PR
 概要  
Active Directory(AD)のデータベースを操作することで,さまざまな管理を行うことのできるコマンド。Windows 2000 ProfessionalではWindows 2000 Serverの,Windows XPおよびWindows VistaではWindows Server 2003の管理ツール(adminpak)をインストールすることで利用できるようになる。

ntdsutilはさまざまなサブコマンドを持ち,ADドメインやスキーマへのさまざまな操作を行うことができる。例えば,ADデータベースのリストアやFSMO(Flexible Single Master Operation:操作マスターと呼ばれるドメイン・コントローラ)役割の転送や占有といった操作が実行できる。

対話型でサブコマンドの操作をするという使い方が基本だが,バッチ・ファイルなどを用意して一括で複数のコマンドを入力することもできる。また,基本的にはドメイン・コントローラ(DC)上でコマンドを実行するが,一部のサブコマンドではサブメニューでの指定によりリモート・コンピュータからDCへ接続して操作を行うこともできる。


 利用環境  
Windows 95 ×
Windows 98 ×
Windows Me ×
Windows NT 4.0 ×
Windows 2000 ○
Windows XP ○
Windows Server 2003 ○
Windows Vista ○

 基本構文  
ntdsutil [Popups on|off] [Log File ファイル名] [?|/?|help]

 基本オプション 
Popups on|offログを保存するファイルの名前を指定する。特に設定しない場合は「dupsid.log」というファイル名で記録される。
Log File ファイル名ログを保存するファイルの名前を指定する。特に設定しない場合は「dupsid.log」というファイル名で記録される。
?|/?|helpコマンドのヘルプを表示する。
quit対話形式のコマンド実行をサポートするプロンプトを閉じユーティリティを終了する。あるいは,直前のメニューに戻る。

 Authoritative restoreサブコマンド  

DCのデータベースを特定の時点まで復元した際に,複製パートナーに対して権限を示すマークをADのオブジェクトに付加して,レプリケーションによって上書きが行われないようにする。DCをディレクトリ・サービス復元モードで起動した際にのみ実行が許可される。DCのデータベースを復元した際に,デフォルトでは非Authoritative Restoreの状態となっており,複製パートナーからのレプリケーションで最新の情報に更新される。そうすると,本来は削除したいオブジェクトが,復活するということが発生する。そうした際に,どのオブジェクト情報を優先するか制御するときなどに使う。

「create ldif file(s) from」オプションでは,指定されたテキスト・ファイルからLDIFファイルを生成する。「restore object」オプションおよび「restore object verinc」オプションは,オブジェクト単位で権限マークを設定する。この三つのオプションは,Windows Server 2003 SP1以降でのみ有効である。

「restore database」オプションではDCが保持するドメインおよび構成情報ディレクトリ・パーティションが含まれる「ntds.dit」ファイル全体の権限を設定する,「restore subtree」ではサブツリー単位で権限を設定する。また,「restore database」オプション,「restore object」オプション,「restore subtree」オプションでは,指定した数値とバックアップ後日数の乗算値を,対象オブジェクトのバージョン番号に加えて設定する。

構文:
ntdsutil authoritative restore {create ldif file(s) from テキスト・ファイル名 | restore database | restore database verinc 数値 | restore object オブジェクト名 | restore object オブジェクト名 verinc 数値 | restore subtree サブツリー名 | restore subtree サブツリー名 verinc 数値}


 Configurable Settingsサブコマンド  

ADのダイナミック・オブジェクトにおけるTTL(time to live)値などの設定に用いるサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューで,接続されたDCを操作する。

「cancel changes」オプションでは設定内容の反映を中止する。「commit changes」オプションでは指定した設定内容の反映を実行する。「list」オプションでは構成可能な設定項目の一覧を表示する。「set 設定項目名 to 設定値」オプションでは対象の項目と値を指定して設定をする。「show values」オプションでは現在の設定一覧を表示する。

構文:
ntdsutil configurable Settings {cancel changes | commit changes | connections | list | set 設定項目名 to 設定値 | show values}


 Domain managementサブコマンド  

ADドメインの名前付けコンテキスト(NC)に関する操作を実行するサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューにより接続されたDCに対して操作を実行し,また設定変更の対象を「select peration target」サブメニューで指定する。

