Ntdsutil Ntdsutil.exe — средство командной строки, предоставляющее средства управления для Active Directory. С помощью программы Ntdsutil.exe можно осуществлять поддержку Active Directory базами данных, управление и контроль над операциями с единственным хозяином, а также удаление метаданных, оставленных контроллерами домена, которые были некорректно удалены из сети. Этот инструмент предназначен для использования опытными администраторами.
Принудительное восстановление Восстанавливает контроллеры домена на определенный момент времени и отмечает объекты в Active Directory как управляющие по отношению к своим партнерам репликации. В лесах с функциональным уровнем Windows Server 2003 или промежуточным функциональным уровнем Windows Server 2003 этот параметр также восстанавливает обратные ссылки для ссылок, созданных после повышения функционального уровня. (Например, обновляются атрибуты членов групп, к которым принадлежит восстановленный объект пользователя.) На контроллерах домена, на которых работает версия Ntdsutil из комплекта программ поддержки Windows, поставляемых вместе с Windows Server 2003 с пакетом обновления 1 (SP1), принудительное восстановление создает файл LDIF (формат обмена данными LDAP), с помощью которого можно восстанавливать обратные ссылки для ссылок, созданных перед повышением функционального уровня.
В командной строке authoritative restore: введите любой из параметров, перечисленных в разделе Синтаксис.
Доступен в версии Ntdsutil, входящей в комплект Windows Server 2003 SP1. Этот параметр создает файл LDIF, или файл обновлений ссылок, из созданного Ntdsutil текстового файла, имя которого указано в параметре %s. С помощью этого файла можно обновить обратные ссылки на объекты в домене, отличном от домена восстанавливаемого объекта. Например, с помощью этого файла можно восстановить членство в группе для пользователя в случае, если группа и пользователь относятся к разным доменам.
restore database
Отмечает весь файл Ntds.dit (разделы каталога домена и конфигурации, управляемые контроллером домена) как управляющий. Схему нельзя принудительно восстановить.
restore database verinc %d Отмечает весь файл Ntds.dit (разделы каталога домена и конфигурации, управляемые контроллером домена) как управляющий и увеличивает номер версии на число дней после резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
%d Числовое значение, используемое вместо значения по умолчанию 100 000. Номер версии принудительно восстановленных объекта или базы данных увеличивается на это значение, умноженное на число дней, прошедшее с момента резервного копирования.
restore object %s Отмечает объект %s как управляющий. При использовании версии Ntdsutil, входящей в комплект Windows Server 2003 SP1, этот параметр также создает текстовый файл, который содержит различающееся имя восстанавливаемого объекта и файл LDIF, с помощью которого можно восстанавливать обратные ссылки для принудительно восстановленных объектов (например, членство пользователей в группах).
restore object %s verinc %d Отмечает объект %sкак управляющий и обновляет ссылки так же, как указано в описании параметра restore object %s, а также увеличивает номер версии на число дней с момента резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
restore subtree%s Отмечает поддерево %s (и все дочерние элементы поддерева) как управляющие. При использовании версии Ntdsutil, входящей в комплект Windows Server 2003 SP1, этот параметр также создает текстовый файл, который содержит различающиеся имена восстанавливаемых объектов и файл LDIF, с помощью которого можно восстанавливать обратные ссылки для принудительно восстановленных объектов (например, членство пользователей в группах).
restore subtree%sverinc%d Отмечает поддерево %s (и все дочерние элементы поддерева) как управляющие и обновляет ссылки так же, как указано в описании параметра restore subtree %s, а также увеличивает номер версии на число дней с момента резервного копирования, умноженное на %d. Используйте этот параметр только для принудительного восстановления после предыдущего неверного принудительного восстановления, например в случае принудительного восстановления резервной копии, содержащей неполадку, которую требуется восстановить.
