概要 | |
Active Directory(AD)のデータベースを操作することで,さまざまな管理を行うことのできるコマンド。Windows 2000 ProfessionalではWindows 2000 Serverの,Windows XPおよびWindows VistaではWindows Server 2003の管理ツール(adminpak)をインストールすることで利用できるようになる。
ntdsutilはさまざまなサブコマンドを持ち,ADドメインやスキーマへのさまざまな操作を行うことができる。例えば,ADデータベースのリストアやFSMO(Flexible Single Master Operation:操作マスターと呼ばれるドメイン・コントローラ)役割の転送や占有といった操作が実行できる。
対話型でサブコマンドの操作をするという使い方が基本だが,バッチ・ファイルなどを用意して一括で複数のコマンドを入力することもできる。また,基本的にはドメイン・コントローラ(DC)上でコマンドを実行するが,一部のサブコマンドではサブメニューでの指定によりリモート・コンピュータからDCへ接続して操作を行うこともできる。 |
利用環境 | |
Windows 95 × Windows 98 × Windows Me × Windows NT 4.0 × Windows 2000 ○ Windows XP ○ Windows Server 2003 ○ Windows Vista ○ |
基本構文 | |
ntdsutil [Popups on|off] [Log File ファイル名] [?|/?|help] |
基本オプション | |||||||||
|
Authoritative restoreサブコマンド | |
DCのデータベースを特定の時点まで復元した際に,複製パートナーに対して権限を示すマークをADのオブジェクトに付加して,レプリケーションによって上書きが行われないようにする。DCをディレクトリ・サービス復元モードで起動した際にのみ実行が許可される。DCのデータベースを復元した際に,デフォルトでは非Authoritative Restoreの状態となっており,複製パートナーからのレプリケーションで最新の情報に更新される。そうすると,本来は削除したいオブジェクトが,復活するということが発生する。そうした際に,どのオブジェクト情報を優先するか制御するときなどに使う。
「create ldif file(s) from」オプションでは,指定されたテキスト・ファイルからLDIFファイルを生成する。「restore object」オプションおよび「restore object verinc」オプションは,オブジェクト単位で権限マークを設定する。この三つのオプションは,Windows Server 2003 SP1以降でのみ有効である。
「restore database」オプションではDCが保持するドメインおよび構成情報ディレクトリ・パーティションが含まれる「ntds.dit」ファイル全体の権限を設定する,「restore subtree」ではサブツリー単位で権限を設定する。また,「restore database」オプション,「restore object」オプション,「restore subtree」オプションでは,指定した数値とバックアップ後日数の乗算値を,対象オブジェクトのバージョン番号に加えて設定する。 | |
構文: |
Configurable Settingsサブコマンド | |
ADのダイナミック・オブジェクトにおけるTTL(time to live)値などの設定に用いるサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューで,接続されたDCを操作する。
「cancel changes」オプションでは設定内容の反映を中止する。「commit changes」オプションでは指定した設定内容の反映を実行する。「list」オプションでは構成可能な設定項目の一覧を表示する。「set 設定項目名 to 設定値」オプションでは対象の項目と値を指定して設定をする。「show values」オプションでは現在の設定一覧を表示する。 | |
構文: |
Domain managementサブコマンド | |
ADドメインの名前付けコンテキスト(NC)に関する操作を実行するサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューにより接続されたDCに対して操作を実行し,また設定変更の対象を「select peration target」サブメニューで指定する。
「add nc replica」オプションでは,指定した名前付けコンテキスト(NC)の複製対象となるDCを追加する。「remove nc replica」オプションでは名前付けコンテキスト(NC)の複製対象から指定したDCを削除する。「create nc」オプションでは指定した名前付けコンテキスト(NC)をDC上に新規作成する。「list」オプションではすべての名前付けコンテキスト(NC)を一覧表示する。「list nc information」オプションでは指定した非ドメイン名前付けコンテキスト(NC)またはアプリケーション・パーティションに関する,参照ドメインやレプリカなどの情報を一覧表示する。「list nc replicas」オプションでは同じく指定した非ドメインNCに関するレプリカを持つDCを一覧表示する。「precreate」オプションでは指定した完全識別名のADドメインまたはNCの相互参照オブジェクトを事前に作成して,完全DNS名で指定したコンピュータがDCとして昇格できるように準備する。「delete NC」オプションでは指定した非ドメインNCを削除するが,事前にすべてのレプリカを削除して複製をドメイン名前付け操作マスターに反映する必要がある。また,「set nc reference domain」オプションでは非ドメインNCの参照ADドメインを設定する。「set nc replicate notification delay」オプションでは非ドメインNCの通知待ち時間を,最初のDCと次のDCに対して秒単位でそれぞれ設定する。 | |
