Utilitaire de canal sécurisé de domaine -- Nltest.exe

Traductions disponibles Traductions disponibles
Numéro d'article: 158148 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F158148
Agrandir tout | Réduire tout

Sommaire

Résumé

Le Kit de ressources Microsoft Windows NT 4.0 contient un utilitaire de ligne de commande très puissant permettant de tester les canaux sécurisés entre des ordinateurs Windows NT membres d'un domaine et entre des contrôleurs de domaine approuvant d'autres domaines. Ce sujet est traité en détail ci-dessous.

Plus d'informations

Présentation de NLTEST

Nltest.exe est un utilitaire de ligne de commande très puissant permettant de tester les relations d'approbation et l'état de réplication des contrôleurs de domaine sur un domaine Windows NT. Un domaine est constitué de contrôleurs de domaine dans lesquels se trouvent un contrôleur principal de domaine unique et zéro contrôleur secondaire de domaine ou plus.

Lorsque le terme Approbation est utilisé dans le contexte de Windows NT, il décrit une relation entre deux domaines Windows NT. Chaque domaine impliqué tient soit le rôle du domaine approbateur, soit celui du domaine approuvé. Pour toute relation d'approbation donnée, il existe un canal unique de communications discrètes entre chaque contrôleur de domaine du domaine approbateur et un contrôleur de domaine du domaine approuvé. Par exemple, si le Domaine "A" approuve le Domaine "B", "B" est le domaine approuvé et "A" le domaine approbateur. Dans un autre exemple, supposons que le Domaine "I" approuve le Domaine "J" et que le Domaine "J" approuve le Domaine "I". Nous sommes en présence de deux relations d'approbation distinctes entre les contrôleurs de domaine. Cette situation est souvent appelée mode Approbation totale ou approbation bidirectionnelle. Cependant, pour ce qui est du diagnostic des canaux sécurisés, il est préférable de penser en termes de deux canaux sécurisés séparés, entre chaque contrôleur de domaine du domaine approbateur et un contrôleur de domaine du domaine approuvé.

Les relations d'approbation ne sont pas transitives. Par exemple, supposons que le Domaine "X" approuve le Domaine "Y", qui lui approuve le Domaine "Z". Ceci ne signifie PAS que le Domaine "X" approuve le Domaine "Z". La raison en est que l'administrateur de chaque domaine doit accorder des autorisations explicites des deux côtés de la relation d'approbation pour qu'elle puisse exister.

Une autre forme de relation d'approbation est parfois appelée approbation "implicite". Dans un modèle de domaine unique ou dans un environnement où il n'existe pas de relation d'approbation "explicite" entre deux domaines quelconques, la relation d'approbation "implicite" est active et nécessaire du point de vue opérationnel. Cette approbation implicite existe entre tous les ordinateurs Windows NT membres d'un domaine et un contrôleur de domaine de leur domaine. Les relations d'approbation explicites sont établies par le biais du Gestionnaire des utilisateurs pour les domaines. Les relations d'approbation implicites sont établies en rendant un ordinateur membre d'un domaine.

Vous pouvez utiliser Nltest.exe pour tester la relation d'approbation entre un ordinateur Windows NT membre d'un domaine et un contrôleur de domaine sur lequel réside son compte d'ordinateur. NLTEST peut aussi vérifier l'approbation entre les contrôleurs secondaires d'un domaine et leur contrôleur principal de domaine. Dans les domaines où une approbation explicite a été définie, NLTEST peut tester la relation d'approbation entre tous les contrôleurs du domaine approbateur et un contrôleur de domaine du domaine approuvé.

Ces sessions de communication sont appelées Canaux sécurisés et servent à authentifier les comptes des ordinateurs Windows NT. Ces canaux servent également à authentifier les Comptes utilisateurs lorsqu'un utilisateur distant se connecte à une ressource réseau et que son compte existe dans un domaine approuvé. Il s'agit de l'Authentification pass-through, qui permet à un ordinateur Windows NT ayant rejoint un domaine d'accéder à la Base de données de comptes utilisateur de son domaine et de tout domaine approuvé.

Nltest.exe peut utiliser le service Navigateur pour établir la liste des contrôleurs de domaine. C'est pourquoi, si la navigation ne fonctionne pas correctement, Nltest.exe peut produire des résultats incohérents. L'ordinateur exécutant Nltest.exe et les ordinateurs fournissant les services de navigation doivent utiliser les mêmes protocoles que les contrôleurs de domaine pour effectuer leurs tâches liées au domaine. De plus, l'énumération de l'ordinateur et des noms de domaine spécifiés dépend de l'état de la résolution de noms, telle que la réplication de serveur WINS, la configuration de routeurs IPX ou l'établissement de passerelles NetBEUI.

Toutes ces relations d'approbation et la synchronisation de domaines peuvent être administrées, testées et contrôlées par Nltest.exe.