%s Алфавитно-цифровая переменная, которая представляет собой либо различающееся имя восстанавливаемого объекта или поддерева, либо имя текстового файла, на основе которого создается файл LDIF.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Примечания • Режим восстановления контроллера домена с помощью программ архивации и восстановления, например программы Ntbackup или аналогичных программ других поставщиков, по умолчанию непринудительный. Это значит, что восстанавливаемый сервер приводится к текущему состоянию со своими репликами с помощью обычного механизма репликации. Например, если контроллер домена восстановлен из архива, который хранится на физическом носителе в течение двух недель, то при перезапуске обычный механизм репликации приводит контроллер домена к текущему состоянию в соответствии с его партнерами репликации.
• Принудительное восстановление можно производить в случае, если администратор случайно удалит подразделение, содержащее большое число пользователей. При случайном удалении подразделения восстановление сервера с физического носителя нельзя произвести с помощью обычного процесса репликации. Команда Authoritative restore позволяет отметить подразделение как управляющее и принудить процесс репликации восстановить его на всех контроллерах домена в данном домене.
Configurable settings С помощью этой команды можно изменять срок жизни (TTL) динамических данных, размещенных в Active Directory. На приглашение командной строки configurable setting введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис (cancel changes|connections|list|set %s to %s|show values)
Параметры cancel changes
Сбрасывает изменения, которые еще не были зафиксированы.
connections Открывает подменю server connections.
list Отображает список поддерживаемых настраиваемых параметров.
set%sto%s Присваивает параметру %s1 значение %s2.
show values Отображает значения настраиваемых параметров.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Domain management Позволяет администраторам, входящим в группу администраторов, подготавливать серверные и составные справочные объекты в каталоге. На приглашение командной строки domain management введите любой из параметров, перечисленных в разделе Синтаксис.
Добавляет контроллер домена %s2 в набор реплик для раздела каталога приложений %s1. Если не указано значение %s2, по умолчанию используется контроллер домена, с которым имеется подключение.
connections Открывает подменю Server connections.
create nc%s %s Создает раздел каталога приложений %s1 на контроллере домена %s2. Если не указано значение %s2, используется текущее подключение к контроллеру домена. Чтобы не указывать аргумент, введите (NULL).
remove nc replica%s %s Удаляет контроллер домена %s2 из набора репликаций для раздела каталога приложений %s1. Если не указано значение %s2, используется текущее подключение к контроллеру домена.
list Отображает список всех известных контекстов именования — контекстов именований схем и конфигураций, а также всех доменных контекстов именования.
list nc information%s Выводит на экран домен ссылок и задержки репликаций для раздела каталога приложений.
list nc replicas%s Отображает список контроллеров домена в наборе репликаций для раздела каталога приложений %s. Следует учесть, что этот список может содержать реплики раздела каталога приложений, которые не обязательно полностью реплицированы.
precreate%s %s Создает объект перекрестной ссылки для домена %s1, позволяя повысить сервер %s2 до контроллера домена в данном домене. Доменное имя необходимо указать, используя полное составное имя, а имя сервера — используя полное имя DNS.
delete nc%s Удаляет раздел каталога приложений %s. Перед удалением раздела каталога приложений необходимо удалить все реплики, а их удаление реплицировать назад на хозяина именования домена.
set nc reference domain%s %s Устанавливает домен ссылок для раздела каталога приложений %s1 как домен %s2. Имя домена %s2 необходимо указать в формате доменных имен DNS. Пример: widgets.microsoft.com.
set nc replicate notification delay%s %d %d Устанавливает задержки уведомления %s раздела каталога приложений. Задержка между уведомлениями первого контроллера домена об изменениях принимает значение %d1, а задержка между уведомлениями остальных контроллеров домена об изменениях — значение %d2.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
%d Числовая переменная, например время задержки репликации.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Files Предоставляет команды для управления данными службы каталогов и файлами журналов. Имя файла данных — Ntds.dit. На приглашение командной строки files: введите один из параметров, перечисленных в разделе Синтаксис.
