Dominio Secure Channel Utility--Nltest.exe

Seleccione idioma Seleccione idioma
Id. de artículo: 158148 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

El Kit de recursos de 4.0 de Microsoft Windows contiene una utilidad de línea de comandos muy eficaces para probar los canales seguros entre los equipos de Windows NT que son miembros de un dominio y entre controladores de dominio que confía en otros dominios. A continuación es una discusión detallada.

Más información

Información general NLTEST

Nltest.exe es una utilidad de línea de comandos muy eficaz que puede utilizarse para probar las relaciones de confianza y el estado de replicación del controlador de dominio en un dominio de Windows NT. Un dominio formado por controladores de dominio en el que hay un único principal controlador de dominio (PDC) y cero o más controladores de reserva (BDC).

Cuando se utiliza la palabra confianza en el contexto de Windows NT, describe una relación entre dos dominios de Windows NT. Cada dominio implicado tiene la función de dominio que confía o el dominio de confianza. Para cualquier relación de confianza dada, es existe un canal de comunicación discreto único entre cada controlador de dominio del dominio que confía y un controlador de dominio en el dominio de confianza. De ejemplo, si el dominio "A" confía el dominio "B", "B" es el dominio de confianza y "A" es el dominio que confía. En un otro ejemplo, suponga que "I" confía en el dominio "J" y el dominio del dominio "J" confía el dominio "I". En este ejemplo, hay que dos relaciones de confianza distinto entre los controladores de dominio. A menudo, esto se denomina el modo de confianza completa o una confianza bidireccional. Sin embargo, para diagnóstico de canal seguro, es mejor imaginárselos como dos canales seguros independientes, entre cada controlador de dominio del dominio que confía y un controlador de dominio en el dominio de confianza.

Relaciones de confianza no son transitivas. Por ejemplo, suponga confianzas de dominio "X" dominio "Y", que a su vez confía el dominio "Z". Esto no implica las confianzas de dominio "X" dominio "Z". La razón para esto es que el administrador en cada dominio debe conceder permiso explícito a ambos lados de la relación de confianza que tienen lugar.

Otra forma de relación de confianza a veces se denomina una confianza "implícita". En un modelo de dominio único o en un entorno donde no hay ningún relaciones de confianza "explícitas" entre dos dominios cualesquiera, la relación de confianza "implícita" está activo y funcionalmente necesarios. Esta confianza implícita existe entre todos los equipos que ejecutan Windows NT que son miembros de un dominio y un controlador de dominio en su dominio. Relaciones de confianza explícitas se establecen a través del Administrador de usuarios para dominios. Se establecen relaciones de confianza implícita convirtiéndose en un miembro de un dominio.

Nltest.exe puede utilizarse para probar la relación de confianza entre un equipo que ejecuta Windows NT, que es un miembro de un dominio y un controlador de dominio donde reside su cuenta de equipo. NLTEST también puede comprobar la confianza entre los BDC en un dominio y su PDC. En dominios donde se ha definido una confianza explícita, NLTEST puede probar la relación de confianza entre todos los controladores de dominio del dominio que confía y un controlador de dominio en el dominio de confianza.

Estas sesiones de comunicación se denominan canales seguros y se utilizan para autenticar cuentas de equipo de Windows NT. También se utilizan para autenticar cuentas de usuario cuando un usuario remoto se conecta a un recurso de red y la cuenta de usuario existe en un dominio de confianza. Esto se denomina autenticación de paso a través y permite que un equipo que ejecuta Windows NT que se ha unido a un dominio tenga acceso a la base de datos de cuentas de usuario en su dominio y en los dominios de confianza.

Nltest.exe puede utilizar el servicio Examinador para enumerar los controladores de dominio. Por lo tanto, si la exploración no funciona correctamente, NLTEST.exe puede producir resultados incoherentes. El equipo donde se ejecuta Nltest.exe y los proporcionar los servicios exploración deben compartir los mismos protocolos utilizados por los controladores de dominio para llevar a cabo su actividad de dominio. Además, la enumeración de los nombres de equipo y dominio especificados dependen el estado de resolución de nombres, como replicación del servidor WINS, configuración del enrutador IPX o NetBEUI puente.

Todos estos relaciones de confianza y sincronización de dominio, se pueden supervisar, probado y comprobado por Nltest.exe.