「add nc replica」オプションでは,指定した名前付けコンテキスト(NC)の複製対象となるDCを追加する。「remove nc replica」オプションでは名前付けコンテキスト(NC)の複製対象から指定したDCを削除する。「create nc」オプションでは指定した名前付けコンテキスト(NC)をDC上に新規作成する。「list」オプションではすべての名前付けコンテキスト(NC)を一覧表示する。「list nc information」オプションでは指定した非ドメイン名前付けコンテキスト(NC)またはアプリケーション・パーティションに関する,参照ドメインやレプリカなどの情報を一覧表示する。「list nc replicas」オプションでは同じく指定した非ドメインNCに関するレプリカを持つDCを一覧表示する。「precreate」オプションでは指定した完全識別名のADドメインまたはNCの相互参照オブジェクトを事前に作成して,完全DNS名で指定したコンピュータがDCとして昇格できるように準備する。「delete NC」オプションでは指定した非ドメインNCを削除するが,事前にすべてのレプリカを削除して複製をドメイン名前付け操作マスターに反映する必要がある。また,「set nc reference domain」オプションでは非ドメインNCの参照ADドメインを設定する。「set nc replicate notification delay」オプションでは非ドメインNCの通知待ち時間を,最初のDCと次のDCに対して秒単位でそれぞれ設定する。

構文:
ntdsutil domain management {add nc replica NC名 DC名 | connections | create nc NC名 DC名 | remove nc replica NC名 DC名 | list | list nc information NC名 | list nc replicas NC名 DC名 | precreate ドメイン名またはNC名 フルコンピュータ名 | delete NC NC名 | select operation target | set nc reference domain NC名 ドメイン名 | set nc replicate notification delay NC名 秒数1 秒数2}


 Filesサブコマンド  

ディレクトリ・サービスのデータベース・ファイルおよびトランザクション・ログ・ファイルの管理を行うサブコマンド。DCをディレクトリ・サービス復元モードで起動した際にのみ実行が許可される。

「compact to」オプションではeseutil.exeを起動し,指定したディレクトリにデータベースを圧縮したファイルを保存する。保存先ディレクトリとして事前に接続したネットワークドライブも指定できる。「header」オプションではデータベース・ファイルであるntds.ditのヘッダー情報を表示する。「info」オプションではデータベース・ファイルとトランザクション・ログ・ファイルのサイズを表示する。「integrity」オプションではesentutl.exeを起動しデータベース・ファイルの整合性チェックを実行する。「move DB to」オプションではデータベース・ファイルの移動先を指定する。「move logs to」オプションではトランザクション・ログ・ファイルの移動先を,それぞれディレクトリで指定する。指定した内容はDCが再起動された際に反映される。「recover」オプションでは eseutil.exeを起動してデータベースのソフト回復を行い,既存のコミット済みトランザクション・ログの内容もデータベース・ファイルへ反映する。また,「set path backup」オプションではディスク間バックアップのパスを指定する。「set path db」オプションではデータベース・ファイルのパスを指定する。「set path logs」オプションではトランザクション・ログ・ファイルのパスを指定する。「set path working dir」オプションではディレクトリ・サービスの作業場所のパスを,それぞれディレクトリで指定する。

構文:
ntdsutil files {compact to ディレクトリ名 | header | info | integrity | move DB to ディレクトリ名 | move logs to ディレクトリ名 | recover | set path backup ディレクトリ名 | set path db ディレクトリ名 | set path logsディレクトリ名 | set path working dir ディレクトリ名}


 IPDeny Listサブコマンド  

DCに対して,LDAPクエリーを拒否するIPアドレスを設定する。「connections」オプションで呼び出した「server connections」サブメニューを使って接続したDCに対して操作を実行する。Windows 2000管理ツールのntdsutilでのみ実行可能。

「add」オプションではIPアドレスとマスクを指定して拒否リストに追加する。「cancel」オプションでは設定内容の反映を中止する。「commit」オプションでは設定変更の反映を,それぞれLDAPポリシー・オブジェクトに対して実行する。「delete」オプションでは指定したインデックス番号の拒否エントリをリストから削除する。「show」オプションではIP拒否リストの一覧をインデックス番号とともに表示する。「test」オプションでは指定したIPアドレスについて,DCへのアクセスが許可されているかどうかを確認する。

構文:
ntdutil ipdeny List {add IP アドレス マスク| cancel | commit | connections | delete インデックス番号 | show | test IP アドレス}


