转自:[url]http://bbs.51cto.com/thread-6731-1-1.html[/url]
*q^6G^.H!N hoZbbs.51cto.com
z%_3k{4m1]b/fA6d51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛ty;N^/o~Rt7R@ Y
在实际操作和试验中收集了各种ntdsutil的使用技巧,特总结一下,给大家看看!
:Kyq |oP
:\$k^;m*a5R P51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1. 用ntdsutil来清除无效的DC信息!
?wA"^1M#{6x51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
pH-Q7H0E51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离假如你的备份域为abc.mstc.com 主域为ctu.mstc.com,现在备份域坏了。那么你在装有super tools的主控域上执行如下命令:51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离W[^ };fXS
Sw BN0{DV|7AS51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离C:\>ntdsutil
SO!}9?Q*r6?
+ft\}'Hq7L,F Q%hIbbs.51cto.comntdsutil: metadata cleanup - 清理不使用的服务器的对象
|2z_9W"?V!@51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
'PC| U~l"a$b4Xa51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离metadata cleanup: select operation target - 选择的站点,服务器,域,角色和命名上下文51CTO技术论坛7O1LRmN&x0_
R
j3Ra[:r]+S#P
select operation target: connections - 连接到一个特定域控制器(G.sOzB.c
7[3l-JfGO51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离server connections: connect to server ctu.mstc.com --绑定到 ctu.
;e%wkNj51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6?0fD"b@MW
用本登录的用户的凭证连接 ctu。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离x&r$^\
l4K
P`KFLDM,h4nj1m$Sserver connections: quit - 返回上一层目录bbs.51cto.com X(Fi N.Rw
6r[eL-w!?select operation target: list site - 在企业中列出站点(找到1个站点,标识为0)
j*n8Km'ZX3z"L.cr:o51CTO技术论坛
)a_/S!o_GI \51CTO技术论坛找到 1 站点
(o*O[/C4e0k:Z51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
4_Jml~G5D51CTO技术论坛0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com5D|0K/c1Ay
bbs.51cto.comblHZ9aF
select operation target: select site 0 - 将标识为 0 的站点定为所选站点
(|%VTt+[
H
r:j8cTX&mg51CTO技术论坛站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
d6l EsL] }
6~o)@8om
E GKH:^51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离没有当前域
7Z;U%`*t*R
S$e51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛-@/|lBc
zu
没有当前服务器
Z yb.K;Rz'|9J.ebbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离|%Q:E ]-v+{
Pc
当前的命名上下文Os ^-r
SP^6z3[
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离j,A~g'D Q3r
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离8vJ@4Cy
51CTO技术论坛4K)o"B%e
v'{
.{3U.c7P8^v(BF51CTO技术论坛
!twP[!QdZ.Z51CTO技术论坛select operation target: list domains - 列出所有包含交叉引用的域51CTO技术论坛6p-]y
id8p.l!{.RHjm
bbs.51cto.com,]
Pts,qZ9tr%K
找到 1 域2n-i/])W0uOJkt
bbs.51cto.comk,^q&bt:?jN#VP
0 - DC= mstc,DC=com
4C
V4hf^K]51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离bbs.51cto.com5T;n-E0NS[VrZ
select operation target: select domain 0 - 将标识为 0 的域定为所选域
v"l?oe"|4da1TWC51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛bH1}X
^6?#}"h-}
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离0LM{TMSV
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离@gGx9TT9^"Ue
域 - DC= mstc,DC=com,K-mvF[a
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;{ZC8~Q0[3Td
没有当前服务器51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离vt9]7c:Mr(y
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离*]6v_1Q"CuO3a;sU9h
当前的命名上下文bbs.51cto.comxQ&V:K6v#vB3Snw
L#s"VTVQ51CTO技术论坛bbs.51cto.com'C0iM$_gs3J f\
!tk-v$UWSBx|u-E8_bbs.51cto.com
j~Xi'@;j6A"N;M {
f.Qxye_+V51CTO技术论坛select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个:0-abc.mstc.com;1-ctu. mstc.com).r @i^8V}
:{x]k*V2P%hC2I找到 2 服务器
m0H!krn'fI^n(v
+Je6jfJn"q!wC0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
Ux6[~*g:F{abWbbs.51cto.com
'HOUGb51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com51CTO技术论坛1CIl{]gZa
&KIKkl/uOAbbs.51cto.comselect operation target: select server 0 - 将标识为 0 的服务器(abc)定为所选服务器——也就是要删除的DCbbs.51cto.comP#Go)I9\ E Jz
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离\2Ce_D
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"\v#X Rdh
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离7`._*PT}b'y0oj2O
域 - DC= mstc,DC=com
K%v^8G@3Ym0^bbs.51cto.com
j
O%Fg"qMj k ^1@,p&P服务器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