Синтаксис (compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s)
Запускает программу Esentutl.exe, чтобы произвести сжатие существующего файла с данными, а затем записывает сжатый файл в указанную папку. Папка может быть удаленной. Ее можно подключить командой net use или другим аналогичным способом. После завершения сжатия следует сохранить в архив старый файл данных и заменить его новым сжатым файлом данных. Команда ESENT поддерживает удаленное сжатие, однако при этом только меняется порядок страниц в файле данных, и после сжатия пространство на диске не освобождается. (Служба каталогов регулярно проводит удаленное сжатие файлов).
header Выводит на экран заголовок файла данных Ntds.dit. Эту команду используют сотрудники службы технической поддержки при анализе неполадок в базе данных.
info Анализирует и создает отчеты о свободном пространстве на дисках, установленных в системе, а также считывает данные реестра и создает отчеты о размерах файлов данных и файлов журналов. (Служба каталогов обслуживает раздел реестра, в котором содержатся данные о расположении файлов данных, файлов журналов и рабочей папки службы каталогов).
integrity Запускает программу Esentutl.exe для выполнения проверки целостности файла с данными. С ее помощью в базе данных можно обнаружить любое повреждение низкого уровня. Программа считывает каждый байт файла данных; поэтому может потребоваться много времени для обработки больших баз данных. Отметьте, что перед выполнением проверки целостности всегда необходимо выполнять восстановление.
move DB to%s (где %s — каталог назначения) Перемещает файл данных Ntds.dit в новый каталог, определяемый параметром %s и обновляет реестр. После перезапуска служба каталогов использует это новое расположение.
move logs to%s(где%s — каталог назначения) Перемещает файлы журналов службы каталогов в новую папку %s и обновляет реестр. После перезапуска системы служба каталогов использует это новое расположение.
recover Запускает программу Esentutl.exe для выполнения мягкого восстановления базы данных. При мягком восстановлении производится сканирование файлов журналов и проверка наличия записей для всех завершенных транзакций. Программа архивации операционной системы Windows 2000 при необходимости очищает файлы журналов. Журналы используются для регистрации всех совершенных транзакций и сохраняются в случае сбоя системы или внезапного отключения питания. Следует добавить, что данные транзакций сохраняются сначала в файле журнала, а затем в файле данных. При загрузке после сбоя системы можно заново запустить журнал, чтобы произвести транзакции, которые сохранились в файле журнала, но не сохранились в файле данных.
set path backup%s (где %s — каталог назначения) Устанавливает папку %s как каталог назначения для архивации с диска на диск. Для выполнения удаленной архивации с диска на диск в службе каталогов можно составить расписание.
set path db%s (где %s — каталог назначения) Обновляет часть реестра, в которой указано расположение и имя файла данных. Эту команду следует использовать для восстановления контроллера домена, только если потерян файл данных и не производится восстановление посредством обычных процедур восстановления.
set path logs%s (где %s — каталог назначения) Обновляет часть реестра, в которой указано расположение файлов журналов. Эту команду следует использовать для восстановления контроллера домена, только если потеряны файлы журналов и не производится восстановление посредством обычных процедур восстановления.
set path working dir%s (где %s — каталог назначения) Устанавливает часть реестра, которая определяет рабочую папку службы каталогов, в папку %s.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Внимание!
• Ошибка при изменении реестра может серьезно повредить систему. Перед изменением реестра создайте резервные копии всех важных данных.
Примечания • Служба каталогов Active Directory реализована на основе диспетчера таблиц индексированного метода последовательного доступа (ISAM). Этот диспетчер таблиц используется также сервером Microsoft Exchange, службой репликации файлов, диспетчером настройки системы безопасности, сервером сертификации, службой WINS и другими компонентами Windows. Версия базы данных, которая используется в Windows 2000 и Windows Server 2003, Standard Edition, называется расширяемой системой хранения данных (Extensible Storage Engine, ESENT).
ESENT — система баз данных с транзакциями, использующая файлы журналов для поддержки семантики отката, с помощью которой обеспечивается выполнение транзакций в базу данных. Рекомендуется файлы данных и файлы журналов размещать на разных дисках. Это позволяет повышать быстродействие и, в случае повреждения данных на диске, производить восстановление.