Resultado de ejemplo obtenido escribiendo "NLTEST.EXE" sin las ofertas

C:\NTRESKIT > nltest
Uso: nltest / [Options]
/ SERVER: <nombre_servidor> - especificar <nombre_servidor>

<servername>/ CONSULTA - consulta el servicio netlogon de <nombre_servidor>

<servername>/ REPL - Force replicación en <nombre_servidor> BDC

<servername>/ SYNC - Force SYNC en <nombre_servidor> BDC

<servername>O PDC_REPL - Force UAS cambiar mensaje desde <nombre_servidor> PDC

<domainname><domain><servername>/ SC_QUERY: <nombredominio> - consulta el canal seguro para <dominio> en <nombre_servidor>

<domainname><domain><servername>/ SC_RESET: <nombredominio> - Restablecer canal seguro para <dominio> en <nombre_servidor>

/ DCLIST: <nombredominio> - obtener lista de DC es para <nombredominio>

/ NOMBREDC: <nombredominio> - obtener el nombre PDC para <nombredominio>

/ DCTRUST: <nombredominio> - nombre de Get de controlador de dominio se utiliza para la confianza de <nombredominio>

/ WHOWILL: <dominio> * <usuario> [<Iteration>] - vea si <dominio> iniciará la sesión <usuario>

/ FINDUSER: <usuario> - vea que confianza <dominio> iniciará la sesión <usuario>

/ TRANSPORT_NOTIFY - notificación de inicio de sesión de nuevo transporte

/ RID: <hexrid> - RID para cifrar la contraseña con

<username><servername>/ USER: <nombre_usuario> - información de usuario de la consulta en <nombre_servidor>

/ TIEMPO: hora de GMT de NT de convertir de < Hex LSL > < Hex MSL > - a ASCII

/ LOGON_QUERY - número de consultas de intentos de inicio de sesión acumulativa

/ TRUSTED_DOMAINS - consulta de nombres de dominios de confianza por estación de trabajo

/ BDC_QUERY: <nombredominio> - consultar el estado de replicación de los BDC para <nombredominio>

<domainname><machinename>/ SIM_SYNC: <nombredominio> <nombremáquina> - simular la replicación de sincronización completa

<filename>/ LIST_DELTAS: <nombrearchivo> - Mostrar el contenido de determinado archivo de registro de cambio

<filename>/ LIST_REDO: <nombrearchivo> - Mostrar el contenido de dado rehacer el archivo de registro

Comentarios y descripciones de los modificadores Nltest.exe adicionales

<servername>/ SERVER: <nombre_servidor>: controles remotos Nltest.exe el comando para el servidor especificado. Si no se especifica este modificador, el comando se ejecuta desde el equipo local.

/ QUERY consulta el servidor local o especificado para un canal seguro correcto para un controlador de dominio y el estado de servicios de directorio replicación con el PDC. Esto es muy útil de determinar el estado general de dicho servicio.

/ REPL forzar sincronización parcial del BDC local o especificado.

/SYNC fuerza una sincronización completa, inmediata del BDC local o especificado.

/ PDC_REPL el PDC especificado fuerza un mensaje de cambio a todos los BDC.

<domainname>/ SC_QUERY: <nombredominio> comprueba el canal seguro en el dominio especificado para una estación de trabajo local o remoto, el servidor o el BDC. Esto se puede ejecutar para un PDC si existe una relación de confianza explícita entre dos dominios y se especifica el dominio de confianza.

<domainname>/ SC_RESET: <nombredominio> restablece el canal seguro entre la estación de trabajo local o remoto, el servidor o el BDC. Esto se puede ejecutar para un PDC si existe una relación de confianza explícita entre dos dominios y se especifica el dominio de confianza.

<domainname>/ DCLIST: <nombredominio> muestra una lista los controladores de dominio, PDC y BDC en un dominio dado.

<domainname>/ NOMBREDC: <nombredominio> muestra el controlador de dominio principal para un dominio dado.

<domainname>/ DCTRUST: <nombredominio> consultas y comprueba el canal seguro cada vez que se ejecuta el comando. Especificar el dominio de la estación de trabajo local o remoto, el servidor o el BDC. Esto se puede ejecutar para un PDC si existe una relación de confianza explícita entre dos dominios y se especifica el dominio de confianza.

/WHOWILL:<domain><user> <usuario> consulta el dominio e indica qué dominio controlador tiene la cuenta en su base de datos de cuenta de usuario local. Esto es muy útil para determinar si un controlador de dominio determinado contiene la cuenta de usuario. Si especifica el nombre de usuario es que, del usuario actualmente conectado, la contraseña del usuario actual no se envía al controlador de dominio. Esto es útil para determinar si existen cuentas duplicadas en varios dominios.