 LDAP policiesサブコマンド  

DCで参照されるQuery PolicyオブジェクトにおけるLDAP管理の制限を設定するサブコマンド。

「cancel changes」オプションではコミットされていないLDAP管理制限に関する設定変更の反映をキャンセルする。「commit changes」オプションでは設定を反映する。「list」オプションでは設定がサポートされるLDAP管理制限を一覧表示する。「set LDAP管理項目名 to 設定値」オプションでは指定した管理制限の項目に対して設定値を割り当てる。「show values」オプションでは現在の管理項目と設定値の一覧を表示する。

LDAP管理項目は,「InitRecvTimeout」(最初の受信タイムアウト:デフォルトで120 秒),「MaxConnections」(接続オープンの最大数:デフォルトで5000,「MaxConnIdleTime」(アイドル接続状態の最長時間:デフォルトで900秒,「MaxActiveQueries」(一度にアクティブ可能なクエリーの最大数:デフォルトで20,「MaxNotificationPerConnection」(クライアントが1接続で要求可能な最大通知数:デフォルトで5,「MaxPageSize」(LDAP 応答の最大サイズ:デフォルトで1000レコード,「MaxQueryDuration」(DCが1クエリーを実行できる最長時間:デフォルトで120秒),「MaxTempTableSize」(クエリー実行に割り当て可能な一時記憶域の最大サイズ:デフォルトで1万レコード,「MaxResultSetSize」(LDAP結果セットの最大サイズ:デフォルトで26万2144バイト,「MaxPoolThreads」(クエリー実行時にDCが作成可能なスレッド最大個数:デフォルトで1プロセッサ当たり4個,「MaxDatagramRecv」(DCが同時処理可能なデータグラムの最大数:デフォルトで1024),の全部で11項目が存在する。

構文:
ntdsutil ldap policies {cancel changes | commit changes | connections | list | set LDAP管理項目名 to 設定値 | show values}


 Metadata cleanupサブコマンド  

障害が発生した,あるいは破棄されたDCにおいて,メタデータをクリーンアップするサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューを使って,接続したDCに対して操作を実行する。また,設定変更の対象を「select peration target」サブメニューで指定する。

「remove selected domain」オプションではADドメインに関連関連付けられたメタデータを削除する。「remove selected naming context」オプションでは名前付けコンテキスト(NC)に関連関連付けられたメタデータを削除する。「remove selected server」オプションではDCに関連関連付けられたメタデータを削除する。また,Windows Server 2003 SP1のntdsutilでは「remove selected server」オプションの引数に対象のメタデータが格納されたDCの完全識別名と完全DNS名を指定することで,「server connections」サブメニューで事前にDCに接続していなくても削除を実施できる。

構文:
ntsutil metadata cleanup {connections | remove selected domain | remove selected naming context | remove selected server | remove selected server %s | remove selected server DCの完全識別名 on DCのフルコンピュータ名 | select operation target}


 Rolesサブコマンド  

操作マスター(FSMO)の役割について転送および強制(占有)を実行するサブコマンド。「connections」オプションで呼び出した「server connections」サブメニューを使って,接続したDCに対して操作を実行する。また,設定変更の対象は「select peration target」サブメニューで指定する。

「seize domain naming master」オプションではドメイン名前付けマスターの役割を,強制的に所有権を要求して占有する。「seize infrastructure master」オプションではインフラストラクチャ操作マスターの役割を,強制的に所有権を要求して占有する。「seize PDC」オプションではPDCエミュレータの役割を,強制的に所有権を要求して占有する。「seize RID master」オプションではRIDマスターの役割を,強制的に所有権を要求して占有する。「seize schema master」オプションではスキーマ操作マスタの役割を,強制的に所有権を要求して占有する。

「transfer domain naming master」オプションではドメイン名前付けマスターの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer infrastructure master」オプションではインフラストラクチャ操作マスターの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer PDC」オプションではPDCエミュレータの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer RID master」オプションではRIDマスターの役割を,転送によって所有権を取得するように接続先のDCで操作する。「transfer schema master」オプションではスキーマ操作マスターの役割について,転送によって所有権を取得するように接続先のDCで操作する。

構文:
ntdsutil roles {connections | seize domain naming master | seize infrastructure master | seize PDC | seize RID master | seize schema master | select operation target | transfer domain naming master | transfer infrastructure master | transfer PDC | transfer RID master | transfer schema master}


