引言： 在管理AD DS域服務時，常遇到無法登錄域環(huán)境、軟件安裝失敗等情況。利用系統(tǒng)內(nèi)置的“Ntdsutil”命令，可以有效解決上述問題。作為活動目錄數(shù)據(jù)庫管理的命令行工具，“Ntdsutil”命令主要用于維護Active Directory數(shù)據(jù)庫、管理和控制操作主機、清理Active Directory數(shù)據(jù)庫中的垃圾數(shù)據(jù)等功能。

創(chuàng)建額外域控制器

當域控制器出現(xiàn)故障但依然可用的情況下，可以先將出現(xiàn)故障的服務器設(shè)置為額外域控制器，而將額外域控制器升級為主域控制器。在域環(huán)境中，僅僅有一臺域控制器是不夠的，為此，可以創(chuàng)建一臺運行AD DS域服務，與域控制器并行的額外域控制器。在AD DS域服務器出現(xiàn)問題時，可以接管其Active Directory的管理工作。例如，可以在一臺Windows Server 2008獨立服務器上打開“系統(tǒng)屬性”窗口，在“計算機”面板中點擊“更改”按鈕，在彈出窗口中選擇“域”項，輸入域名，點擊“確定”按鈕，重啟系統(tǒng)，以域管理員身份登錄。

點 擊“Win+R” 鍵， 執(zhí)行“Dcpromo.exe”程 序，在Directory域服務安裝向?qū)Ы缑嬷羞B續(xù)點擊“下一步”按鈕，在“選擇某一部署配置”窗口中選擇“向現(xiàn)有的域添加域控制器”項，在“下一步”窗口中的“鍵入位于計劃安裝此域控制器的林中任何域的名稱”欄中輸入域名，點擊“下一步”按鈕，在網(wǎng)絡(luò)憑據(jù)窗口中輸入該域的管理員和賬戶和密碼。連續(xù)點擊“下一步”按鈕，依次選擇目標域和站點項目，并根據(jù)需要選擇DNS服務器和全局編錄項目。

注意，如果部署的是只讀域控制器，則不要選擇全局編錄項目。對于部署額外控制器來說，最好選擇DNS服務器項。

根據(jù)實際的網(wǎng)絡(luò)規(guī)劃，來確定是否將額外控制器升級為全局編錄服務器。當部署完畢后，使用Active Directory站點和服務程序，將額外域控制器升級為全局編錄控制器。點擊“下一步”按鈕，將數(shù)據(jù)庫文件夾、日志文件、SYSVOL文件夾分別存儲到不同的磁盤中。在下一步窗口中輸入用于目錄還原模式的Administrator密碼。當然，該密碼必須符合密碼強制策略。之后連續(xù)點擊“下一步”按鈕，執(zhí)行額外域控制器的安裝操作。完畢后重啟系統(tǒng)，完成額外控制器的部署。

將額外域控制器提升為全局邊路服務器

當發(fā)現(xiàn)上述故障時，以域管理員身份登錄額外域控制器，打開Active Directory站點和服務窗口，在左側(cè)點擊“Sites→Default-First-Site-Name→Servers→額外域控制器名稱”項，在右側(cè)的“NTDS Settings”項右鍵菜單上點擊“屬性”項，在“常規(guī)”面板（如圖1）的“查詢策略”列表中選擇“Default Query Policy”項，勾選“全局編錄”項。點擊“確定”按鈕保存配置信息。因為主域控制器處于可用狀態(tài)，因此打開Active Directory用戶和計算機窗口，在左側(cè)的“Active Directory用戶和計算機”項的右鍵菜單上點擊“更改域控制器”項，在彈出窗口中選擇“此域控制器或AD LDS實例”項，在列表中選擇所需的額外控制器，點擊“確定”按鈕，保存設(shè)置信息。

轉(zhuǎn)移操作主機角色

在CMD窗口中執(zhí)行“ntdsutil”命令，依次執(zhí)行“roles”，“connections”，“connect to server xxx.xxx.com” 命 令（如 圖 2）。連接到額外域控制器上，假 設(shè)“xxx.xxx.com”為 其名稱。執(zhí)行“quit”命令，返回上級目錄。在“fsmo maintenance”提示符下執(zhí)行“Transfer schema master”命令，在角色傳送確認對話框中點擊“是”按鈕，將架構(gòu)主機角色轉(zhuǎn)移到額外域控制器中。執(zhí)行分別執(zhí)行“transfer infrastructure master”，“transfer naming master”，“transfer PDC”，“transfter RIP master”等命令，執(zhí)行傳送架構(gòu)主機角色、域命名主機角色、PDC主機角色、RID主機角色等操作。在CMD窗口中執(zhí)行“netdom query fsmo”命令，可以查看操作主機角色部署在哪臺域控制器中。經(jīng)過以上操作，原主域控制器自動降級為額外域控制器。

圖1 查看NTDS設(shè)置承諾書

圖2 運行ntdsutil命令

將原域控降為成員服務器

以管理員身份登錄該域控制器，在CMD窗口中執(zhí)行“dcpromo.exe”程序，在Active Directory域服務安裝向?qū)Ы缑嬷悬c擊“下一步”按鈕，在彈出提示窗口中點擊“是”按鈕，在刪除域窗口中不選擇“刪除該域，因為此服務器是該域中最后一個域控制器”項，在下一步窗口中輸入該服務器上新的Administrator賬戶密碼，密碼必須包含大小寫字母和數(shù)字，長度大于7位。之后點擊“完成”按，重新啟動系統(tǒng)，該機將降級為成員服務器。