• ESENT имеет собственный инструмент для определенных функций управления файлами баз данных — программу Esentutl.exe, которая установлена также в папке системный_корневой_каталог\System32. Некоторые команды управления файла Ntdsutil запускают программу Esentutl, избавляя от необходимости запоминать ее аргументы командной строки. В этих случаях открывается отдельное окно, в котором можно просматривать журнал большого объема, отображающий все индикаторы выполнения программы Esentutl.
Active Directory открывает файлы в монопольном режиме. Это означает, что файлы недоступны для управления, пока система работает как контроллер домена.
Чтобы управлять файлами службы каталогов
1. Запустите компьютер.
2. При появлении индикатора Запуск Windows нажмите клавишу F8.
3. В меню дополнительных вариантов загрузки Windows 2000 выберите пункт Восстановление службы каталогов.
Примечание • Если запустить компьютер в режиме восстановления службы каталогов, контроллер домена временно будет работать как изолированный сервер. Это приведет к прекращению работы некоторых служб, особенно тех, которые интегрированы со службой каталогов. В этом режиме диспетчер учетных записей безопасности (SAM) использует минимальный набор определений пользователей и групп, хранящийся в реестре. В условиях недостаточной физической безопасности контроллера домена рекомендуется установить административный пароль для режима восстановления службы каталогов.
IPDeny List Запрещает контроллеру домена принимать запросы LDAP от клиентов с указанными IP-адресами. На приглашение командной строки ipdeny list: введите любой из параметров, перечисленных в разделе Синтаксис.
Добавляет запись в список запрещенных IP-адресов. В качестве первого параметра %s1 можно указать компонент узла или компонент сети IP-адреса. Если указан компонент узла, в качестве второго параметра %s2 следует указать NODE; если же указан компонент сети, вторым параметром следует указать маску подсети. См. раздел Пример. Чтобы принять указанные в команде add записи, следует выполнить команду Commit.
cancel Сбрасывает все команды или удаления, которые не были приняты.
commit Принимает все добавления или удаления для объекта политики LDAP.
connections Открывает подменю server connections.
delete%d Удаляет записи с указанным индексом %d. Для просмотра записей с соответствующими индексами служит команда show.
%d Числовая переменная, например время задержки репликации.
show Отображает список запрещенных IP-адресов.
test%s Определяет, разрешен ли доступ к контроллеру домена с IP-адреса %s. Например, если в списке запрещенных IP-адресов указаны адреса с 192.168.100.0 по 255.255.255.0, при тестировании адреса 192.168.100.10 программа выдаст сообщение о том, что доступ запрещен.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Примечания • Аналогично административным ограничениям LDAP список запрещенных IP-адресов всего лишь изменяет объект политики LDAP по умолчанию. Если для контроллера домена или узла, в который он входит, не определена особая политика LDAP, к такому контроллеру применяется политика LDAP по умолчанию.
Примеры Чтобы запретить доступ для узла с адресом 192.168.100.10, следует ввести команду
Add 192.168.100.10 NODE Чтобы запретить доступ для всех узлов сети 192.168.100.0, следует ввести команду
Add 192.168.100.0 255.255.255.0
LDAP policies Устанавливает административные политики LDAP для объекта политики очередей по умолчанию. На приглашение командной строки LDAP policies: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис (cancel changes|commit changes|connections|list|set %s to %s|show values)
Параметры cancel changes
Отмена всех изменений административных ограничений LDAP для политики очередей по умолчанию.
commit changes Применяет все изменения административных ограничений для политики очередей по умолчанию.
connections Открывает подменю Server connections.
list Отображает список всех административных политик LDAP для контроллера домена.
set %s1 to %s2 Устанавливает для административной политики LDAP %s1 значение %s2.
show values Отображает текущие и предполагаемые значения административных политик LDAP.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Примечания • В следующей таблице описаны административные политики LDAP. В круглых скобках указаны значения по умолчанию.