tq%x8Wr;P51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
%tM,T~#X8Gm-v~u51CTO技术论坛.x5H4CKc
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!w-`]2^&Y0E
y
|.zK
Z51CTO技术论坛51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;C%h$`;M%D4l
DSA 对象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
"aM,|#m}s1U e5])js51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
xHn}}DNS 主机名称 - abc.mstc.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离[/s sP3G
4rbb;UI51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=combbs.51cto.comld4UCT"Hq5N2mv%W
$P1G z{vK)b&L51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离当前的命名上下文Ul'@Z;G
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
Bo2\t.OC9x
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2LR#O`C
W?$L'\(p*JjG@e51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
4s\Y T
N
RURbbs.51cto.combbs.51cto.comFH2sd#K
l
select operation target: quit - 返回上一层目录5d&n1~*C`D~4M
|"Ha
ML2G&R5U
kp3}/DPIbbs.51cto.com 51CTO技术论坛xe4Z7n1p1G|
bbs.51cto.com-R%`!G%{XD0^E
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 N2V0{
P l_3n9B
metadata cleanup: remove select server - 从所选服务器上删除 DS 对象}4mZu
Y6Dh
@.lID$j U+k:gL51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离在弹出的对话提示框上选择“是”,51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离'\Qzzk$t`
E)rY
6h)K8[[#c-q,` x
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了,从服务器“ctu”
1j*cLOE_9vUb51CTO技术论坛
:R }r+u^(Nbbs.51cto.com现在,abc.mstc.com这个Dc对象就在你的AD里消失了.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离,x"F`/zq
0Aa0_V4q/~(\s"l
bbs.51cto.comYYj3\'LM"G
z xB
~KQ&S
51CTO技术论坛%No7@4Aw-e
vL&Htb51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2.用ntdsutil来转移fsmo五种角色。51CTO技术论坛V;p#j
H
p-le
$~&eA\EGU+NM当您运行 Dcpromo.exe 程序并安装 AD 时,将向目录林中的第一个域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每个域各有三个特定于域的 FSMO 角色。这五个角色是schema master-架构主机,Domain naming master-域命名主机,Rid master-rid主机,pdc master-pdc防真器,Infrastructure Master-结构主机。想要把这几种角色移动到另一台计算机上有2种方法,一种是转移,但必须2台计算机处于正常运行状态。如果有其中某台处于离线状态 只能用第二种方法,使用ntdsutil工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上,请在装有support tools工具新的域控或备份域控上执行如下命令:首先在CMD下运行7M;v`.aT4@K
netdom query /d:域名 fsmo
o4h4Re4wa51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离查看一下当前哪些角色在哪台服务器上,
'SCk#a,]}/n:sT51CTO技术论坛然后在CMD下运行
rLh7@7kE2pqbbs.51cto.com"ntdsutil"如果不知道命令怎么写,可以输入?得到帮助提示,51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6@3B1V yB2W
"roles" 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离|!c8T)B/t
S;lMC"i
"connections"
;p*F2N*u@Di51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"connect to server 服务器名" 绑定一台当前在线的DC
TEWl-eo51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离当连接成功后输入 q 退出51CTO技术论坛XN3y
|,h5O+bd-A
回到上一层(roles)准备做角色迁移
5X6do\$Ugy"Seize schema master"bbs.51cto.com?
Y9ds~nh/T
"Seize domain naming master"51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离z$Jt
le/z?e,?
"Seize RID master"51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离$E"aU^ ^F%a?
"Seize PDC"
~Z.@kQ[V:k5U1{bbs.51cto.com"Seize infrastructure master"4V
J&Ef[:d
以上五个命令,分别用作迁移上面所提到的5个角色到我们之前绑定的服务器上。
M5v+@:f6Tn8{51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离完成后再次回到CMD下执行"netdom query /d:域名 fsmo",检查角色是否已被迁移
5QKX"_5yAgq/^51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
8d+c!N;u'l-f A5F51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛W
yQ/F,W
在“常规”选项卡上,找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。
UHF/eBF's`E:cC51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
;}N^%e"T~s51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
0BOC#U
L5d\_:[bbs.51cto.combbs.51cto.comXS i+X
t"N{0d
T)o"\(i1Y51CTO技术论坛bbs.51cto.coms ?4r(w8t ?
/HU/~F;adx'^l3.微软提供了NTDSUtil这个工具可以对AD数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一个很关键的操作,一旦出错将是灾难性的.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离(h/Crs7IK4C*]
s@Q|v!jj9{r6M;XMAp(D
/i}/wTq x
Ai`/_4U $_(m3tcej
;[djM}B;pb8?)S
;yD\1kF5cPo ]1. 用必要的备份软件备份你即将要操作的每一架DC,如果没有专业的备份软件用NTBackup也可以.
gC\%Tbi]qp7b%]^&jU
Q\FI0^|'Pl
2. 重启DC按F8键进入目录服务恢复模式以进行对AD的操作.
