24.2 AD域2019:传争夺操作主控、域控管理工具ntdsutil

24.2 AD2019:传争夺操作主控、域控管理工具ntdsutil

域控管理工具ntdsutil

1ntdsutil.exe工具:是一个为 Active Directory 提供管理设施的命令行工具。

我们可使用 Ntdsutil.exe 执行 Active Directory 的数据库维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除由未使用 Active Directory 安装向导 (DCPromo.exe) 成功降级的域控制器留下的元数据。

1)用ntdsutil来清除无效的DC信息;

场景1:加入备份域为abc.mstc.com ;主域为ctu.mstc.com,现在备份域坏了,可在主域上对备用域信息进行清理

场景2:升级GC全局编录,原域控信息未清理干净,导致升级失败,可用此工具清理

 

示例1

ntdsutil: metadata cleanup - //清理不使用的服务器的对象

metadata cleanup: select operation target //选择的站点,服务器,域,角色和命名上下文

select operation target: connections //连接到一个特定域控制器

server connections: connect to server ctu.mstc.com //绑定到 ctu域控,用本登录的用户的凭证连接 ctu

server connections: quit - 返回上一层目录

 

如果域主控挂了,所以其他域控制器强制成为主控。

1)拔掉dc01.zh-cjh.local主控的网线,模拟故障

1.png

2)主动切换

备注:连接到的是新的主控,connect to server 新主控

ntdsutil

roles

connections

connect to server dc02.zh-cjh.local

quit

?

seize PDC

seize RID master

seize naming master

seize schema master

seize infrastructure master

1.png

这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”。

 

seize PDC

1.png

2.png

结果:pdc角色已经抢占过来。

1.png

seize RID master

seize naming master

1.png

2.png

seize schema master

1.png

2.png

seize infrastructure master

1.png

FSMO 传送成功 - 不需要索取。

1.png

netdom query /d:域名 fsmo //查看一下当前哪些角色在哪台服务器上,

1.png

强制传送结构主机:

netdom query /d:域名 fsmo //查看一下当前哪些角色在哪台服务器上,

1.png

如上图所示:5个角色已全部传送完成。

 

打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开PDC,右击NTDS Settings选择属性:

在"全局编目"前面打勾,单击"确定"按钮,然后重新启动服务器。

1.png

2.png

如果这时候,原来的控制器又好了呢,模拟下,把原来的主控的网线又插上会怎样呢?

结果:原来的主控自己也认可新的主控。

 

在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。

 

处理方法:

从AD中清除主域控制器对象

在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作

设置额外域控制器为GC(全局编录)

重新安装并恢复损坏主域控制器

 

查看五大角色的命令:netdom query fsmo

netdom query /d:域名 fsmo //查看一下当前哪些角色在哪台服务器上,

 

删除无用的主域控:

1.必须使用域超级管理员账户(administrator)

2.管理工具--active directory 站点和服务--找到坏的那台域控服务器--NTDS Settings里面的所有内容删除--删除服务器站点

3.打开活动目录和计算机--domain controllers--删除已坏的主域控计算机。

 

使用Ntdsutil争夺角色

在essBDC上使用命令行工具ntdsutil争夺RID主控。断开essDC的网络连接。模拟ess出现故障。

为使用ntdsutil命令来争夺操作主控角色,请执行下列步骤:

1.在run文本框中键入cmd然后按回车键。

2.在命令提示符下,键入ntdsutil。

3.在ntdsutil提示符下,键入roles。

4.在fsmo maintenance提示符下,键入connections。

5.在server connections提示符下,键入connect to server essBDC.ess.com。

6.在server connections提示符下,键入quit。

7.在fsmo maintenance提示符下,输入?,回车,可以看到该提示符下可用的命令。

8.在fsmo maintenance提示符下,键入下列命令之一 以争夺适当的操作主控:

seize RID master

seize PDC

seize schema master

seize infrastructure master

seize naming master

 

请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于主域E-copa已经离线了,所以要用“Seize”



AD域活动目录服务(列表、list、全)adlist
http://www.zh-cjh.com/wenzhangguilei/2468.html
WindowsServer2019 AD域服务(列表、list、全)adlist
http://www.zh-cjh.com/wenzhangguilei/2085.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 24.2 AD域2019:传争夺操作主控、域控管理工具ntdsutil

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!