Значение
Описание
InitRecvTimeout
Начальное время ожидания (120 секунд)
MaxConnections
Максимальное количество открытых подключений (5000)
MaxConnIdleTime
Максимальное время простоя соединения (900 секунд)
MaxActiveQueries
Максимальное количество одновременно активных запросов (20)
MaxNotificationPerConnection
Максимальное число уведомлений, которые может запросить клиент, для данного подключения (5)
MaxPageSize
Максимальный размер страницы для ответов LDAP (1000 записей)
MaxQueryDuration
Максимальное время выполнения запроса контроллером домена (120 секунд)
MaxTempTableSize
Максимальный размер временного хранилища, используемого для выполнения запросов (10000 записей)
MaxResultSetSize
Максимальный размер файла с результатами запросов LDAP (262144 байта)
MaxPoolThreads
Максимальное число потоков, созданных контроллером домена для обработки запроса (4 для одного обработчика)
MaxDatagramRecv
Максимальное количество датаграмм, которые контроллер домена может обрабатывать одновременно (1024)
• Для проверки поддержки гарантий уровня обслуживания следует определить операционную политику для некоторых операций LDAP. Эта политика запрещает использовать операции, серьезно ухудшающие производительность сервера, и делает сервер более устойчивым к атакам на службу.
Политики LDAP реализуются с помощью объектов класса queryPolicy. Объекты политики запросов можно создавать в контейнере политик запросов, дочернем элементе контейнера службы каталогов в конфигурации контекста именования. Например: CN=Query-Policies, CN=Directory Service, CN=Windows NT, CN=Services (раздел каталога конфигурации).
Контроллер домена использует следующие три механизма применения политик LDAP.
- • Для контроллера домена может быть указана особая политика LDAP. Объект nTDSASettings включает в себя необязательный атрибут queryPolicyObject, который содержит составное имя политики запросов.
- • Если для контроллера домена не задана особая политика, к нему применяют политику запросов, назначенную узлу контроллера домена. Объект ntDSSiteSettings включает в себя необязательный атрибут queryPolicyObject, который содержит составное имя политики запросов.
- • Если не задана особая политика запросов для контроллера домена или узла, к контроллеру домена применяется политика запросов по умолчанию.
Объект политики запросов содержит многозначные атрибуты LDAPIPDenyList и LDAPAdminLimits. Программа Ntdsutil позволяет администраторам устанавливать административные политики LDAP и список запрещенных IP-адресов для объекта политики запросов по умолчанию.
Metadata cleanup Очищает метаданные поврежденных контроллеров доменов. Когда в отказавшем контроллере домена хранится единственная копия одного или нескольких разделов каталогов доменов или приложений (они также называются контекстами именования), очистка метаданных приводит также к очистке метаданных для выбраных разделов каталогов доменов или приложений. При использовании версии Ntdsutil.exe, входящей в комплект Windows Server 2003 с пакетом обновления 1 (SP1), очистка метаданных также приводит к удалению подключений службы репликации файлов (FRS) и к попытке передать или перехватить все роли хозяина операций, принадлежащие исключенному контроллеру домена.
На приглашение командной строки metadata cleanup: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис (connections|remove selected domain|remove selected naming context|remove selected server|remove selected server %s|remove selected server %s1 on %s2|select operation target)
Параметры Примечание.
• При использовании версии Ntdsutil.exe, входящей в состав Windows Server 2003 SP1, можно удалить метаданные сервера командой remove selected server %s или remove selected server %s on %2, не вызывая предварительно подменю Server connections и Select operation target.
connections Открывает подменю Server connections.
remove selected domain Удаляет метаданные, связанные с доменом, выбранным в подменю Select operation target.
remove selected naming context Удаляет метаданные, связанные с контекстом именования, выбранным в подменю Select operation target.
remove selected server Удаляет метаданные, связанные с сервером, выбранным в подменю Select operation target.
remove selected server %s В версии Ntdsutil.exe, входящей в комплект Windows Server 2003 SP1, эта команда удаляет метаданные каталога и FRS для отказавшего сервера %s из каталога на локальном узле и пытается передать или перехватить все роли хозяина операций, принадлежащие серверу %s , переназначив их локальному узлу.
remove selected server %s1 on %s2 В версии Ntdsutil.exe, входящей в комплект Windows Server 2003 SP1, эта команда подключается к серверу %s2, удаляет метаданные каталога и FRS для сервера %s1 из каталога на сервере %s2 и пытается передать или перехватить все роли хозяина операций, принадлежащие серверу %s1, переназначив их серверу %s2.
quit Возврат в предыдущее меню или выход из программы.