Exemple de sortie obtenue en tapant "NLTEST.EXE" (sans les guillemets)

C:\NTRESKIT>nltest
Usage: nltest [/OPTIONS]
/SERVER:<NomServeur> - Spécifier <NomServeur>

/QUERY - Interroger le service Netlogon de <NomServeur>

/REPL - Forcer la réplication sur le contrôleur de domaine secondaire <NomServeur>

/SYNC - Forcer SYNC sur le contrôleur de domaine secondaire <NomServeur>

/PDC_REPL - Forcer le message de modification UAS du contrôleur de domaine principal <NomServeur>

/SC_QUERY:<NomDomaine> - Analyser le canal sécurisé pour <Domaine> sur <NomServeur>

/SC_RESET:<NomDomaine> - Réinitialiser le canal sécurisé pour <Domaine> sur <NomServeur>

/DCLIST:<NomDomaine> - Obtenir la liste de contrôleurs de domaine pour <NomDomaine>

/DCNAME:<NomDomaine> - Obtenir le nom du contrôleur de domaine principal pour <NomDomaine>

/DCTRUST:<NomDomaine> - Obtenir le nom du contrôleur de domaine utilisé pour l'approbation de <NomDomaine>

/WHOWILL:<Domaine>* <Utilisateur>[<Itération>] - Voir si <Domaine> connecte <Utilisateur>

/FINDUSER:<Utilisateur> - Voir quel <Domaine> approuvé connecte <Utilisateur>

/TRANSPORT_NOTIFY - Indication de nouveau transport de Netlogon

/RID:<RidHex> - RID pour crypter le mot de passe

/USER:<NomUtilisateur> - Demander les infos utilisateur sur <NomServeur>

/TIME:<Hex LSL> <Hex MSL>- Convertir l'heure GMT de NT en format ASCII

/LOGON_QUERY - Numéro de requête de tentatives de connexion cumulatives

/TRUSTED_DOMAINS - Demander les noms de domaines approuvés pas la station de travail

/BDC_QUERY:<NomDomaine> - Demander l'état de réplication des contrôleurs de domaine secondaires pour <NomDomaine>

/SIM_SYNC:<NomDomaine> <NomOrdinateur>- Simuler une réplication Full Sync

/LIST_DELTAS:<NomFichier> - Afficher le contenu du fichier journal de modifications donné

/LIST_REDO:<NomFichier> - Afficher le contenu du fichier journal de répétitions donné

Commentaires et descriptions supplémentaires des commutateurs Nltest.exe

/SERVER:<NomServeur>: Transmet la commande Nltest.exe au serveur spécifié. Si vous n'utilisez pas ce commutateur, la commande est exécutée à partir de l'ordinateur local.

/QUERY Demande au serveur local ou au serveur spécifié un canal sécurisé en bon état vers un contrôleur de domaine et l'état de réplication des Services d'annuaire avec le contrôleur principal de domaine. Ceci est très utile pour déterminer l'état général du service Netlogon.

/REPL Forcer la synchronisation partielle du contrôleur de domaine secondaire local ou spécifié.

/SYNC Forcer la synchronisation complète et immédiate du contrôleur de domaine secondaire local ou spécifié.

/PDC_REPL Le contrôleur de domaine principal spécifié force un message de modification vers tous les contrôleurs de domaine secondaires.

/SC_QUERY:<NomDomaine>Vérifie le canal sécurisé du domaine spécifié pour une station de travail, un serveur ou un contrôleur de domaine secondaire local ou distant. Cette commande peut être exécutée pour un contrôleur de domaine principal s'il existe une relation d'approbation explicite entre deux domaines et que le domaine approuvé est spécifié.

/SC_RESET:<NomDomaine>Réinitialise le canal sécurisé pour une station de travail, un serveur ou un contrôleur de domaine secondaire local ou distant. Cette commande peut être exécutée pour un contrôleur de domaine principal s'il existe une relation d'approbation explicite entre deux domaines et que le domaine approuvé est spécifié.

/DCLIST:<NomDomaine>Répertorie tous les contrôleurs de domaine, principaux et secondaires, d'un domaine donné.

/DCNAME:<NomDomaine>Indique le contrôleur principal d'un domaine donné.

/DCTRUST:<NomDomaine>Interroge et teste le canal sécurisé chaque fois que la commande est exécutée. Spécifiez le domaine de la station de travail, du serveur ou du contrôleur de domaine secondaire local ou distant. Cette commande peut être exécutée pour un contrôleur de domaine principal s'il existe une relation d'approbation explicite entre deux domaines et que le domaine approuvé est spécifié.