!^m8W%lf4p51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离zJ-jr `
@xf;U)b`am?51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离3. 如果硬盘还有足够的空间那么请再次备份当前的ntds.dit文件,把它拷贝到一个临时文件夹内作为备份直到所有的整理工作成功完成.记住,不要重新命名文件,否则整个压缩过程不可能完成.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离k5M
K_ir$H
bbs.51cto.com^C$z~ ^U:tt_
B
\$wy'OL
Zt[4. 在命令行下键入以下的命令:
_/m.j&T0T7Hb z51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
~!RuZb@4n2i~
0Icd(d']^$d^Z%x1_bbs.51cto.coma) Ntdsutil
G(D/G6P
M2h*[,m'HIrbbs.51cto.com9O,e+m3q8F+p
51CTO技术论坛"g6S4r9RA!cM5}6n#F
b) Files
X*^&j3ZS3F;y-n3T51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+}k v-rx$q\-r:Q
)tN K'BdFZe(I
c) Info (记下当前ntds.dit的路径.)51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离{y^.R1n [8h"BN
@{WVAj8y51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
lX_4~0g3H[d) 键入 compact to "c:\compact" 以把经过压缩处理的ntds.dit文件放置到这个文件夹中保存, 如果这个文件不存在,Ntdsutil 会自动建立一个(这个文件夹可以是任意名字).bbs.51cto.com&U(Elt9D+J
8V C6V-gJy
8_Ey,BH0zE0J#`
5. 如果要退出Ntdsutil的界面,请连续两次键入下面的命令:
8_$`.M[ ?u51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2{$H%u
Y$\nt'W]
]Z
51CTO技术论坛MF$V8US3D%e
a) quit
\,LZ$v2`7MFJ51CTO技术论坛
vv$p"x#n)@
Y
A
n
z3n&wk)r
`\V&{bbs.51cto.comb) quit\5LA]}Cv#qB:m\&R
AM.i;I8gepO(N:x51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离xEp\)Lf4Y|1U]nyr
6. 用在c:\compact文件夹下已经经过压缩后的ntds.dit覆盖当前的ntds.dit.
7OD3J4r8i5|M]CZ(_bbs.51cto.com
,yp\ua.A~[8e51CTO技术论坛-fW3bk
jk!|Zc
7. 删除在AD数据库文件文件夹下的所有.log文件.
O;H6My5QL!t py9}51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离MScy8q)S.kO5~
.mKolCB*cx
8. 重新正常启动DC.
7ZUrU*c~Z|S+b9{x,^2w51CTO技术论坛
6? P#GYjy
NO"b'Y$R/I6T51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离9. 再次备份整理后的DC,如果一切正常,你就可以把刚才复制备份的ntds.dit删除了.
+NOcM7j@m*S51CTO技术论坛
h~bR?S/s:g"~o+m51CTO技术论坛bbs.51cto.com:_K(Wo!Y2U(Q
4QK#mXH"]
UWs:a7Zc"g8m7{51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离bbs.51cto.com0{S
Jldn,p
{8BOiN51CTO技术论坛
;hM~6?x(HWFbbs.51cto.com 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离]H(I'|j8fH6`
4_&lczK
G:e
7N5g1o6_'n:h5[4. 查找和清理(或删除)重复的安全标识符 (SID)
:~PH+l$m,h+obbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!HO.U5k7D
EX
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1f/X/tx!D]"V,M
如何检查是否有重复的 SID
@FoPE6d5A0H
+X-~v2^'sv51CTO技术论坛
jlHx)y1qj;J?j51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。
0@z/]T#k0[ e6_51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 o7WY!d0v4@,}
ebN%@'V'k51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 bbs.51cto.com$I`6nHwi a
y{
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5k8x@4P/]$M
bbs.51cto.comNQ-l,v2Y@0h
3. 在 Security Account Maintenance 命令提示符下,键入 check duplicate sid,然后按 ENTER 键。将显示重复的 SID。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"z"F'z?)J'JRU
51CTO技术论坛V}zI:wW
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离AO+y1S;a7j(d
如何清理重复的 SIDbbs.51cto.com/@wRnS(} {?l
"x'RP5Q
j)A51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离O5}#]_'`\%Le
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。 3El
SmJG$~W#y
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离~9vm]v\
_qO["i'`(wU51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 %m5?.qo
K-I
FZ A.Z5`7Gvl
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离LI+T(My5M?
3. 在 Security Account Maintenance 命令提示符下,键入 cleanup duplicate sid,然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。
r;K5H E7cD51CTO技术论坛51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离%}x9f6T8uE1U#oVZ
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离.j
W~?8gDm-C3G
4. 在 Security Account Maintenance 命令提示符下,键入 q,然后按 ENTER 键。 ]+BalIw!p)@P
c0L!\Vk%c{VM+@wbbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离-ZH;qVwc0Hz
5. 完成 Ntdsutil 下的操作后,键入 q,然后按 ENTER 键。
[9YA@BUrA]bbbs.51cto.com
!a4pzZ{9\bbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离`:z0^W3{_"w~
BH`}\7}.V2DB
?VN$we'pr0VKL?