? или help Выводит справку в командной строке.
Примечания • Служба каталогов обслуживает различные метаданные всех доменов и серверов в лесу. Обычно домены и контроллеры доменов создаются посредством повышения роли с помощью мастера установки Active Directory, а удаляются посредством понижения роли с помощью того же инструмента. Чтобы запустить мастер установки Active Directory, в командной строке введите команду dcpromo.
Повышение и понижение роли предназначено для корректного удаления метаданных. Однако в каталоге некоторые контроллеры доменов могут быть списаны некорректно. В этом случае их метаданные не удаляются. Например, контроллер домена дал сбой, и вместо того, чтобы пытаться восстанавливать его, принимается решение удалить сервер. При этом некоторые данные контроллера домена останутся в каталоге. Тогда общая модель действий такова: подключиться к серверу для получения копии метаданных, которые не были удалены, выбрать их и затем удалить метаданные выбранного конечного объекта. Версия Ntdsutil.exe, входящая в состав Windows Server 2003 SP1, может автоматически выполнять подключение к указанному серверу и удалять метаданные выбранного конечного объекта на этом же шаге.
Внимание!
• Не удаляйте метаданные существующих доменов и контроллеров доменов.
Roles Передает и присваивает роли хозяина операций. На приглашение командной строки roles: введите любой из параметров, перечисленных в разделе Синтаксис.
seize domain naming master Присваивает роль хозяина операций именования домена контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize infrastructure master Присваивает роль хозяина операций инфраструктуры контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize PDC Присваивает роль хозяина операций основного контроллера домена контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize RID master Присваивает роль хозяина относительных идентификаторов контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
seize schema master Присваивает роль хозяина операций схемы контроллеру домена, к которому имеется подключение, независимо от данных, связанных с ролью. Используйте только для восстановления.
transfer domain naming master Присваивает контроллеру домена, к которому имеется подключение, роль именования доменов посредством управляемой передачи.
transfer infrastructure master Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций инфраструктуры посредством управляемой передачи.
transfer PDC Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций основного контроллера домена посредством управляемой передачи.
transfer RID master Присваивает контроллеру домена, к которому имеется подключение, роль хозяина относительных идентификаторов посредством управляемой передачи.
transfer schema master Присваивает контроллеру домена, к которому имеется подключение, роль хозяина операций схемы посредством управляемой передачи.
quit Возврат в предыдущее меню или выход из программы.
? или help Выводит справку в командной строке.
Примечания • Несмотря на то что Active Directory поддерживает администрирование с несколькими хозяевами, для некоторых операций можно назначать только одного хозяина. Для операций с несколькими хозяевами разрешение конфликтов означает, что после завершения репликации системы значение данного свойства данного объекта согласовано со всеми репликами. При этом некоторые данные, для которых невозможно произвести разрешение конфликта, являются ключевым для функционирования всей системы. Этими данными управляют индивидуальные контроллеры доменов, которые называются хозяевами операций. Этим контроллерам доменов назначаются отдельные роли хозяев операций.
Ниже перечислены пять ролей хозяев операций. Некоторые из них действуют в пределах всей организации, некоторые — в пределах домена.
- • Хозяин операций схемы. Для всей организации можно назначить одну роль хозяина операций схемы. Эта роль позволяет серверу хозяина операций принимать обновления схемы. Для обновлений схемы существуют другие ограничения.
- • Хозяин относительных идентификаторов. Для домена можно назначить одну роль хозяина относительных идентификаторов. В каждом контроллере домена в домене можно создавать участников безопасности. Каждому участнику безопасности присвоен относительный идентификатор. Каждому контроллеру домена назначен небольшой набор относительных идентификаторов из пула относительных идентификаторов домена. Роль хозяина относительных идентификаторов позволяет контроллеру домена выделять новые подпулы в пуле относительных идентификаторов домена.