構文: |
Filesサブコマンド | |
ディレクトリ・サービスのデータベース・ファイルおよびトランザクション・ログ・ファイルの管理を行うサブコマンド。DCをディレクトリ・サービス復元モードで起動した際にのみ実行が許可される。
「compact to」オプションではeseutil.exeを起動し,指定したディレクトリにデータベースを圧縮したファイルを保存する。保存先ディレクトリとして事前に接続したネットワークドライブも指定できる。「header」オプションではデータベース・ファイルであるntds.ditのヘッダー情報を表示する。「info」オプションではデータベース・ファイルとトランザクション・ログ・ファイルのサイズを表示する。「integrity」オプションではesentutl.exeを起動しデータベース・ファイルの整合性チェックを実行する。「move DB to」オプションではデータベース・ファイルの移動先を指定する。「move logs to」オプションではトランザクション・ログ・ファイルの移動先を,それぞれディレクトリで指定する。指定した内容はDCが再起動された際に反映される。「recover」オプションでは eseutil.exeを起動してデータベースのソフト回復を行い,既存のコミット済みトランザクション・ログの内容もデータベース・ファイルへ反映する。また,「set path backup」オプションではディスク間バックアップのパスを指定する。「set path db」オプションではデータベース・ファイルのパスを指定する。「set path logs」オプションではトランザクション・ログ・ファイルのパスを指定する。「set path working dir」オプションではディレクトリ・サービスの作業場所のパスを,それぞれディレクトリで指定する。 | |
構文: |
IPDeny Listサブコマンド | |
DCに対して,LDAPクエリーを拒否するIPアドレスを設定する。「connections」オプションで呼び出した「server connections」サブメニューを使って接続したDCに対して操作を実行する。Windows 2000管理ツールのntdsutilでのみ実行可能。
「add」オプションではIPアドレスとマスクを指定して拒否リストに追加する。「cancel」オプションでは設定内容の反映を中止する。「commit」オプションでは設定変更の反映を,それぞれLDAPポリシー・オブジェクトに対して実行する。「delete」オプションでは指定したインデックス番号の拒否エントリをリストから削除する。「show」オプションではIP拒否リストの一覧をインデックス番号とともに表示する。「test」オプションでは指定したIPアドレスについて,DCへのアクセスが許可されているかどうかを確認する。 | |
構文: |
LDAP policiesサブコマンド | |
DCで参照されるQuery PolicyオブジェクトにおけるLDAP管理の制限を設定するサブコマンド。
「cancel changes」オプションではコミットされていないLDAP管理制限に関する設定変更の反映をキャンセルする。「commit changes」オプションでは設定を反映する。「list」オプションでは設定がサポートされるLDAP管理制限を一覧表示する。「set LDAP管理項目名 to 設定値」オプションでは指定した管理制限の項目に対して設定値を割り当てる。「show values」オプションでは現在の管理項目と設定値の一覧を表示する。
LDAP管理項目は,「InitRecvTimeout」(最初の受信タイムアウト:デフォルトで120 秒),「MaxConnections」(接続オープンの最大数:デフォルトで5000,「MaxConnIdleTime」(アイドル接続状態の最長時間:デフォルトで900秒,「MaxActiveQueries」(一度にアクティブ可能なクエリーの最大数:デフォルトで20,「MaxNotificationPerConnection」(クライアントが1接続で要求可能な最大通知数:デフォルトで5,「MaxPageSize」(LDAP 応答の最大サイズ:デフォルトで1000レコード,「MaxQueryDuration」(DCが1クエリーを実行できる最長時間:デフォルトで120秒),「MaxTempTableSize」(クエリー実行に割り当て可能な一時記憶域の最大サイズ:デフォルトで1万レコード,「MaxResultSetSize」(LDAP結果セットの最大サイズ:デフォルトで26万2144バイト,「MaxPoolThreads」(クエリー実行時にDCが作成可能なスレッド最大個数:デフォルトで1プロセッサ当たり4個,「MaxDatagramRecv」(DCが同時処理可能なデータグラムの最大数:デフォルトで1024),の全部で11項目が存在する。 | |
構文: |
Metadata cleanupサブコマンド | |
障害が発生した,あるいは破棄されたDCにおいて,メタデータをクリーンアップするサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューを使って,接続したDCに対して操作を実行する。また,設定変更の対象を「select peration target」サブメニューで指定する。