 Security account managementサブコマンド  

セキュリティ識別子(SID)の管理を実施するサブコマンド。

「check duplicate SID」オプションではSIDの重複チェックを実施する。「cleanup duplicate SID」オプションではSIDが重複したオブジェクトの削除を実行して結果をログ・ファイルに記録する。「connect to server」オプションでNetBIOS名もしくはDNS(フルコンピュータ)名で指定したDCへ接続する。「log file」オプションではサブコマンドの実行結果が記録されるファイルを指定する。

構文:
ntdsutil security account management {check duplicate SID | cleanup duplicate SID | connect to server DC名 | log file ファイル名}


 Semantic database analysisサブコマンド  

ADのセマンティクスに関するデータベースの分析を行うサブコマンド。DCをディレクトリ・サービス復元モードで起動した際にのみ実行が許可される。

「get」オプションではntds.ditファイルから指定した番号のレコードを取り出す。「go」オプションでntds.ditファイルに対するセマンティクス分析を実施して整合性をテストする。結果レポートは,「ntdsdit.dmp.整数値」というファイル名で記録される。また,「verbose」オプションをONとした場合には詳細モードの表示が有効となる。

構文:
ntdsutil semantic database analysis {get レコード番号 | go | verbose {on | off}}


 Set DSRM Passwordサブコマンド  

DCにおける,ディレクトリ・サービス復元モード(DSRM)のパスワードをリセットして新たに指定するするサブコマンド。構文上のパスワード指定で「NULL」を入力した場合は,パスワード入力を要求するプロンプトが表示される。

構文:
ntdsutil set dsrm Password Reset Password on server パスワード


 サブメニュー  

一部のサブコマンドではリモート・コンピュータからDCへの接続や,操作対象のDCを指定するためにサブメニューを呼び出すことができる。オプションはサブメニューのコマンド・プロンプトから指定する。


 server connectionsサブメニュー  

サーバー接続の実行と資格情報の指定や消去を実行する。サブコマンドから「connections」と指定することで呼び出せる。

? | helpコマンドのヘルプを表示する。
quitサブメニューを終了し直前のメニューに戻る。
Clear creds以前の接続で使われた資格情報を消去する。
Connect to domain DNSドメイン名指定されたDNSドメイン名を元に,ADドメインへ接続する。
Connect to server サーバー名NetBIOS名,DNS名またはIPアドレスのいずれかで指定されたドメイン・コントローラへ接続する。
Info:現在有効な接続情報を表示する。
Set creds ドメイン名 ユーザー名 パスワード接続に用いる資格情報を設定する。パスワードを空白とする場合は「NULL」を用い,コンソールからパスワード入力を要求させる場合は「*」を使う。

 select operation targetサブメニュー  

操作対象となるサイトやドメイン,名前付けコンテキストを指定する。サブコマンドから 「select operation target」と指定することで呼び出せる。また,さらに「server connections」サブメニューを呼び出すこともできる。

? | helpコマンドのヘルプを表示する。
quitサブメニューを終了し直前のメニューに戻る。
Connections「server connections」サブメニューを呼び出し,DCへ接続する。
List current selectionsサイト,ドメイン,名前付けコンテキスト(NC)またはDCの一覧を表示する。
List domainscrossRefオブジェクトを持つADドメインの一覧を表示する。
List domains in site選択されたサイトにおける,ADドメインの一覧を表示する。
List Naming Contexts名前付けコンテキスト(NC)の一覧を表示する。
List roles for connected server接続されたDCにおける,FSMO役割の一覧を表示する。
List servers for domain in site選択されたADドメインとサイトにおけるDCの一覧を表示する。
List servers in site選択されたサイトにおけるDCの一覧を表示する。
List sitesサイト一覧を表示する。
Select domain ドメイン番号一覧で表示されたドメインの番号を指定して,選択されたドメインとする。
Select Naming Context NC番号一覧で表示された名前付けコンテキスト(NC)の番号を指定して,選択された名前付けコンテキスト(NC)とする。
Select server DCの番号一覧で表示されたサーバー(DC)の番号を指定して,選択されたサーバー(DC)とする。
Select site サイト番号一覧で表示されたサイト番号を指定して,選択されたサイトとする。

 使用例:操作マスターの役割を占有(強制的に転送)する(クリックで詳細表示)  
ntdsutil
roles
connections
connect to server ドメイン・コントローラ名
quit
seize FSMO役割名