- • Хозяин именования домена. Для всей организации можно назначить одну роль хозяина именования доменов. Роль хозяина именования доменов позволяет владельцу определять новые составные справочные объекты, представляющие домены в контейнере разделов.
- • Хозяин операций основного контроллера домена. Для домена можно назначить одну роль хозяина операций основного контроллера домена (PDC). Владелец роли в качестве основного контроллера домена Windows NT 4.0 осуществляет поддержку резервных контроллеров домена и клиентов Windows NT 4.0, используя более ранние версии Windows.
- • Хозяин инфраструктуры. В домене можно назначить только одну роль хозяина инфраструктуры. Владелец этой роли обеспечивает целостность данных объектов с атрибутами, содержащими составные имена других объектов, которые могут присутствовать в других доменах. Поскольку в Active Directory объекты можно перемещать и переименовывать, хозяин инфраструктуры периодически проверяет изменения объектов и обеспечивает целостность данных этих объектов.
• Роли хозяина операций может перемещать только администратор, они не перемещаются автоматически. Следует добавить, что перемещение ролей производится с помощью стандартных средств управления доступом. Поэтому следует очень внимательно контролировать расположение и перемещение ролей хозяев операций в организации. Например, если в организации интенсивно используются информационные технологии, роль хозяина схемы следует присвоить серверу информационного отдела и запретить перемещать ее, настроив соответствующим образом параметры таблицы управления доступом (ACL).
Управление ролями хозяина операций можно осуществлять двумя способами: присвоение и контролируемая передача.
Контролируемую передачу следует использовать, если требуется переместить роль с одного сервера на другой, например для отслеживания изменения политики вследствие изменения расположения роли или сбоя сервера по причине перезагрузки, перемещения или списания.
Присвоение используют, если не требуется восстановление сервера, на котором произошла неполадка. В этом случае даже если сервер будет восстановлен, он фактически уже не будет обладать этой ролью (несмотря на то, что это может быть указано в резервной копии). Сервер не смог бы получить уведомление о передаче роли другому серверу в то время, пока предыдущий хозяин был недоступен вследствие сбоя, а также в ходе восстановления, если бы эта передача роли была произведена. Восстановленный сервер снова может стать владельцем только в том случае, если кворум существующих серверов будет доступен в ходе восстановления, и решение о признании прежнего владельца будет согласовано со всеми серверами.
Подменю «Роли» в программе Ntdsutil служит для выполнения контролируемой передачи и восстановления ролей хозяев операций. Контролируемая передача — простая и безопасная операция. Если работают исходный сервер и сервер назначения, операционная система гарантирует автоматическую передачу маркера роли хозяина операций и соответствующих данных. Присвоение роли хозяина операций тоже простая операция, но менее безопасная. Она осуществляется просто с помощью сообщения определенному контроллеру домена о том, что ему присвоена определенная роль.
Внимание!
• Не производите присвоение серверу роли, если у этой роли в данной сети существует хозяин. Это может вызвать конфликт ключевых данных операционной системы. Если владелец роли хозяина операции временно недоступен, не назначайте эту роль другому контроллеру домена. Это может привести к тому, что два компьютера будут выполнять функции владельца роли, вследствие чего может произойти конфликт важных системных данных.
Security account management Управляет идентификаторами безопасности (SID). На приглашение командной строки security account management: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис (check duplicate SID|cleanup duplicate SID|connect to server %s|log file %s)
Параметры check duplicate SID
Проверяет домены объектов, имеющих одинаковые идентификаторы безопасности.
cleanup duplicate SID Удаляет все объекты, имеющие одинаковые идентификаторы безопасности, и заносит эти сведения в журнал.
connect to server%s Подключается к серверу. В качестве параметра указывается имя NetBIOS или имя узла DNS.
log file%s Задает файл журнала с именем %s. Если имя файла не указано, по умолчанию используется имя Dupsid.log.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit Возврат в предыдущее меню или выход из программы.
? или help Выводит справку в командной строке.