&fYUb2f51CTO技术论坛
x-V;q5V3B/y4bCV;Y!c51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离^r%LY:r
7ABcVk;JW&n4C
` K$x2DCk4l}0c51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离R*D0@+~Q-X
5. 使用 Ntdsutil 实用工具将 IP 地址添加到 IP 拒绝列表.#r;g#D^2T[RD&\
\.~9IS!^'h9U
4GTa8~w7w
如何向拒绝列表添加 IP 地址e;uK:Wb0s@1|w
4lP)rEJ51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+S1I@']
\?h
1. 在 Ntdsutil 命令提示符下,键入 IPDeny List,然后按 ENTER 键。 /ws&_sK(_;d+?$T[
i6@T"KKVzl(h7M!N;vPE_^
2. 在 IP Deny List 命令提示符下,键入 connections,然后按 ENTER 键。
7^
DZ]1OB'r)}@kz$f/M-u S'_i
bbs.51cto.comS;dO3wy)fM~M T&R
3. 在 server connections 命令提示符下,键入 connect to server 服务器的 dns 名称,然后按 ENTER 键。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离/c;d-@p,zTq/D.r4s
&f$W
LkF'Q`/l
u\
LUI8SI备注:请连接到您正在使用的服务器。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离ka#xZ3g!t4B
^,Y-e}BI:{J
rPT,P Nqp4. 在 Server connections 命令提示符下,键入 q,然后按 ENTER 键返回到先前的菜单。
6kL.U8RD(O9Jj
1~f'sccUj51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离l'{bF?,OC
5. 在 IP Deny List 命令提示符下,键入 add IP 地址掩码,然后按 ENTER 键。 ]q}5W+yK
l#Sgj[ \+DFeA/e
sv"c"WAbbs.51cto.com如果您正在单节点环境中工作,可将“node”用作掩码变量。 "{vV8Ak]
bbs.51cto.com2H
v/N%vGO;T"q
"FI;|]8^AH!E
6. 在 IP Deny List 命令提示符下,键入 commit,然后按 ENTER 键提交所作的更改。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离x^g|S o]3ij
s9mk4bEi4h51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
h7k%q#o}|(z-j
t}51CTO技术论坛如何验证添加的项bbs.51cto.com`*AO E:QV5_
A5G+Hg!jE5_9Nybbs.51cto.com
k,opP9l;Rks$B6|bbs.51cto.com1. 在 IP Deny List 命令提示符下,键入 Show,然后按 ENTER 键。 @6g0\/|I
bbs.51cto.com%u9^)E.@B,w:P6A
x6?;asF4[C%W51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离将显示所有被拒绝的 IP 地址的列表。 "f+cQ(^`b
nyao:ZK51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
IMVc,[bbs.51cto.com2. 在 IP Deny List 命令提示符下,键入 q,然后按 ENTER 键。 @2To'u VxV*EA3h
w`/Ysr'@n\Qd'~%_{
t,pd/Z)m
3. 在 Ntdsutil 命令提示符下,键入 q,然后按 ENTER 键退出 Ntdsutil。51CTO技术论坛2X7E[ TJj:Ca
bbs.51cto.comwXh5Vx5@s8mSX"c
^hA.{;^2e}7Kuq
51CTO技术论坛-sP Y|-F`5~{
9c2F/u;aFZ#Rg.W
#ii3R4R9u'](a
Jtmvefe`xbbs.51cto.com6. 重设DSRM密码
6p'l([:u3\z51CTO技术论坛
:rDwrE%H"rUwx.Cbbs.51cto.com1. “开始” - “运行” - “CMD”
$|
C%VMya+]&t51CTO技术论坛;C|'zL3K`,t@7mMld
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离/E3zoF |/Zh[
2. ntdsutil51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5H
\mR:P'G#o
@CL/l} {.UpOUbbs.51cto.com
?6z-s)aXnbbs.51cto.com3. 在“ntdsutil:”提示符下输入“set DSRM Password”51CTO技术论坛4Sp[2I!S"? ~Ze
-Y*F"HyiN0x.g&RfP51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离D T-H)F6]$Bm&L[
4. 在“重置DSRM管理员密码:”提示符下输入“Reset Password on server <servername>”,其中<servername>是想修改DSRM管理员密码的服务器名。
i2hn1K1NZ(}C2j%_1b51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
2y0\?J:S$h^&{%c
u_:d:o,`p8U/aO51CTO技术论坛5. 在“请键入DS还原模式管理员账户的密码:”提示符下输入新的密码。bbs.51cto.com9O"J4MF%H/O5n
7Z3\d._$Fi7e3S9~bbs.51cto.com
1`,PF^^PY51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6. 确认新的密码。
^ud"TYD5ko"Ybbs.51cto.com
3["a4Ig5C|51CTO技术论坛
/v2D cp2pN7fo7. 设置密码成功,工具回到“重置DSRM管理员密码:”提示符。
[y4L*g#J}KgX
^ i3CU.y51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
"z*y0L|2~"h8O51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离8. 输入“quit”返回到ntdsutil命令提示符。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离iF;v8\!c,iY@
Y-_(u0yL
51CTO技术论坛_XK_6[+b4[*X
]t
9. 如果不需要执行其他ntdsutil操作,再次输入“quit”退出ntdsutil工具。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离Xh(YRIl
gV0?+p6BxSr51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
*q^6G^.H!N hoZbbs.51cto.com
z%_3k{4m1]b/fA6d51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛ty;N^/o~Rt7R@ Y
在实际操作和试验中收集了各种ntdsutil的使用技巧,特总结一下,给大家看看!
