ntdsutil|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ntdsutil
             

ntdsutil

ntdsutilは、Windows Serverに含まれるコマンドラインツールで、Active Directory(AD)のデータベース管理やメンテナンス、トラブルシューティングを支援するためのユーティリティです。特に、NTDS.dit(Active Directoryデータベース)の管理、ドメインコントローラー(DC)の操作、メタデータのクリーンアップなどに利用されます。

このツールは、高度な操作を行うための強力なツールであり、慎重に使用する必要があります。管理者が主に利用するためのものであり、誤操作がシステム全体に影響を及ぼす可能性があります。

主な機能

1. Active Directoryデータベースの管理

  • データベースの圧縮やデフラグ、整合性チェックを実施。
  • データベースファイル(NTDS.dit)の移動。

2. メタデータのクリーンアップ

  • ドメインコントローラーが適切に削除されなかった場合に残るメタデータを手動で削除。

3. 操作マスターロール(FSMO)の管理

  • Flexible Single Master Operation(FSMO)ロールの転送や強制的な移行。

4. Active Directoryスナップショットの管理

  • データベースのスナップショットを作成し、検証やリカバリ用に使用。

5. グローバルカタログの管理

  • ドメインコントローラーのグローバルカタログの有効化または無効化。

6. AD構成の管理

  • サイトやレプリケーション設定の変更。

ntdsutilの使い方

基本構文

ntdsutil [コマンド] [オプション]

ntdsutilの起動

コマンドプロンプトまたはPowerShellで以下を入力してツールを起動します。

ntdsutil

1. データベースの圧縮(オフラインデフラグ)

Active Directoryデータベースを圧縮してサイズを最適化します。

  1. ディレクトリサービスを停止 
    net stop ntds
  2. ntdsutilを起動し、データベースを圧縮 
    ntdsutil
files
compact to <出力ディレクトリ>
quit
  3. 新しいデータベースファイルを元の場所に置換し、ディレクトリサービスを再起動 
    net start ntds

2. メタデータのクリーンアップ

削除済みドメインコントローラーの残存データを手動で削除します。

  1. ntdsutilを起動してメタデータをクリーンアップモードに変更。 
    ntdsutil
metadata cleanup
  2. コンテキスト内で対象のドメインコントローラーを指定し、削除。 
    select operation target
remove selected server <ドメインコントローラー名>
quit

3. FSMOロールの転送または強制移行

FSMOロールを転送または別のドメインコントローラーに強制移行します。

  1. FSMOロールの一覧を表示 
    ntdsutil
roles
connections
connect to server <ドメインコントローラー名>
quit
select operation target
list roles for connected server
quit
  2. ロールを転送または強制移行 transfer <ロール名> seize <ロール名>

4. ADスナップショットの管理

  1. スナップショットの作成 
    ntdsutil
snapshot
activate instance ntds
create
quit
  2. スナップショットのマウント 
    ntdsutil
snapshot
list all
mount <スナップショットID>
quit
  3. スナップショットの解除 
    ntdsutil
snapshot
unmount <スナップショットID>
quit

5. データベースファイルの移動

Active Directoryデータベースファイル(NTDS.dit)を別の場所に移動します。

  1. ディレクトリサービスを停止 
    net stop ntds
  2. ファイル移動コマンドを実行 
    ntdsutil
files
move db to <新しいパス>
quit
  3. ディレクトリサービスを再起動 
    net start ntds

注意点

  1. 慎重な操作
    • ntdsutilはActive Directoryの中核的な部分を操作するため、誤操作がシステム全体に影響を及ぼす可能性があります。事前にバックアップを取ることが重要です。
  2. 管理者権限
    • ntdsutilを利用するには、ドメイン管理者またはエンタープライズ管理者の権限が必要です。
  3. トラブルシューティングでの使用
    • ntdsutilは通常、トラブルシューティングや高度なメンテナンスに使用され、日常的な運用ではほとんど必要ありません。

まとめ

ntdsutilは、Active Directory環境を維持・管理する上で非常に強力なツールです。特に、データベースのメンテナンスや問題発生時の修復、FSMOロールの管理、メタデータのクリーンアップに役立ちます。ただし、その強力さゆえに誤操作によるリスクも伴うため、使用には慎重な計画と十分な理解が求められます。事前に環境のバックアップを取り、安全に利用することが最善のアプローチです。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。