ドメイン セキュア チャネル ユーティリティ -- Nltest.exe

文書翻訳 文書翻訳
文書番号: 158148 - 対象製品
この記事は、以前は次の ID で公開されていました: JP158148
すべて展開する | すべて折りたたむ

目次

概要

Microsoft Windows NT 4.0 リソース キットには、ドメインのメンバである Windows NT コンピュータ間、およびほかのドメインを信頼しているドメイン コントローラ間で、セキュリティで保護されたチャネルをテストするための強力なコマンドライン ユーティリティが付属しています。次に、このユーティリティについて詳しく説明します。

詳細

NLTEST の概要

nltest.exe は、Windows NT ドメインの信頼関係およびドメイン コントローラのレプリケーションの状態をテストする強力なコマンドライン ユーティリティです。1 ドメインは、1 台のプライマリ ドメイン コントローラ (PDC) を含むドメイン コントローラから構成されます。バックアップ ドメイン コントローラ (BDC) は、存在しない場合もあり、複数存在する場合もあります。

Windows NT で信頼という言葉を使うときには、2 つの Windows NT ドメイン間の関係を表します。各ドメインは、信頼する側のドメインまたは信頼される側のドメインのいずれかの役割を持ちます。どの信頼関係においても、信頼するドメイン内の各ドメイン コントローラと、信頼されるドメイン内のドメイン コントローラとの間に、それぞれ別個の通信チャネルが存在します。たとえば、ドメイン "A" がドメイン "B" を信頼している場合には、"B" が信頼される側のドメイン、"A" が信頼する側のドメインにあたります。別の例として、ドメイン "I" がドメイン "J" を信頼し、ドメイン "J" がドメイン "I" を信頼しているとします。この例で、ドメイン コントローラ間に存在する 2 つの信頼関係は互いに区別されます。このような関係は完全信頼モード、または双方向の信頼と呼ばれています。しかし、セキュリティで保護されたチャネルを診断する場合には、信頼するドメイン内の各ドメイン コントローラと信頼されるドメイン内のドメイン コントローラとの間に 2 つの独立したチャネルが存在すると考えるのが適切です。

信頼関係は、遷移的ではありません。たとえば、ドメイン "X" がドメイン "Y" を信頼し、ドメイン "Y" がドメイン "Z" を信頼している場合、ドメイン "X" がドメイン "Z" を信頼していることにはなりません。これは、信頼関係を確立するには、各ドメインの管理者が信頼関係のいずれかの側に、明示的な許可を与える必要があるためです。

信頼関係のもう 1 つの形式は、"暗黙の" 信頼と呼ばれることがあります。単一ドメイン モデルや、どのドメイン間にも "明示的な" 信頼関係が存在しない環境では、"暗黙の" 信頼関係が有効になり、機能的にも必要とされます。この暗黙の信頼は、あるドメインのメンバであるすべての Windows NT コンピュータと、そのドメイン内のドメイン コントローラとの間に存在します。明示的な信頼関係は、ドメイン ユーザー マネージャで確立します。これに対し、暗黙の信頼関係は、ドメインにメンバとして参加すると、自動的に確立されます。

nltest.exe は、ドメインのメンバである Windows NT コンピュータと、そのコンピュータのアカウントが存在するドメイン コントローラとの間の信頼関係をテストするのに使用できます。また、あるドメイン内の BDC と PDC との間の信頼を検証することもできます。明示的な信頼が定義されているドメインでは、NLTEST を使って、信頼するドメイン内のすべてのドメイン コントローラと、信頼されるドメイン内のドメイン コントローラとの間の信頼関係をテストできます。

このような通信セッションは、セキュリティで保護されたチャネルと呼ばれ、Windows NT コンピュータ アカウントの認証に使用されます。また、あるリモート ユーザーがネットワーク リソースに接続するとき、そのユーザー アカウントが信頼される側のドメインに存在する場合に、ユーザー アカウントの認証にも使用されます。これは、パススルー認証と呼ばれるもので、これによって、新しくドメインのメンバになった Windows NT コンピュータが、そのドメインおよび任意の信頼されるドメインのユーザー アカウント データベースにアクセスできるようになっています。

nltest.exe では、ブラウザ サービスを使ってドメイン コントローラのリストを取得します。このため、ブラウザ サービスが正しく動作していないと、nltest.exe の結果が矛盾する場合があります。nltest.exe が実行されるコンピュータとブラウザ サービスを提供するコンピュータでは、ドメイン コントローラがドメイン上で使用しているのと同じプロトコルを使う必要があります。さらに、指定されたコンピュータおよびドメインの名前のリストは、WINS サーバー レプリケーション、IPX ルータ設定、NetBEUI ブリッジなどの名前解決の状態にも依存します。

nltest.exe は、これらすべての信頼関係とドメインの同期に対し、監視、テスト、および検証を行うことができます。

"NLTEST.EXE" (引用符は除く) と入力した場合のサンプル出力

C:\NTRESKIT>nltest
Usage: nltest [/OPTIONS]
/SERVER:<ServerName> - Specify <ServerName>