/WHOWILL:<Domaine><Utilisateur>Analyse le domaine et indique quel contrôleur de domaine comporte le compte dans sa base de données de comptes d'utilisateurs locale. Ceci est très utile pour déterminer si un contrôleur de domaine donné contient le compte d'utilisateur. Si le nom d'utilisateur spécifié est celui de l'utilisateur actuellement connecté, le mot de passe actuel de l'utilisateur n'est PAS transmis au contrôleur de domaine. Ceci est très utile pour déterminer s'il existe des comptes dupliqués sur plusieurs domaines.

/FINDUSER:<Utilisateur>Recherche l'utilisateur spécifié sur des domaines approuvés explicitement. Ceci est très utile pour déterminer quel contrôleur de domaine ou quel domaine approuvé (parmi plusieurs domaines approuvés) authentifie les informations d'identification de l'utilisateur quand aucun nom de domaine n'est spécifié dans le paquet SMB (Server Message Block). De nombreux clients de faible niveau, tels que Windows for Workgroups version 3.1 et le redirecteur en mode réel dans Windows 95, ne spécifient pas de nom de domaine.

/USER:<NomUtilisateur>Affiche la plupart des attributs du compte d'utilisateur spécifié conservés dans la base de données de comptes d'utilisateurs.

/LOGON_QUERY Spécifie le nombre de tentatives de requêtes de connexion au niveau de la console ou sur le réseau.

/TRUSTED_DOMAINS Affiche une liste des domaines approuvés explicitement.

/BDC_QUERY:<NomDomaine>Répertorie les contrôleurs secondaires de domaine dans le domaine spécifié et indique l'état de leur synchronisation.

/LIST_DELTAS:<NomFichier>Répertorie les informations du fichier Netlogon.chg indiquant les modifications de la base de données des comptes utilisateurs.

/LIST_REDO:<NomFichier>Répertorie les informations du fichier Netlogon.chg indiquant les modifications de la base de données des comptes utilisateurs.

Exemple de sortie de Nltest.exe

Prenons comme exemple le domaine TESTD, qui approuve le domaine ESS, et un ordinateur Windows NT Workstation appelé TEST3 et membre du domaine TESTD.

Vous pouvez utiliser NLTEST pour démontrer cette relation d'approbation.
   C:\>nltest /trusted_domains
   Trusted domain list:
      ESS
   The command completed successfully

Pour déterminer les contrôleurs de domaine du domaine TESTD :
   C:\>nltest /dclist:testd
   List of DCs in Domain testd
      \\TEST2 (PDC)
      \\TEST1
   The command completed successfully

Pour déterminer les contrôleurs de domaine du domaine ESS :
   C:\>nltest /dclist:ess
   List of DCs in Domain ess
      \\NET1 (PDC)
   The command completed successfully

Ci-dessous sont indiqués les canaux sécurisés entre chaque contrôleur de domaine de TESTD et un contrôleur de domaine du domaine ESS.
   C:\>nltest /server:test1 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

   C:\>nltest /server:test2 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

La station de travail membre du domaine TESTD a une relation d'approbation implicite avec un contrôleur de domaine.
   C:\>nltest /server:test3 /sc_query:testd
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\TEST2
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

Pour déterminer si un contrôleur de domaine peut authentifier un compte d'utilisateur :
   C:\>nltest /whowill:ESS bob
   [20:58:55] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC939)
   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
   The command completed successfully

   C:\>nltest /whowill:testd test
   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
   [21:26:15] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC295)
   The command completed successfully

Vous pouvez utiliser NLTEST pour rechercher un domaine approuvé comportant un compte d'utilisateur donné.
   C:\>nltest /finduser:sweppler
   Domain Name: ESS
   Trusted DC Name \\NET1
   The command completed successfully

Pour vérifier l'état de synchronisation du contrôleur secondaire de domaine.
   C:\>nltest /bdc_query:testd
   Server : \\TEST1
      SyncState : IN_SYNC
      ConnectionState : Status = 0 0x0 NERR_Success
   The command completed successfully

Vous pouvez aussi utiliser Nltest.exe pour synchroniser la base de données de comptes à partir d'une ligne de commande ou d'un programme de commandes.

Pour exécuter l'utilitaire afin de synchroniser le domaine à partir d'un contrôleur de domaine principal, tapez :

C:\ nltest /PDC_Repl

Pour exécuter l'utilitaire à partir d'un serveur membre, d'un contrôleur secondaire de domaine ou d'une station de travail Windows NT, tapez :

C:\ nltest /Server:<NomPDC> /PDC_Repl

où NomPDC est le nom du contrôleur principal de domaine, pas le nom du domaine)

L'Observateur d'événements du contrôleur principal de domaine et des contrôleurs secondaires de domaine affiche les événements de synchronisation réussis.

Propriétés

Numéro d'article: 158148 - Dernière mise à jour: jeudi 9 août 2001 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 4.0 Standard Edition
Mots-clés : 
kbinfo kbenv kbnetwork KB158148
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com