恢復域控制器

當?shù)卿浐蟀凑丈鲜龇椒?，在系統(tǒng)屬性窗口中選擇“工作組”項，輸入工作組名稱（例如“WORKGROUP”），點擊確定按鈕，輸入對應的賬號名和密碼，其必須擁有從域中刪除此計算機的權(quán)限。點擊“確定”按鈕，然后重啟系統(tǒng)，就可以脫離域環(huán)境。之后在該機上執(zhí)行重裝Windows Server 2008，并按照上述方法，提升為額外域控制器，根據(jù)需要升級為主域控制器，并利用Windows Server Backup組件來恢復之前備份的Active Directory數(shù)據(jù)庫，這樣，就可以將AD域控制器恢復到正常狀態(tài)了。

域控徹底損壞的修復方法

如果域控制器已經(jīng)徹底損壞無法恢復，可以將額外域控制器直接升級為域控制器。以域管理員身份登錄到額外域控制器上，在CMD窗口執(zhí)行以上命令，連接到目標域，在“fsmo maintenance：”提示符下執(zhí)行“seize schema master”命令，在彈出的角色占用確認窗口中點擊“是”按鈕，執(zhí)行占用架構(gòu)主機角色操作。完畢后依次執(zhí)行“seize infrastructure master”，“seize naming master”，“seize PDC”，“seize RIP master”命令，分別執(zhí)行占用架構(gòu)主機角色、域命名主機角色、PDC主機角色、RID主機角色等操作。之后按照上述方法，將額外控制器提升為全局編錄服務器，恢復管理活動目錄數(shù)據(jù)庫的功能。

清理域控制器的垃圾數(shù)據(jù)

在維護和管理Active Directory數(shù)據(jù)庫時，有時會遇到誤操作、系統(tǒng)故障或者硬件受損的情況，可能在Active Directory數(shù)據(jù)庫中產(chǎn)生垃圾數(shù)據(jù)，當在多臺域控制器之間復制數(shù)據(jù)時，將會產(chǎn)生一些錯誤的信息。因此，及時將Active Directory數(shù)據(jù)庫中垃圾數(shù)據(jù)清理掉，對于維護其運作是很重要的。

例如，當某臺域控制器出現(xiàn)損壞時，就需要從Active Directory數(shù)據(jù)庫中清除由此產(chǎn)生的錯誤信息。在CMD窗口中執(zhí)行“Ntdsutil”命令，在“ntdsutil：”提 示符下依次執(zhí)行“metadata cleanup”、“ select operation target”、“connections” 命 令，在“server connections：”提示符下執(zhí)行“connect to server xx.xxx.com”命令。連接到名為“xx.xxx.com”的域控制器中。

為了順利實現(xiàn)連接操作，不要使用IP連接，因為這可能出現(xiàn)連接參數(shù)不正常的問題。在“server connections：”提示符下執(zhí) 行“metadata cleanup:quit”命令，執(zhí)行完畢后，在“metadata cleanup：”提示符下執(zhí)行“l(fā)ist site”命令，顯示所有可用的站點項目。根據(jù)需要選擇發(fā)生故障的域控制器所在站點的索引號。

例 如， 執(zhí) 行“select site 0”命令，表示選擇索引號為0的站點。執(zhí)行“l(fā)ist domains”命令，顯示所有可用的域。選擇發(fā)生故障的域控制器所在域。例如執(zhí)行“select domain 0”命 令，選擇索引號為0的域。執(zhí)行“l(fā)ist servers for domain in site”命令，列出該域中所有的域控制器。

從中選擇需要清理垃圾數(shù)據(jù)的域控制器對應的索引號，例如執(zhí)行“select server 1”命令，選擇索引號為1的目標域控制器。執(zhí)行“quit”命令，返回上級目錄。在“metadata cleanup：”提示符下執(zhí)行“remove select server”命令，在服務器刪除確認對話框中點擊“是”按鈕，對選定的發(fā)生故障的域控制器執(zhí)行垃圾數(shù)據(jù)清理操作。如果清除的是Server對象，需要在Active Directory站點和服務窗口中打開目標站點，刪除對應的Server對象。在Active Directory用戶和計算機窗口中打開名為“Doamin Control”的組織單元，在其中刪除對應的域控制器對象。如果清理的是Domain對象，需要打開Active Directory域和信任關(guān)系程序，刪除對應的已經(jīng)失效的信任關(guān)系。

清理安全標識符

當系統(tǒng)出現(xiàn)故障時，使用實現(xiàn)準備的備份文件，可以快速恢復系統(tǒng)。不過，這也會造成系統(tǒng)使用的安全標識符SID與之前的系統(tǒng)相同，在Active Directiry數(shù)據(jù)庫中會出現(xiàn)重復的SID，造成相關(guān)主機登錄失敗的情況。

SID（Securoty Identifiers，安全標識符）是系統(tǒng)標識用戶，組和計算機賬戶的惟一號碼。 在Windows內(nèi) 部，每個賬號具有一個惟一的SID。打開注冊表編輯器，選中“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList”分支，在其下可以看到所有賬戶的SID號。

清除活動目錄數(shù)據(jù)庫中重復SID的方法是，打開CMD窗口，執(zhí)行“ntdsutil”命令，之后執(zhí)行“security account management”命令，在“安全策略賬戶維護：”提示符下執(zhí)行“connect to server xx.xxx.com”命令，連接到目標域中。依次執(zhí)行“check duplicate sid”，“clean duplicate sid”命令，可以將當前活動目錄數(shù)據(jù)庫中重復的SID清理掉完。完畢后連續(xù)執(zhí)行“quit”命令，退出“ntsdutil”操作界面。