Примечания • Все учетные записи безопасности (пользователи, группы и компьютеры) определяются с помощью уникального идентификатора безопасности (SID). Уникальный идентификатор SID используется для определения учетных записей безопасности и выполнения проверок доступа к ресурсам, таким как файлы, папки, принтеры, почтовые ящики Exchange, базы данных сервера Microsoft SQL, объекты в Active Directory и другие данные, защищенные моделью безопасности Windows Server 2003, Standard Edition.
Идентификатор состоит из заголовка и набора относительных идентификаторов, определяющих домен и учетную запись безопасности. В пределах домена все контроллеры домена могут создавать учетные записи и уникальные идентификаторы безопасности для каждой записи. Каждый контроллер домена обслуживает пул относительных идентификаторов, которые используются при создании идентификаторов безопасности. При использовании пула относительных идентификаторов на 80 процентов контроллер домена отправляет хозяину относительных идентификаторов запрос на новый пул относительных идентификаторов. Это позволяет исключить возможность распределения одного и того же пула относительных идентификаторов на различных контроллерах доменов и предотвращает дублирование идентификаторов безопасности. Однако, поскольку дублирование пула относительных идентификаторов все же возможно, хотя и редко, необходимо идентифицировать учетные записи, для которых созданы одинаковые идентификаторы безопасности, чтобы предотвратить нежелательное применение безопасности.
Создание дублированных пулов относительных идентификаторов происходит, если администратор производит присвоение роли хозяина относительных идентификаторов, в то время как исходный хозяин относительных идентификаторов функционирует, но временно отключен от сети. В обычной практике после одного цикла репликаций роль хозяина относительных идентификаторов назначается только одному контроллеру домена. Однако, если до назначения роли два разных контроллера домена отправят запрос на новый пул относительных идентификаторов независимо друг от друга, им может быть выделен один и тот же пул относительных идентификаторов.
Semantic database analysis Анализирует данные в соответствии с семантикой Active Directory. На приглашение командной строки semantic database analysis: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис (get %d|go|verbose %s)
Параметры get%d Извлекает из файла Ntds.dit номер %d записи.
go Запускает анализ семантики файла Ntds.dit. В результате создается отчет, который сохраняется в файле Dsdit.dmp.n в текущем каталоге, где n — целое число, увеличивающееся при каждом выполнении команды.
verbose%s Включает и выключает режим подробного вывода.
%d Числовая переменная, например время задержки репликации.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Примечания • В отличие от описанных ранее команд управления файлами, тестирующих целостность базы данных в соответствии с семантикой баз данных ESENT, команда semantic database analysis анализирует данные в соответствии с семантикой Active Directory. В результате создается отчет о количестве существующих записей, включая удаленные и фиктивные записи.
Примечание
• Не рекомендуется использовать эту команду, за исключением случаев, когда имеется запрос от корпорации Майкрософт на использование этой команды для дополнительной диагностики неполадок.
Set DSRM Password Переустановка пароля режима восстановления службы каталогов (DSRM) на контроллере домена. На приглашение командной строки Переустановите пароль администратора DSRM: введите любой из параметров, перечисленных в разделе Синтаксис.
Синтаксис Reset Password on server%s
Параметры Reset Password on server%s
Переустанавливает пароль режима восстановления службы каталогов на контроллере домена. Для переустановки пароля на текущем сервере укажите пустое имя контроллера домена. После ввода этого параметра появится приглашение командной строки Введите пароль для учетной записи администратора режима восстановления службы каталогов:. Введите новый пароль режима восстановления службы каталогов.
%s Алфавитно-цифровая переменная, например имя домена или контроллера домена.
quit Возврат в предыдущее меню или выход из программы.
?
или help Выводит справку в командной строке.
Примечания • Начальный пароль режима восстановления службы каталогов устанавливается при запуске мастера установки Active Directory (команда Dcpromo) для повышения сервера до контроллера домена.
• Если контроллер домена работает в режиме восстановления службы каталогов, невозможно переустановить пароль режима восстановления службы каталогов на контроллере домена с помощью средства ntdsutil.
Примечания • По умолчанию программа Ntdsutil.exe устанавливается в папку корневой_системный_каталог\System32. • Если значение переменной содержит пробелы, заключите его в круглые скобки вместо кавычек, например:
