C:\Windows\system32>ntdsutil

ntdsutil: activate instance ntds

活动实例设置为“ntds”。

ntdsutil: ifm

ifm: create sysvol full C:\installationmedia

正在创建快照...

成功生成快照集 {a773283e-734e-4127-851a-2cffee2bf099}。

快照 {fc1d1bb5-bd22-461f-bb5c-3ca51889e986} 已作为 C:\$SNAP_202507271954_VOLUMEC$\ 装载

已装载快照 {fc1d1bb5-bd22-461f-bb5c-3ca51889e986}。

已装载快照 {fc1d1bb5-bd22-461f-bb5c-3ca51889e986}。

正在启动碎片整理模式...

     源数据库: C:\$SNAP_202507271954_VOLUMEC$\Windows\NTDS\ntds.dit

     目标数据库: C:\installationmedia\Active Directory\ntds.dit

                  Defragmentation  Status (% complete)

          0    10   20   30   40   50   60   70   80   90  100

          |----|----|----|----|----|----|----|----|----|----|

          ...................................................

正在复制注册表文件...

正在复制 C:\installationmedia\registry\SYSTEM

正在复制 C:\installationmedia\registry\SECURITY

正在复制 SYSVOL...

正在复制 C:\installationmedia\SYSVOL

正在复制 C:\installationmedia\SYSVOL\long.com

正在复制 C:\installationmedia\SYSVOL\long.com\Policies

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\GPT.INI

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Registry.pol

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\GPT.INI

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

正在复制 C:\installationmedia\SYSVOL\long.com\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\USER

正在复制 C:\installationmedia\SYSVOL\long.com\scripts

快照 {fc1d1bb5-bd22-461f-bb5c-3ca51889e986} 已卸载。

在 C:\installationmedia 中成功创建 IFM 媒体。

ifm: quit

ntdsutil: quit

C:\Windows\system32>

详解

Windows Server NTDSUTIL IFM 创建过程详解

这段日志记录了使用 ntdsutil 工具创建安装介质(IFM)的过程，主要用于域控制器部署或恢复。下面详细解析每个步骤：

1. 启动和实例设置

cmd
ntdsutil: activate instance ntds
活动实例设置为"ntds"。

• 激活 NTDS (NT Directory Service)实例，这是 Active Directory 数据库服务的核心组件

2. 进入 IFM 模式

cmd
ntdsutil: ifm

• 进入"Install From Media"(IFM)模式，该模式用于创建域控制器的安装介质

3. 创建完整 SYSVOL 副本

cmd
ifm: create sysvol full C:\installationmedia

• 创建一个完整的域控制器安装介质，包含：

• NTDS.dit (Active Directory 数据库)

• SYSVOL 共享

• 注册表文件

• 输出目录指定为 C:\installationmedia

4. 创建 VSS 快照

cmd
正在创建快照...
成功生成快照集 {a773283e-734e-4127-851a-2cffee2bf099}。
快照 {fc1d1bb5-bd22-461f-bb5c-3ca51889e986} 已作为 C:\$SNAP_202507271954_VOLUMEC$\ 装载

• 使用 Volume Shadow Copy Service (VSS)创建系统卷的快照

• 快照 ID 为 {fc1d1bb5-bd22-461f-bb5c-3ca51889e986}

• 快照被挂载到临时路径 C:\$SNAP_202507271954_VOLUMEC$\

5. 数据库碎片整理和复制

cmd
正在启动碎片整理模式...
源数据库: C:\$SNAP_202507271954_VOLUMEC$\Windows\NTDS\ntds.dit
目标数据库: C:\installationmedia\Active Directory\ntds.dit

• 对 NTDS.dit Active Directory 数据库执行碎片整理

• 将整理后的数据库复制到目标位置

• 进度条显示碎片整理过程

6. 复制注册表文件

cmd
正在复制注册表文件...
正在复制 C:\installationmedia\registry\SYSTEM
正在复制 C:\installationmedia\registry\SECURITY

• 复制系统注册表文件(SYSTEM 和 SECURITY)，这些文件包含域控制器的关键配置

7. 复制 SYSVOL 内容

cmd
正在复制 SYSVOL...
正在复制 C:\installationmedia\SYSVOL
正在复制 C:\installationmedia\SYSVOL\long.com
...

• 完整复制 SYSVOL 共享内容，包括：

• 组策略对象(GPO)

• 登录脚本

• 域共享文件

• 特别是复制了两个组策略：

• {31B2F340-016D-11D2-945F-00C04FB984F9} (通常是默认域策略)

• {6AC1786C-016F-11D2-945F-00C04fB984F9} (通常是默认域控制器策略)

8. 清理和完成

cmd
快照 {fc1d1bb5-bd22-461f-bb5c-3ca51889e986} 已卸载。
在 C:\installationmedia 中成功创建 IFM 媒体。

• 卸载 VSS 快照

• 确认在指定位置成功创建了 IFM 介质

使用场景

这样创建的安装介质可用于：

1. 通过"从介质安装"方式快速部署额外的域控制器

2. Active Directory 灾难恢复

3. 测试环境搭建

4. 域控制器迁移场景

创建的介质包含完整 Active Directory 数据和配置，可以大大减少新域控制器部署时的网络复制时间。

FM 是什么简写

IFM 是 "Install From Media" 的缩写，中文可译为 "从介质安装"。

IFM 的用途

在 Windows Server Active Directory 环境中，IFM 允许管理员创建包含 Active Directory 数据库 (ntds.dit)、SYSVOL 和注册表文件的介质，用于：

1. 快速部署新的域控制器（无需通过网络同步大量数据）。

2. 灾难恢复（当主域控制器不可用时，可使用 IFM 快速恢复 AD）。

3. 降低网络带宽消耗（适用于远程站点部署）。

IFM 随附复制的内容

当执行 ntdsutil ifm create 时，实际会复制以下内容：

• ntds.dit（Active Directory 数据库）

• SYSVOL（包含组策略、脚本等共享文件）

• Registry 文件（SYSTEM 和 SECURITY，存储 AD 相关配置）

IFM 的两种模式

典型应用场景

1. 在带宽受限的网络中部署新域控制器。

2. Active Directory 灾难恢复（比传统备份恢复更快）。

3. 测试环境中快速搭建相同的 AD 结构。

总结

IFM = Install From Media（从介质安装），是 Windows Server AD 提供的一种高效部署/恢复机制，极大减少域控制器同步所需的网络传输时间。