Como usar o recurso dbdump online do Active Directory

  • Artigo

Este artigo descreve como usar o recurso dbdump online do Active Directory.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 315098

Resumo

Você pode usar o recurso dbdump online no Ldp.exe para exibir os valores armazenados no banco de dados enquanto um controlador de domínio está em execução. Você dispara o recurso dbdump online modificando o atributo dumpDatabase no rootDSA.

Os valores que você especifica para esse atributo são os atributos diferentes dos atributos padrão que você deseja despejar. Os valores especificados são o nome desse atributo. O recurso dumpDatabase verifica primeiro se você tem direitos suficientes para despejar o banco de dados. Em seguida, ele despeja o banco de dados no arquivo Ntds.dmp. O arquivo Ntds.dmp está localizado na mesma pasta que o arquivo de banco de dados (.dit). Os atributos padrão são:

  • DNT
  • PDNT
  • OBJ
  • RDNTyp
  • CNT
  • ABCNT
  • DelTime
  • NCDNT
  • ABVis

Exemplo de uso: investigar um problema de SPN com atributos DEL conflitantes ou excluídos

Para criar o arquivo Ntds.dmp, siga estas etapas:

  1. Inicie Ldp.exe no controlador de domínio que está registrando o evento NTDS 1645.

  2. Conecte-se localmente e, em seguida, vincule-se como um administrador enterprise.

  3. Clique em Modificar no menu Procurar .

  4. Editar para Atributo: dumpdatabase.

  5. Editar para Valores: nome ncname objectclass objectclass objectguid instancetype. Você deve deixar um espaço entre os atributos.

  6. Clique em Inserir. A caixa Lista de Entrada contém a seguinte entrada:
    [Add]dumpdatabase: name ncname objectclass objectguid instancetype

  7. Clique nas opções Estendido e Executar .

  8. O arquivo %systemroot%\NTDS\Ntds.dmp é criado ou você recebe uma mensagem de erro no Ldp.exe que você deve investigar.

Você também pode obter isso disparado usando um arquivo de importação LDIFDE dump-db.txt como:

Dn:
Tipo de alteração: modificar
Adicionar: dumpdatabase
Dumpdatabase: nome ncname objectclass objectguid instancetype
-

Para importar o arquivo com LDIFDE, use uma linha de comando como ldifde /s \<targetserver> /i /f dump-db.txt.

Usar a saída

O arquivo Ntds.dmp é um arquivo de texto. Procure o GUID conflitante ou excluído que foi relatado no evento 1645 para ver a incompatibilidade de referência interna.

Arquivo de despejo de exemplo

O exemplo a seguir mostra que o objeto CROSSREF para o domínio PDT está apontando para um objeto errado que já foi excluído:

3953 2326 true 3 1 0 - 1163 - 4
3947 196619 56.6E.52.8A.2E.B4.00.43.BE.B1.B3.57.91.AD.F5.BE PDT
...
3947 1161 false 1376281 2 0 2001-08-04 11:02.47 - - -
- - 9E.4C.AB.36.81.65.2B.4F.A0.31.59.D5.C2.74.68.F2 pdt
DEL:36ab4c9e-6581-4f2b-a031-59d5c27468f2
...
3958 1161 false 1376281 3 0 2001-08-04 23:02.47 - - -
- - - 85.0B.3B.A1.EC.68.37.46.9E.D0.FF.F6.66.BA.FB.84 pdt

A referência interna aponta para 3947, embora aponte para o novo objeto 3958 para dc=pdt,dc=net.

Você pode resolve esse problema com o verificador semântico da versão mais recente da ferramenta Ntdsutil.exe.