:Kyq |oP
:\$k^;m*a5R P51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1. 用ntdsutil来清除无效的DC信息!
?wA"^1M#{6x51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
pH-Q7H0E51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离假如你的备份域为abc.mstc.com 主域为ctu.mstc.com,现在备份域坏了。那么你在装有super tools的主控域上执行如下命令:51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离W[^ };fXS
Sw BN0{DV|7AS51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离C:\>ntdsutil
SO!}9?Q*r6?
+ft\}'Hq7L,F Q%hIbbs.51cto.comntdsutil: metadata cleanup - 清理不使用的服务器的对象
|2z_9W"?V!@51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
'PC| U~l"a$b4Xa51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离metadata cleanup: select operation target - 选择的站点,服务器,域,角色和命名上下文51CTO技术论坛7O1LRmN&x0_
R
j3Ra[:r]+S#P
select operation target: connections - 连接到一个特定域控制器(G.sOzB.c
7[3l-JfGO51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离server connections: connect to server ctu.mstc.com --绑定到 ctu.
;e%wkNj51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6?0fD"b@MW
用本登录的用户的凭证连接 ctu。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离x&r$^\
l4K
P`KFLDM,h4nj1m$Sserver connections: quit - 返回上一层目录bbs.51cto.com X(Fi N.Rw
6r[eL-w!?select operation target: list site - 在企业中列出站点(找到1个站点,标识为0)
j*n8Km'ZX3z"L.cr:o51CTO技术论坛
)a_/S!o_GI \51CTO技术论坛找到 1 站点
(o*O[/C4e0k:Z51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
4_Jml~G5D51CTO技术论坛0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com5D|0K/c1Ay
bbs.51cto.comblHZ9aF
select operation target: select site 0 - 将标识为 0 的站点定为所选站点
(|%VTt+[
H
r:j8cTX&mg51CTO技术论坛站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
d6l EsL] }
6~o)@8om
E GKH:^51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离没有当前域
7Z;U%`*t*R
S$e51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛-@/|lBc
zu
没有当前服务器
Z yb.K;Rz'|9J.ebbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离|%Q:E ]-v+{
Pc
当前的命名上下文Os ^-r
SP^6z3[
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离j,A~g'D Q3r
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离8vJ@4Cy
51CTO技术论坛4K)o"B%e
v'{
.{3U.c7P8^v(BF51CTO技术论坛
!twP[!QdZ.Z51CTO技术论坛select operation target: list domains - 列出所有包含交叉引用的域51CTO技术论坛6p-]y
id8p.l!{.RHjm
bbs.51cto.com,]
Pts,qZ9tr%K
找到 1 域2n-i/])W0uOJkt
bbs.51cto.comk,^q&bt:?jN#VP
0 - DC= mstc,DC=com
4C
V4hf^K]51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离bbs.51cto.com5T;n-E0NS[VrZ
select operation target: select domain 0 - 将标识为 0 的域定为所选域
v"l?oe"|4da1TWC51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛bH1}X
^6?#}"h-}
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离0LM{TMSV
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离@gGx9TT9^"Ue
域 - DC= mstc,DC=com,K-mvF[a
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;{ZC8~Q0[3Td
没有当前服务器51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离vt9]7c:Mr(y
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离*]6v_1Q"CuO3a;sU9h
当前的命名上下文bbs.51cto.comxQ&V:K6v#vB3Snw
L#s"VTVQ51CTO技术论坛bbs.51cto.com'C0iM$_gs3J f\
!tk-v$UWSBx|u-E8_bbs.51cto.com
j~Xi'@;j6A"N;M {
f.Qxye_+V51CTO技术论坛select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个:0-abc.mstc.com;1-ctu. mstc.com).r @i^8V}
:{x]k*V2P%hC2I找到 2 服务器
m0H!krn'fI^n(v
+Je6jfJn"q!wC0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
Ux6[~*g:F{abWbbs.51cto.com
'HOUGb51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com51CTO技术论坛1CIl{]gZa
&KIKkl/uOAbbs.51cto.comselect operation target: select server 0 - 将标识为 0 的服务器(abc)定为所选服务器——也就是要删除的DCbbs.51cto.comP#Go)I9\ E Jz
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离\2Ce_D
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"\v#X Rdh
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离7`._*PT}b'y0oj2O
域 - DC= mstc,DC=com
K%v^8G@3Ym0^bbs.51cto.com
j
O%Fg"qMj k ^1@,p&P服务器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
tq%x8Wr;P51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
%tM,T~#X8Gm-v~u51CTO技术论坛.x5H4CKc