/FINDUSER:<user> consulta dominios de confianza explícitas para el usuario especificado. Esto es muy útil al determinar qué controlador de dominio de confianza o qué dominio de confianza fuera de varios dominios de confianza autenticará las credenciales de un usuario cuando no se especifica un nombre de dominio en el paquete de bloque de mensajes de servidor (SMB). Muchos clientes de nivel inferior, como Windows para trabajo en grupo 3.1 y el redirector de modo real en Windows 95, no especifique un nombre de dominio.

<username>/ USER: <nombre_usuario> muestra muchos de los atributos para la cuenta de usuario especificado que se mantienen en la base de datos de cuenta de usuario.

/ LOGON_QUERY especifica el número de inicio de sesión intentado consulta en la consola o a través de la red.

/ TRUSTED_DOMAINS muestra una lista de dominios de confianza explícitas.

<domainname>/ BDC_QUERY: <nombredominio> enumerar los controladores de reserva en el dominio especificado y proporciona el estado de su sincronización.

<filename>/ LIST_DELTAS: <nombrearchivo> información de la lista del archivo Netlogon.chg especificar cambios en la base de datos de cuenta de usuario.

<filename>/ LIST_REDO: <nombrearchivo> información de la lista del archivo Netlogon.chg especificar cambios en la base de datos de cuenta de usuario.

Resultado de ejemplo de NLTEST.exe

Por ejemplo, suponga que el dominio TESTD confía el dominio ESS y un equipo que ejecuta Windows NT llamado TEST3 es un miembro del dominio TESTD.

NLTEST puede utilizarse para mostrar esta relación de confianza.
   C:\>nltest /trusted_domains
   Trusted domain list:
      ESS
   The command completed successfully
				

Para determinar los controladores de dominio del dominio TESTD:
   C:\>nltest /dclist:testd
   List of DCs in Domain testd
      \\TEST2 (PDC)
      \\TEST1
   The command completed successfully
				

Para determinar los controladores de dominio del dominio ESS:
   C:\>nltest /dclist:ess
   List of DCs in Domain ess
      \\NET1 (PDC)
   The command completed successfully
				

A continuación son los canales seguros entre cada controlador de dominio TESTD y un DC en el dominio ESS.
   C:\>nltest /server:test1 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

   C:\>nltest /server:test2 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

La estación de trabajo que es miembro del dominio TESTD tiene una confianza implícita con un controlador de dominio.
   C:\>nltest /server:test3 /sc_query:testd
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\TEST2
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

Para determinar si un controlador de dominio puede autenticar una cuenta de usuario:
   C:\>nltest /whowill:ESS bob
   [20:58:55] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC939)
   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
   The command completed successfully

   C:\>nltest /whowill:testd test
   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
   [21:26:15] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC295)
   The command completed successfully
				

NLTEST puede utilizarse para buscar un dominio de confianza que tiene una cuenta de usuario determinado.
   C:\>nltest /finduser:sweppler
   Domain Name: ESS
   Trusted DC Name \\NET1
   The command completed successfully
				

Para comprobar el estado de sincronización de BDC:
   C:\>nltest /bdc_query:testd
   Server : \\TEST1
      SyncState : IN_SYNC
      ConnectionState : Status = 0 0x0 NERR_Success
   The command completed successfully
				

Nltest.exe puede utilizarse también para sincronizar la base de datos desde una línea de comandos o un trabajo por lotes de cuentas.

Para ejecutar la utilidad para sincronizar el dominio de un PDC, escriba:

C:\ nltest /PDC_Repl

Para ejecutar la utilidad desde un servidor miembro, un controlador de dominio de reserva o una estación de trabajo de Windows, escriba

nltest C:\ /Server: <pdcname> /PDC_Repl

donde NombrePDC es el nombre real del PDC, no el nombre del dominio)

Verá los eventos de sincronización correcta de Visor de sucesos en el controlador de dominio principal, así como los controladores de reserva.

Propiedades

Id. de artículo: 158148 - Última revisión: miércoles, 01 de noviembre de 2006 - Versión: 1.1
La información de este artículo se refiere a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Palabras clave: 
kbmt kbenv kbinfo kbnetwork KB158148 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 158148

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com