DC=com

No current domain

No current server

No current Naming Context

1.为域名和办事器重复该历程。每次应用list敕令(如List domains),获取你想处置惩罚工具的相关编号,然后在应用Select domain (#) 敕令。一旦完成了这些操作,您就能看到类似图5中的结果。虽然读起来有点费劲,然则至少指定了站点、域和办事器。

图5: SelOT敕令的输出例子

1.要删除一个已指定的办事器工具,请应用Quit回到Ntdsutil元数据菜单,然后应用remove敕令:

Remove selected server

你会看到一个弹出窗口看护办事器将被删除,如图6所示。当你在处置惩罚活动目录中的工具时,请必然要小心应用这个敕令。

图 6:办事器删除确定对话框

Ntdsutil:角色

这是查看、篡夺并转移机动单主机操作(Flexible Single Master Operations ,FSMO)角色的最快法子。在应用该敕令时,有几点要留意:

1.在FSMO掩护(Role)菜单中,进入Connection菜单连接到域节制器,该域节制器是你想转移角色的目的地。这异常紧张。

Connections: Connect to server Wtec-dc1

2.退回到FSMO掩护菜单(如图7所示)

Figure 7:FSMO掩护菜单

1.图7显示敕令选项和具体的解释。

2.想应用Ntdsutil敕令查看所有角色,进入选择操作目标菜单,然后输入所选办事器的角色列表(如图7)。虽然输出欠好看,然则涵盖了所有你想要的内容。应用Netdom敕令可以获取更具体的信息。

Netdom Query Fsmo

3.你可以应用如下敕令,篡夺PDC角色Fsmo Maintenance: Seize PDC

请留意,任何篡夺操作都邑先自动考试测验转换。Ntdsutil的优点便是可以一次性治理所有FSMO角色。

Ntdsutil:IFM

从介质安装是Windows 2008上的新功能,能经由过程域节制器提升操作(dcpromo) 安装领导应用高档安装选项建立一个新的域节制器,比windows 2003要快得多。在履行这个选项前,会要求对DC做一次备份,此后规复文件会复制到办事器的本地介质中。域节制器提升操作(dcpromo) /ADV发出指令称要对首次进级应用静态规复文件而不是经由过程收集。图8显示IFM菜单选项和一个创建完备实例的例子。包括如下操作:

1.创建完备的SYSVOL活动目录实例和非SYSVOL完备实例

2.创建SYSVOL和非SYSVOL只读域节制器 (RODC)实例

图 8: Ntdsutil IFM快照

IFM创建一个快照,首先会进行数据库碎片收拾,然后保存快照到你指定的硬盘文件夹中。

Create sysvol full c:adbackup在C:adbackup中将会有三个目录,分手是:Active Directory、Registry和SYSVOL,这里面的所有文件都邑在履行dcpromo操作时用到。

应用IFM敕令,能很轻易地从现有域节制器上得到安装所需的活动目录资本,就似乎是向待提升的办事器,进行一个简单的复制操作。IFM使得进级办事器来作为域节制器变得非常简单。一旦域节制器提升操作(dcpromo)停止,复制将急速进行以包管及时更新。请留意,一个只读域节制器(read-only domain controller, RODC)实例会在读/写域节制器中创建,然则只有只读域节制器实例自己能创建一个只读域节制器实例。

正如你所望见的,Ntds新永乐国际乐在其中util异常强大年夜。因篇幅所限,还有很多有用的敕令选项不能逐一先容。请记着对付安然、账户治理、分区治理、LDAP策略和其它AD LDS分区选项,Ntdsutil都是一个异常方便的敕令,当然,无意偶尔候也很危险。平日,Ntdsutil会供给警示信息来让你自我保护。 记着一点,无论做什么,在点击回车时,必然要清楚知道自己正在做什么。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

您可能还会对下面的文章感兴趣: