如何清除域中無效的DC 信息1．用ntdsutil 來清除無效的DC 信息！假如你的備份域?yàn)閍bc.mstc.com 主域?yàn)閏tu.mstc.com, 現(xiàn)在備份域壞了。那么你在裝有super tool

如何清除域中無效的DC 信息

1．用ntdsutil 來清除無效的DC 信息！

假如你的備份域?yàn)閍bc.mstc.com 主域?yàn)閏tu.mstc.com, 現(xiàn)在備份域壞了。那么你在裝有super tools 的主控域上執(zhí)行如下命令：

C:>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服務(wù)器的對象

metadata cleanup: select operation target - 選擇的站點(diǎn)，服務(wù)器，域，角色和命名上下文 select operation target: connections - 連接到一個特定域控制器

server connections: connect to server ctu.mstc.com --綁定到 ctu.

用本登錄的用戶的憑證連接 ctu 。

server connections: quit - 返回上一層目錄

select operation target: list site - 在企業(yè)中列出站點(diǎn)(找到1個站點(diǎn)，標(biāo)識為0)

找到 1 站點(diǎn)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com

select operation target: select site 0 - 將標(biāo)識為 0 的站點(diǎn)定為所選站點(diǎn)

站點(diǎn) - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com 沒有當(dāng)前域

沒有當(dāng)前服務(wù)器

當(dāng)前的命名上下文

select operation target: list domains - 列出所有包含交叉引用的域

找到 1 域

0 - DC= mstc,DC=com

select operation target: select domain 0 - 將標(biāo)識為 0 的域定為所選域

站點(diǎn) - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com 域 - DC= mstc,DC=com

沒有當(dāng)前服務(wù)器

當(dāng)前的命名上下文

select operation target: list servers for domain in site - 列出所選域和站點(diǎn)中的服務(wù)器(找到兩個：0-abc.mstc.com ；1-ctu. mstc.com)

找到 2 服務(wù)器

0-CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

1-CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

select operation target: select server 0 - 將標(biāo)識為 0 的服務(wù)器（abc ）定為所選服務(wù)器——也就是要刪除的DC

站點(diǎn) - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com 域 - DC= mstc,DC=com

服務(wù)器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

DSA 對象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主機(jī)名稱 - abc.mstc.com

計(jì)算機(jī)對象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com

當(dāng)前的命名上下文

select operation target: quit - 返回上一層目錄

metadata cleanup: remove select server - 從所選服務(wù)器上刪除 DS 對象

在彈出的對話提示框上選擇“是”，

“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”刪除了，從服務(wù)器“ctu ”

現(xiàn)在，abc.mstc.com 這個Dc 對象就在你的AD 里消失了.

用ntdsutil 來清除無效的DC 信息

主dc

癱瘓的話, 用轉(zhuǎn)移角色應(yīng)該是不行的, 應(yīng)該要要使用 Ntdsutil 實(shí)用工具捕獲 FSMO 角色, 具體步驟參考:

現(xiàn)在加入我的srv1.b.com 的域控制器壞了，我在srv2.b.com 上面清除srv1的信息。

下面是整個過程的截圖

備注：

1. 利用ntdsutil 工具把第2臺DC 的殘留信息刪除

2. 利用adsiedit.msc 刪除沒用的信息

3. 進(jìn)入活動目錄站點(diǎn)與服務(wù)，刪除相應(yīng)的站點(diǎn)與服務(wù)

4. 在主域控制器的dsa.msc 的domain controllers里刪除沒有用的DC *完成以上步驟就可以徹底刪除域內(nèi)殘留的DC 信息*

如何清除域中無效的DC 信息

在實(shí)際操作和試驗(yàn)中收集了各種ntdsutil 的使用技巧, 特總結(jié)一下, 給大家看看!

1． 用ntdsutil 來清除無效的DC 信息！

假如你的備份域?yàn)閍bc.mstc.com 主域?yàn)閏tu.mstc.com, 現(xiàn)在備份域壞了。那么你在裝有super tools的主控域上執(zhí)行如下命令：

C:>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服務(wù)器的對象

metadata cleanup: select operation target - 選擇的站點(diǎn)，服務(wù)器，域，角色和命名上下文

select operation target: connections - 連接到一個特定域控制器 server connections: connect to server ctu.mstc.com --綁定到 ctu. 用本登錄的用戶的憑證連接 ctu。

server connections: quit - 返回上一層目錄

select operation target: list site - 在企業(yè)中列出站點(diǎn)(找到1個站點(diǎn)，標(biāo)識為0)

找到 1 站點(diǎn)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com select operation target: select site 0 - 將標(biāo)識為 0 的站點(diǎn)定為所選站點(diǎn) 站點(diǎn) -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com 沒有當(dāng)前域

沒有當(dāng)前服務(wù)器

當(dāng)前的命名上下文

select operation target: list domains - 列出所有包含交叉引用的域 找到 1 域

0 - DC= mstc,DC=com

select operation target: select domain 0 - 將標(biāo)識為 0 的域定為所選域 站點(diǎn) - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

域 - DC= mstc,DC=com

沒有當(dāng)前服務(wù)器

當(dāng)前的命名上下文

select operation target: list servers for domain in site - 列出所選域和站點(diǎn)中的服務(wù)器(找到兩個：0-abc.mstc.com ；1-ctu. mstc.com)

找到 2 服務(wù)器

0 -

CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

1 -

CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

select operation target: select server 0 - 將標(biāo)識為 0 的服務(wù)器（abc ）定為所選服務(wù)器——也就是要刪除的DC

站點(diǎn) -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com 域 - DC= mstc,DC=com

服務(wù)器 -

CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

DSA 對象 - CN=NTDS

Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主機(jī)名稱 - abc.mstc.com

計(jì)算機(jī)對象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com

當(dāng)前的命名上下文

select operation target: quit - 返回上一層目錄

metadata cleanup: remove select server - 從所選服務(wù)器上刪除 DS 對象 在彈出的對話提示框上選擇“是”，

“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”刪除了，從服務(wù)器“ctu”

現(xiàn)在，abc.mstc.com 這個Dc 對象就在你的AD 里消失了.

2．用ntdsutil 來轉(zhuǎn)移fsmo 五種角色。

當(dāng)您運(yùn)行Dcpromo.exe 程序并安裝 AD 時，將向目錄林中的第一個域控制器授予五個 FSMO 角色。其中有兩個 FSMO角色是目錄林范圍的，另外三個是域范圍的。如果創(chuàng)建了子域，兩個目錄林范圍的角色將不會更改。一個具有兩個域的目錄林將有八個FSMO ；其中兩個是目錄林范圍的角色，每個域各有三個特定于域的 FSMO 角色。這五個角色是schema master-架構(gòu)主機(jī)，Domainnaming master-域命名主機(jī)，Rid master-rid主機(jī)，pdc master-pdc防真器，

InfrastructureMaster-結(jié)構(gòu)主機(jī)。想要把這幾種角色移動到另一臺計(jì)算機(jī)上有2種方法，一種是轉(zhuǎn)移，但必須2臺計(jì)算機(jī)處于正常運(yùn)行狀態(tài)。如果有其中某臺處于離線狀態(tài)只能用第二種方法，使用ntdsutil 工具來強(qiáng)制獲取這些角色?，F(xiàn)在如果你的主控壞了這些角色也都在主控上，請?jiān)谘b有supporttools 工具新的域控或備份域控上執(zhí)行如下命令：首先在CMD 下運(yùn)行

netdom query /d:域名 fsmo

查看一下當(dāng)前哪些角色在哪臺服務(wù)器上，

然后在CMD 下運(yùn)行

"ntdsutil" 如果不知道命令怎么寫，可以輸入？得到幫助提示，

"roles"

"connections"

"connect to server 服務(wù)器名" 綁定一臺當(dāng)前在線的DC

當(dāng)連接成功后輸入 q 退出

回到上一層（roles ）準(zhǔn)備做角色遷移

"Seize schema master"

"Seize domain naming master"

"Seize RID master"

"Seize PDC"

"Seize infrastructure master"

以上五個命令，分別用作遷移上面所提到的5個角色到我們之前綁定的服務(wù)器上。

完成后再次回到CMD 下執(zhí)行"netdom query /d:域名 fsmo"，檢查角色是否已被遷移

在“常規(guī)”選項(xiàng)卡上，找到全局編錄復(fù)選框以查看其是否選中。如果正常就說明角色轉(zhuǎn)換已成功。

3．微軟提供了NTDSUtil 這個工具可以對AD 數(shù)據(jù)文件進(jìn)行下線碎片整理操作. 由于微軟已經(jīng)提供了這整個操作過程的說明, 所以在這里我只稍微重復(fù)一下, 再加上一些額外的說明以避免大家犯一些不必要的災(zāi)難性錯誤, 因?yàn)檫@是一個很關(guān)鍵的操作, 一旦出錯將是災(zāi)難性的.

1. 用必要的備份軟件備份你即將要操作的每一架DC, 如果沒有專業(yè)的備份軟件用NTBackup 也可以.

2. 重啟DC 按F8鍵進(jìn)入目錄服務(wù)恢復(fù)模式以進(jìn)行對AD 的操作.

3. 如果硬盤還有足夠的空間那么請?jiān)俅蝹浞莓?dāng)前的ntds.dit 文件, 把它拷貝到一個臨時文件夾內(nèi)作為備份直到所有的整理工作成功完成. 記住, 不要重新命名文件, 否則整個壓縮過程不可能完成.

4. 在命令行下鍵入以下的命令:

a) Ntdsutil

b) Files

c) Info (記下當(dāng)前ntds.dit 的路徑.)

d) 鍵入 compact to "c:compact" 以把經(jīng)過壓縮處理的ntds.dit 文件放置到這個文件夾中保存, 如果這個文件不存在,Ntdsutil 會自動建立一個(這個文件夾可以是任意名字).

5. 如果要退出Ntdsutil 的界面, 請連續(xù)兩次鍵入下面的命令:

a) quit

b) quit

6. 用在c:compact文件夾下已經(jīng)經(jīng)過壓縮后的ntds.dit 覆蓋當(dāng)前的ntds.dit.

7. 刪除在AD 數(shù)據(jù)庫文件文件夾下的所有.log 文件.

8. 重新正常啟動DC.

9. 再次備份整理后的DC, 如果一切正常, 你就可以把剛才復(fù)制備份的ntds.dit 刪除了.

4. 查找和清理（或刪除）重復(fù)的安全標(biāo)識符 (SID)

如何檢查是否有重復(fù)的 SID

1. 在 Ntdsutil 命令提示符下，鍵入 security account management，然后按 ENTER 鍵。

2. 在 Security Account Maintenance 命令提示符下，鍵入 connect to server 服務(wù)器的 DNS 名稱，然后按 ENTER 鍵。連接到存儲著您的 SAM 數(shù)據(jù)庫的服務(wù)器。

3. 在 Security Account Maintenance 命令提示符下，鍵入 check duplicate sid ，然后按 ENTER 鍵。將顯示重復(fù)的 SID。

如何清理重復(fù)的 SID

1. 在 Ntdsutil 命令提示符下，鍵入 security account management，然后按 ENTER 鍵。

2. 在 Security Account Maintenance 命令提示符下，鍵入 connect to server 服務(wù)器的 DNS 名稱，然后按 ENTER 鍵。連接到存儲著您的 SAM 數(shù)據(jù)庫的服務(wù)器。

3. 在 Security Account Maintenance 命令提示符下，鍵入 cleanup duplicate sid ，然后按 ENTER 鍵。Ntdsutil 將確認(rèn)刪除重復(fù)的 SID。

4. 在 Security Account Maintenance 命令提示符下，鍵入 q，然后按 ENTER 鍵。

5. 完成 Ntdsutil 下的操作后，鍵入 q，然后按 ENTER 鍵。

6. 使用 Ntdsutil 實(shí)用工具將 IP 地址添加到 IP 拒絕列表.

如何向拒絕列表添加 IP 地址

1. 在 Ntdsutil 命令提示符下，鍵入 IPDeny List，然后按 ENTER 鍵。

2. 在 IP Deny List 命令提示符下，鍵入 connections，然后按 ENTER 鍵。

3. 在 server connections 命令提示符下，鍵入 connect to server 服務(wù)器的 dns 名稱，然后按 ENTER 鍵。

備注：請連接到您正在使用的服務(wù)器。

4. 在 Server connections 命令提示符下，鍵入 q，然后按 ENTER 鍵返回到先前的菜單。

5. 在 IP Deny List 命令提示符下，鍵入 add IP 地址掩碼，然后按 ENTER 鍵。 如果您正在單節(jié)點(diǎn)環(huán)境中工作，可將“node”用作掩碼變量。

6. 在 IP Deny List 命令提示符下，鍵入 commit，然后按 ENTER 鍵提交所作的更改。

如何驗(yàn)證添加的項(xiàng)

1. 在 IP Deny List 命令提示符下，鍵入 Show，然后按 ENTER 鍵。 將顯示所有被拒絕的 IP 地址的列表。

2. 在 IP Deny List 命令提示符下，鍵入 q，然后按 ENTER 鍵。

3. 在 Ntdsutil 命令提示符下，鍵入 q，然后按 ENTER 鍵退出 Ntdsutil。

6. 重設(shè)DSRM 密碼

1. “開始” - “運(yùn)行” - “CMD”

2. ntdsutil

3. 在“ntdsutil:”提示符下輸入“set DSRM Password”

4. 在“重置DSRM 管理員密碼：”提示符下輸入“Reset Password on server ”，其中是想修改DSRM 管理員密碼的服務(wù)器名。

5. 在“請鍵入DS 還原模式管理員賬戶的密碼：”提示符下輸入新的密碼。

6. 確認(rèn)新的密碼。

7. 設(shè)置密碼成功，工具回到“重置DSRM 管理員密碼：”提示符。

8. 輸入“quit”返回到ntdsutil 命令提示符。

9. 如果不需要執(zhí)行其他ntdsutil 操作，再次輸入“quit”退出ntdsutil 工具。