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!w-`]2^&Y0E
y
|.zK
Z51CTO技术论坛51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;C%h$`;M%D4l
DSA 对象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
"aM,|#m}s1U e5])js51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
xHn}}DNS 主机名称 - abc.mstc.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离[/s sP3G
4rbb;UI51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=combbs.51cto.comld4UCT"Hq5N2mv%W
$P1G z{vK)b&L51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离当前的命名上下文Ul'@Z;G
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
Bo2\t.OC9x
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2LR#O`C
W?$L'\(p*JjG@e51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
4s\Y T
N
RURbbs.51cto.combbs.51cto.comFH2sd#K
l
select operation target: quit - 返回上一层目录5d&n1~*C`D~4M
|"Ha
ML2G&R5U
kp3}/DPIbbs.51cto.com 51CTO技术论坛xe4Z7n1p1G|
bbs.51cto.com-R%`!G%{XD0^E
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 N2V0{
P l_3n9B
metadata cleanup: remove select server - 从所选服务器上删除 DS 对象}4mZu
Y6Dh
@.lID$j U+k:gL51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离在弹出的对话提示框上选择“是”,51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离'\Qzzk$t`
E)rY
6h)K8[[#c-q,` x
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了,从服务器“ctu”
1j*cLOE_9vUb51CTO技术论坛
:R }r+u^(Nbbs.51cto.com现在,abc.mstc.com这个Dc对象就在你的AD里消失了.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离,x"F`/zq
0Aa0_V4q/~(\s"l
bbs.51cto.comYYj3\'LM"G
z xB
~KQ&S
51CTO技术论坛%No7@4Aw-e
vL&Htb51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2.用ntdsutil来转移fsmo五种角色。51CTO技术论坛V;p#j
H
p-le
$~&eA\EGU+NM当您运行 Dcpromo.exe 程序并安装 AD 时,将向目录林中的第一个域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每个域各有三个特定于域的 FSMO 角色。这五个角色是schema master-架构主机,Domain naming master-域命名主机,Rid master-rid主机,pdc master-pdc防真器,Infrastructure Master-结构主机。想要把这几种角色移动到另一台计算机上有2种方法,一种是转移,但必须2台计算机处于正常运行状态。如果有其中某台处于离线状态 只能用第二种方法,使用ntdsutil工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上,请在装有support tools工具新的域控或备份域控上执行如下命令:首先在CMD下运行7M;v`.aT4@K
netdom query /d:域名 fsmo
o4h4Re4wa51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离查看一下当前哪些角色在哪台服务器上,
'SCk#a,]}/n:sT51CTO技术论坛然后在CMD下运行
rLh7@7kE2pqbbs.51cto.com"ntdsutil"如果不知道命令怎么写,可以输入?得到帮助提示,51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6@3B1V yB2W
"roles" 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离|!c8T)B/t
S;lMC"i
"connections"
;p*F2N*u@Di51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"connect to server 服务器名" 绑定一台当前在线的DC
TEWl-eo51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离当连接成功后输入 q 退出51CTO技术论坛XN3y
|,h5O+bd-A
回到上一层(roles)准备做角色迁移
5X6do\$Ugy"Seize schema master"bbs.51cto.com?
Y9ds~nh/T
"Seize domain naming master"51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离z$Jt
le/z?e,?
"Seize RID master"51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离$E"aU^ ^F%a?
"Seize PDC"
~Z.@kQ[V:k5U1{bbs.51cto.com"Seize infrastructure master"4V
J&Ef[:d
以上五个命令,分别用作迁移上面所提到的5个角色到我们之前绑定的服务器上。
M5v+@:f6Tn8{51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离完成后再次回到CMD下执行"netdom query /d:域名 fsmo",检查角色是否已被迁移
5QKX"_5yAgq/^51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
8d+c!N;u'l-f A5F51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离51CTO技术论坛W
yQ/F,W
在“常规”选项卡上,找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。
UHF/eBF's`E:cC51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
;}N^%e"T~s51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
0BOC#U
L5d\_:[bbs.51cto.combbs.51cto.comXS i+X
t"N{0d
T)o"\(i1Y51CTO技术论坛bbs.51cto.coms ?4r(w8t ?
/HU/~F;adx'^l3.微软提供了NTDSUtil这个工具可以对AD数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一个很关键的操作,一旦出错将是灾难性的.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离(h/Crs7IK4C*]
s@Q|v!jj9{r6M;XMAp(D
/i}/wTq x
Ai`/_4U $_(m3tcej
;[djM}B;pb8?)S
;yD\1kF5cPo ]1. 用必要的备份软件备份你即将要操作的每一架DC,如果没有专业的备份软件用NTBackup也可以.
gC\%Tbi]qp7b%]^&jU
Q\FI0^|'Pl
2. 重启DC按F8键进入目录服务恢复模式以进行对AD的操作.
