ntdsutil est un utilitaire en ligne de commande qui fournit des fonctions de gestion pour les annuaires Microsoft (ADDS, ADLDS).
Utilisation
ntdsutil est utilisable pour mener à bien la maintenance des bases de données transactionnelles, contrôler les rôles uniques ou encore de supprimer les métadonnées laissées par les contrôleurs retirés de l’infrastructure.
L’ajout inabouti tout comme la suppression incomplète d’un contrôleur de domaine entraîne sans nul doute une incohérence dans la topologie et la réplication de l’annuaire Active Directory.
Donc, la présence des traces dans la base NTDS.dit d’une information erronée va multiplier fatalement les incohérences. Dans les circonstances actuelles, cette base de données transactionnelles doit toujours représenter la réalité de l’état de chaque nœud de l’infrastructure Active Directory.
Maintenir ainsi tout style d’incohérence revient à créer volontairement une entrave au mécanisme natif de sa réplication Active Directory.
A l’aide de l’utilitaire ntdsutil, les étapes suivantes vous montrent la marche à suivre pour mener à bien un nettoyage des métadonnées Active Directory, i.e. la suppression d’un serveur Active Directory inexistant et les fonctionnalités connexes :
Tuto ntdsutil metadata cleanup
- Lancez l’utilitaire ntdsutil : ntdsutil
- Saisissez metadata cleanup
- Tapez connections
- Tapez connect to server %servername%
- Remontez d’un niveau par rapport au menu : q
- Tapez select operation target
- Listez les domaines : list domains
- Sélectionnez le domaine d’appartenance de l’objet à supprimer : select domain %domainid%
- Listez les sites : list sites
- Sélectionnez le site d’appartenance de l’objet à supprimer : select site %siteid%
- Listez les serveurs du site sélectionné : list server in site
- Sélectionnez le serveur à supprimer : select server %idserver%
- Remontez d’un niveau par rapport au menu : q
- Supprimez maintenant le serveur préalablement sélectionné (l’objet incohérent en question) : remove selected server
- Quittez l’utilitaire ntdsutil
Active Directory vous invite à confirmer cette opération de suppression, cela par mesure de sécurité.
Pour le reste, le bon sens l’emporte dans la mesure où vous devez supprimer les enregistrements DNS correspondants au contrôleur de domaine qui vient d’être effacé de la base.
Enfin, lancer ntdsutil pour lancer ntdsutil n’a aucun intérêt, puisque nous menons toujours des actions techniques uniquement pour répondre à des besoins concrets.
Dans la réalité du terrain, il peut s’agir de la restauration d’un contrôleur de domaine à la suite d’une défaillance (problème d’installation, problème système lié à une campagne de mise à jour) ou encore dans le cadre du PRA (Plan de Reprise d’Activité, forest recovery).
Conclusion
ntdsutil est un outil réservé aux intervenants expérimentés, gare à l’effet papillon.
Il permet de nettoyer les métadonnées, de déplacer l’mplacement des bases ou des journaux, de gérer les rôles FSMO et cætera.
Tout compte fait, son utilisation nécessite une extrême précision.