Active Directory のオンライン dbdump 機能を使用する方法

この記事では、Active Directory のオンライン dbdump 機能を使用する方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 315098

概要

Ldp.exe のオンライン dbdump 機能を使用して、ドメイン コントローラーの実行中にデータベースに格納されている値を表示できます。 オンライン dbdump 機能をトリガーするには、rootDSA の dumpDatabase 属性を変更します。

この属性に指定する値は、ダンプする既定の属性以外の属性です。 指定する値は、この属性の名前です。 dumpDatabase 機能は、まず、データベースをダンプするための十分な権限があることを確認します。 その後、データベースを Ntds.dmp ファイルにダンプします。 Ntds.dmp ファイルは、データベース ファイル (.dit) と同じフォルダーにあります。 既定の属性は次のとおりです。

• Dnt
• PDNT
• Obj
• RDNTyp
• Cnt
• ABCNT
• DelTime
• NCDNT
• ABVis

使用例: 競合している CNF 属性または削除された DEL 属性に関する SPN の問題を調査する

Ntds.dmp ファイルを作成するには、次の手順に従います。

1. NTDS イベント 1645 をログに記録しているドメイン コントローラーで Ldp.exe を開始します。

2. ローカルに接続し、エンタープライズ管理者としてバインドします。

3. [参照] メニューの [変更] をクリックします。

4. 属性の編集: dumpdatabase。

5. 値の編集: 名前 ncname objectclass objectguid instancetype。 属性の間に 1 つのスペースを残す必要があります。

6. [入力] をクリックします。 [ エントリ一覧 ] ボックスには、次のエントリが含まれています。
   [追加]dumpdatabase: 名前 ncname objectclass objectguid instancetype

7. [ 拡張] オプションと [実行 ] オプションをクリックします。

8. %systemroot%\NTDS\Ntds.dmp ファイルが作成されるか、調査する必要がある Ldp.exe にエラー メッセージが表示されます。

これは、次のような LDIFDE インポート ファイル dump-db.txt 使用してトリガーすることもできます。

Dn：
Changetype: modify
追加: dumpdatabase
Dumpdatabase: 名前 ncname objectclass objectguid instancetype
-

LDIFDE を使用してファイルをインポートするには、 のような ldifde /s \<targetserver> /i /f dump-db.txtコマンド ラインを使用します。

出力を使用する

Ntds.dmp ファイルはテキスト ファイルです。 イベント 1645 で報告された競合または削除された GUID を探して、内部参照の不一致を確認します。

サンプル ダンプ ファイル

次の例は、ドメイン PDT の CROSSREF オブジェクトが、既に削除されている間違ったオブジェクトを指していることを示しています。

3953 2326 true 3 1 0 - 1163 - 4
3947 196619 56.6E.52.8A.2E.B4.00.43.BE.B1.B3.57.91.AD.F5.BE PDT
...
3947 1161 false 1376281 2 0 2001-08-04 11:02.47 - -
- - - 9E.4C.AB.36.81.65.2B.4F.A0.31.59.D5.C2.74.68.F2 pdt
DEL:36ab4c9e-6581-4f2b-a031-59d5c27468f2
...
3958 1161 false 1376281 3 0 2001-08-04 23:02.47 - -
- - - 85.0B.3B.A1.EC.68.37.46.9E.D0.FF.F6.66.BA.FB.84 pdt

内部参照は 3947 を指しますが、dc=pdt、dc=net の場合は新しい 3958 オブジェクトを指す必要があります。

この問題は、Ntdsutil.exe ツールの最新バージョンのセマンティック チェッカーで解決できます。