!^m8W%lf4p51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离zJ-jr `
@xf;U)b`am?51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离3. 如果硬盘还有足够的空间那么请再次备份当前的ntds.dit文件,把它拷贝到一个临时文件夹内作为备份直到所有的整理工作成功完成.记住,不要重新命名文件,否则整个压缩过程不可能完成.51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离k5M
K_ir$H
bbs.51cto.com^C$z~ ^U:tt_
B
\$wy'OL
Zt[4. 在命令行下键入以下的命令:
_/m.j&T0T7Hb z51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
~!RuZb@4n2i~
0Icd(d']^$d^Z%x1_bbs.51cto.coma) Ntdsutil
G(D/G6P
M2h*[,m'HIrbbs.51cto.com9O,e+m3q8F+p
51CTO技术论坛"g6S4r9RA!cM5}6n#F
b) Files
X*^&j3ZS3F;y-n3T51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+}k v-rx$q\-r:Q
)tN K'BdFZe(I
c) Info (记下当前ntds.dit的路径.)51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离{y^.R1n [8h"BN
@{WVAj8y51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
lX_4~0g3H[d) 键入 compact to "c:\compact" 以把经过压缩处理的ntds.dit文件放置到这个文件夹中保存, 如果这个文件不存在,Ntdsutil 会自动建立一个(这个文件夹可以是任意名字).bbs.51cto.com&U(Elt9D+J
8V C6V-gJy
8_Ey,BH0zE0J#`
5. 如果要退出Ntdsutil的界面,请连续两次键入下面的命令:
8_$`.M[ ?u51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2{$H%u
Y$\nt'W]
]Z
51CTO技术论坛MF$V8US3D%e
a) quit
\,LZ$v2`7MFJ51CTO技术论坛
vv$p"x#n)@
Y
A
n
z3n&wk)r
`\V&{bbs.51cto.comb) quit\5LA]}Cv#qB:m\&R
AM.i;I8gepO(N:x51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离xEp\)Lf4Y|1U]nyr
6. 用在c:\compact文件夹下已经经过压缩后的ntds.dit覆盖当前的ntds.dit.
7OD3J4r8i5|M]CZ(_bbs.51cto.com
,yp\ua.A~[8e51CTO技术论坛-fW3bk
jk!|Zc
7. 删除在AD数据库文件文件夹下的所有.log文件.
O;H6My5QL!t py9}51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离MScy8q)S.kO5~
.mKolCB*cx
8. 重新正常启动DC.
7ZUrU*c~Z|S+b9{x,^2w51CTO技术论坛
6? P#GYjy
NO"b'Y$R/I6T51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离9. 再次备份整理后的DC,如果一切正常,你就可以把刚才复制备份的ntds.dit删除了.
+NOcM7j@m*S51CTO技术论坛
h~bR?S/s:g"~o+m51CTO技术论坛bbs.51cto.com:_K(Wo!Y2U(Q
4QK#mXH"]
UWs:a7Zc"g8m7{51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离bbs.51cto.com0{S
Jldn,p
{8BOiN51CTO技术论坛
;hM~6?x(HWFbbs.51cto.com 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离]H(I'|j8fH6`
4_&lczK
G:e
7N5g1o6_'n:h5[4. 查找和清理(或删除)重复的安全标识符 (SID)
:~PH+l$m,h+obbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离!HO.U5k7D
EX
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1f/X/tx!D]"V,M
如何检查是否有重复的 SID
@FoPE6d5A0H
+X-~v2^'sv51CTO技术论坛
jlHx)y1qj;J?j51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。
0@z/]T#k0[ e6_51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 o7WY!d0v4@,}
ebN%@'V'k51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 bbs.51cto.com$I`6nHwi a
y{
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5k8x@4P/]$M
bbs.51cto.comNQ-l,v2Y@0h
3. 在 Security Account Maintenance 命令提示符下,键入 check duplicate sid,然后按 ENTER 键。将显示重复的 SID。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"z"F'z?)J'JRU
51CTO技术论坛V}zI:wW
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离AO+y1S;a7j(d
如何清理重复的 SIDbbs.51cto.com/@wRnS(} {?l
"x'RP5Q
j)A51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离O5}#]_'`\%Le
1. 在 Ntdsutil 命令提示符下,键入 security account management,然后按 ENTER 键。 3El
SmJG$~W#y
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离~9vm]v\
_qO["i'`(wU51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2. 在 Security Account Maintenance 命令提示符下,键入 connect to server 服务器的 DNS 名称,然后按 ENTER 键。连接到存储着您的 SAM 数据库的服务器。 %m5?.qo
K-I
FZ A.Z5`7Gvl
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离LI+T(My5M?
3. 在 Security Account Maintenance 命令提示符下,键入 cleanup duplicate sid,然后按 ENTER 键。Ntdsutil 将确认删除重复的 SID。
r;K5H E7cD51CTO技术论坛51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离%}x9f6T8uE1U#oVZ
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离.j
W~?8gDm-C3G
4. 在 Security Account Maintenance 命令提示符下,键入 q,然后按 ENTER 键。 ]+BalIw!p)@P
c0L!\Vk%c{VM+@wbbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离-ZH;qVwc0Hz
5. 完成 Ntdsutil 下的操作后,键入 q,然后按 ENTER 键。
[9YA@BUrA]bbbs.51cto.com
!a4pzZ{9\bbs.51cto.com51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离`:z0^W3{_"w~
BH`}\7}.V2DB
?VN$we'pr0VKL?