「remove selected domain」オプションではADドメインに関連関連付けられたメタデータを削除する。「remove selected naming context」オプションでは名前付けコンテキスト(NC)に関連関連付けられたメタデータを削除する。「remove selected server」オプションではDCに関連関連付けられたメタデータを削除する。また,Windows Server 2003 SP1のntdsutilでは「remove selected server」オプションの引数に対象のメタデータが格納されたDCの完全識別名と完全DNS名を指定することで,「server connections」サブメニューで事前にDCに接続していなくても削除を実施できる。 | |
構文: |
Rolesサブコマンド | |
操作マスター(FSMO)の役割について転送および強制(占有)を実行するサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューを使って,接続したDCに対して操作を実行する。また,設定変更の対象は「select peration target」サブメニューで指定する。
「seize domain naming master」オプションではドメイン名前付けマスターの役割を,強制的に所有権を要求して占有する。「seize infrastructure master」オプションではインフラストラクチャ操作マスターの役割を,強制的に所有権を要求して占有する。「seize PDC」オプションではPDCエミュレータの役割を,強制的に所有権を要求して占有する。「seize RID master」オプションではRIDマスターの役割を,強制的に所有権を要求して占有する。「seize schema master」オプションではスキーマ操作マスタの役割を,強制的に所有権を要求して占有する。
「transfer domain naming master」オプションではドメイン名前付けマスターの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer infrastructure master」オプションではインフラストラクチャ操作マスターの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer PDC」オプションではPDCエミュレータの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer RID master」オプションではRIDマスターの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer schema master」オプションではスキーマ操作マスターの役割について,転送によって所有権を取得するように接続先のDCで操作する。 | |
構文: |
Security account managementサブコマンド | |
セキュリティ識別子(SID)の管理を実施するサブコマンド。
「check duplicate SID」オプションではSIDの重複チェックを実施する。「cleanup duplicate SID」オプションではSIDが重複したオブジェクトの削除を実行して結果をログ・ファイルに記録する。「connect to server」オプションでNetBIOS名もしくはDNS(フルコンピュータ)名で指定したDCへ接続する。「log file」オプションではサブコマンドの実行結果が記録されるファイルを指定する。 | |
構文: |
Semantic database analysisサブコマンド | |
ADのセマンティクスに関するデータベースの分析を行うサブコマンド。DCをディレクトリ・サービス復元モードで起動した際にのみ実行が許可される。
「get」オプションではntds.ditファイルから指定した番号のレコードを取り出す。「go」オプションでntds.ditファイルに対するセマンティクス分析を実施して整合性をテストする。結果レポートは,「ntdsdit.dmp.整数値」というファイル名で記録される。また,「verbose」オプションをONとした場合には詳細モードの表示が有効となる。 | |
構文: |
Set DSRM Passwordサブコマンド | |
DCにおける,ディレクトリ・サービス復元モード(DSRM)のパスワードをリセットして新たに指定するするサブコマンド。構文上のパスワード指定で「NULL」を入力した場合は,パスワード入力を要求するプロンプトが表示される。 | |
構文: |
サブメニュー | |
一部のサブコマンドではリモート・コンピュータからDCへの接続や,操作対象のDCを指定するためにサブメニューを呼び出すことができる。オプションはサブメニューのコマンド・プロンプトから指定する。 |
server connectionsサブメニュー | |||||||||||||||
サーバー接続の実行と資格情報の指定や消去を実行する。サブコマンドから「connections」と指定することで呼び出せる。 | |||||||||||||||
|
select operation targetサブメニュー | |||||||||||||||||||||||||||||||
操作対象となるサイトやドメイン,名前付けコンテキストを指定する。サブコマンドから 「select operation target」と指定することで呼び出せる。また,さらに「server connections」サブメニューを呼び出すこともできる。 | |||||||||||||||||||||||||||||||
|
使用例:操作マスターの役割を占有(強制的に転送)する(クリックで詳細表示) | |
ntdsutil roles connections connect to server ドメイン・コントローラ名 quit seize FSMO役割名 |