&fYUb2f51CTO技术论坛
x-V;q5V3B/y4bCV;Y!c51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离^r%LY:r
7ABcVk;JW&n4C
` K$x2DCk4l}0c51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离R*D0@+~Q-X
5. 使用 Ntdsutil 实用工具将 IP 地址添加到 IP 拒绝列表.#r;g#D^2T[RD&\
\.~9IS!^'h9U
4GTa8~w7w
如何向拒绝列表添加 IP 地址e;uK:Wb0s@1|w
4lP)rEJ51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+S1I@']
\?h
1. 在 Ntdsutil 命令提示符下,键入 IPDeny List,然后按 ENTER 键。 /ws&_sK(_;d+?$T[
i6@T"KKVzl(h7M!N;vPE_^
2. 在 IP Deny List 命令提示符下,键入 connections,然后按 ENTER 键。
7^
DZ]1OB'r)}@kz$f/M-u S'_i
bbs.51cto.comS;dO3wy)fM~M T&R
3. 在 server connections 命令提示符下,键入 connect to server 服务器的 dns 名称,然后按 ENTER 键。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离/c;d-@p,zTq/D.r4s
&f$W
LkF'Q`/l
u\
LUI8SI备注:请连接到您正在使用的服务器。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离ka#xZ3g!t4B
^,Y-e}BI:{J
rPT,P Nqp4. 在 Server connections 命令提示符下,键入 q,然后按 ENTER 键返回到先前的菜单。
6kL.U8RD(O9Jj
1~f'sccUj51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离l'{bF?,OC
5. 在 IP Deny List 命令提示符下,键入 add IP 地址掩码,然后按 ENTER 键。 ]q}5W+yK
l#Sgj[ \+DFeA/e
sv"c"WAbbs.51cto.com如果您正在单节点环境中工作,可将“node”用作掩码变量。 "{vV8Ak]
bbs.51cto.com2H
v/N%vGO;T"q
"FI;|]8^AH!E
6. 在 IP Deny List 命令提示符下,键入 commit,然后按 ENTER 键提交所作的更改。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离x^g|S o]3ij
s9mk4bEi4h51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
h7k%q#o}|(z-j
t}51CTO技术论坛如何验证添加的项bbs.51cto.com`*AO E:QV5_
A5G+Hg!jE5_9Nybbs.51cto.com
k,opP9l;Rks$B6|bbs.51cto.com1. 在 IP Deny List 命令提示符下,键入 Show,然后按 ENTER 键。 @6g0\/|I
bbs.51cto.com%u9^)E.@B,w:P6A
x6?;asF4[C%W51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离将显示所有被拒绝的 IP 地址的列表。 "f+cQ(^`b
nyao:ZK51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
IMVc,[bbs.51cto.com2. 在 IP Deny List 命令提示符下,键入 q,然后按 ENTER 键。 @2To'u VxV*EA3h
w`/Ysr'@n\Qd'~%_{
t,pd/Z)m
3. 在 Ntdsutil 命令提示符下,键入 q,然后按 ENTER 键退出 Ntdsutil。51CTO技术论坛2X7E[ TJj:Ca
bbs.51cto.comwXh5Vx5@s8mSX"c
^hA.{;^2e}7Kuq
51CTO技术论坛-sP Y|-F`5~{
9c2F/u;aFZ#Rg.W
#ii3R4R9u'](a
Jtmvefe`xbbs.51cto.com6. 重设DSRM密码
6p'l([:u3\z51CTO技术论坛
:rDwrE%H"rUwx.Cbbs.51cto.com1. “开始” - “运行” - “CMD”
$|
C%VMya+]&t51CTO技术论坛;C|'zL3K`,t@7mMld
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离/E3zoF |/Zh[
2. ntdsutil51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离5H
\mR:P'G#o
@CL/l} {.UpOUbbs.51cto.com
?6z-s)aXnbbs.51cto.com3. 在“ntdsutil:”提示符下输入“set DSRM Password”51CTO技术论坛4Sp[2I!S"? ~Ze
-Y*F"HyiN0x.g&RfP51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离D T-H)F6]$Bm&L[
4. 在“重置DSRM管理员密码:”提示符下输入“Reset Password on server <servername>”,其中<servername>是想修改DSRM管理员密码的服务器名。
i2hn1K1NZ(}C2j%_1b51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
2y0\?J:S$h^&{%c
u_:d:o,`p8U/aO51CTO技术论坛5. 在“请键入DS还原模式管理员账户的密码:”提示符下输入新的密码。bbs.51cto.com9O"J4MF%H/O5n
7Z3\d._$Fi7e3S9~bbs.51cto.com
1`,PF^^PY51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离6. 确认新的密码。
^ud"TYD5ko"Ybbs.51cto.com
3["a4Ig5C|51CTO技术论坛
/v2D cp2pN7fo7. 设置密码成功,工具回到“重置DSRM管理员密码:”提示符。
[y4L*g#J}KgX
^ i3CU.y51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
"z*y0L|2~"h8O51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离8. 输入“quit”返回到ntdsutil命令提示符。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离iF;v8\!c,iY@
Y-_(u0yL
51CTO技术论坛_XK_6[+b4[*X
]t
9. 如果不需要执行其他ntdsutil操作,再次输入“quit”退出ntdsutil工具。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离Xh(YRIl
gV0?+p6BxSr51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离
转载于:https://blog.51cto.com/sunwayle/90032
扫一扫
1710
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