/QUERY - Query <ServerName> netlogon service

/REPL - Force replication on <ServerName> BDC

/SYNC - Force SYNC on <ServerName> BDC

/PDC_REPL - Force UAS change message from <ServerName> PDC

/SC_QUERY:<DomainName> - Query secure channel for <Domain> on <ServerName>

/SC_RESET:<DomainName> - Reset secure channel for <Domain> on <ServerName>

/DCLIST:<DomainName> - Get list of DC's for <DomainName>

/DCNAME:<DomainName> - Get the PDC name for <DomainName>

/DCTRUST:<DomainName> - Get name of DC is used for trust of <DomainName>

/WHOWILL:<Domain>* <User> [<Iteration>] - See if <Domain> will log on <User>

/FINDUSER:<User> - See which trusted <Domain> will log on <User>

/TRANSPORT_NOTIFY - Notify of netlogon of new transport

/RID:<HexRid> - RID to encrypt Password with

/USER:<UserName> - Query User info on <ServerName>

/TIME:<Hex LSL> <Hex MSL> - Convert NT GMT time to ASCII

/LOGON_QUERY - Query number of cumulative logon attempts

/TRUSTED_DOMAINS - Query names of domains trusted by workstation

/BDC_QUERY:<DomainName> - Query replication status of BDCs for <DomainName>

/SIM_SYNC:<DomainName> <MachineName> - Simulate full sync replication

/LIST_DELTAS:<FileName> - display the content of given change log file

/LIST_REDO:<FileName> - display the content of given redo log file

nltest.exe のスイッチに関するコメントおよび説明

/SERVER:<サーバー名>: 指定されたサーバー上で nltest.exe コマンドをリモート実行します。このスイッチが指定されていない場合、コマンドはローカル コンピュータで実行されます。

/QUERY ローカル サーバーまたは指定されたサーバーに対し、ドメイン コントローラとの間の、正常に機能するセキュリティで保護されたチャネルを照会します。また、PDC のディレクトリ サービス レプリケーションの状態の照会も行います。このオプションは、Netlogon サービスの全般的な状態を判別するのに便利です。

/REPL ローカル BDC または指定された BDC の部分同期を強制的に実行します。

/SYNC ローカル BDC または指定された BDC の完全即時同期を強制的に実行します。

/PDC_REPL 指定された PDC からすべての BDC に対して、変更メッセージを強制的に送信します。

/SC_QUERY:<ドメイン名> ローカルまたはリモートのワークステーション、サーバー、または BDC に対し、指定されたドメイン内のセキュリティで保護されたチャネルを検証します。2 つのドメイン間に明示的な信頼関係が存在する場合、信頼される側のドメインを指定すれば、PDC に対しても検証を実行できます。

/SC_RESET:<ドメイン名> ローカルまたはリモートのワークステーション、サーバー、または BDC 間のセキュリティで保護されたチャネルをリセットします。2 つのドメイン間に明示的な信頼関係が存在する場合、信頼される側のドメインを指定すれば、PDC に対してもリセットを実行できます。

/DCLIST:<ドメイン名> 指定されたドメイン内のすべてのドメイン コントローラ (PDC、および BDC) を表示します。

/DCNAME:<ドメイン名> 指定されたドメインのプライマリ ドメイン コントローラを表示します。

/DCTRUST:<ドメイン名> コマンドを実行するたびに、セキュリティで保護されたチャネルを照会し、テストします。2 つのドメイン間に明示的な信頼関係が存在する場合、信頼される側のドメインを指定すれば、PDC に対しても照会とテストを実行できます。

/WHOWILL:<ドメイン><ユーザー> ドメインに対して照会を行い、ローカル ユーザー アカウント データベースにアカウントを持つドメイン コントローラを表示します。これは、ドメイン コントローラにあるユーザー アカウントが存在するかどうかを判別するのに便利です。指定されたユーザー名が、現在ログオンしているユーザーのものであれば、そのユーザーの現在のパスワードはドメイン コントローラに送信されません。これは、複数のドメインに重複するアカウントの存在を調べるのに役立ちます。

/FINDUSER:<ユーザー> 指定されたユーザーについて、明示的に信頼されたドメインを照会します。これは、サーバー メッセージ ブロック (SMB) パケット内にドメイン名が指定されていない場合に、信頼されたドメインの中から、ユーザーの資格情報を認証するドメイン コントローラまたはドメインを判別するのに便利です。Windows for Workgroups Version 3.1 や、Windows 95 のリアルモード リダイレクタなど、下位レベルのクライアントの多くではドメイン名が指定されません。

/USER:<ユーザー名> 指定されたユーザー アカウントについて、ユーザー アカウント データベースで管理されている属性を表示します。

/LOGON_QUERY コンソールまたはネットワーク上で試行されたログオン照会の回数を示します。

/TRUSTED_DOMAINS 明示的に信頼されたドメインのリストを表示します。

/BDC_QUERY:<ドメイン名> 指定されたドメイン内のバックアップ ドメイン コントローラのリストとその同期状態を表示します。

/LIST_DELTAS:<ファイル名> netlogon.chg ファイルから、ユーザー アカウント データベースへの変更に関する情報を一覧表示します。

/LIST_REDO:<ファイル名> netlogon.chg ファイルから、ユーザー アカウント データベースへの再実行に関する情報を一覧表示します。

nltest.exe の出力例

ここでは、TESTD ドメインが ESS ドメインを信頼し、Windows NT Workstation が実行されている TEST3 というコンピュータが TESTD ドメインのメンバである例を考えます。

NLTEST で信頼関係を表示する
   C:\>nltest /trusted_domains
   Trusted domain list:
      ESS
The command completed successfully

TESTD ドメイン内のドメイン コントローラを調べる

   C:\>nltest /dclist:testd
   List of DCs in Domain testd
      \\TEST2 (PDC)
      \\TEST1
The command completed successfully

ESS ドメイン内のドメイン コントローラを調べる
   C:\>nltest /dclist:ess
   List of DCs in Domain ess
      \\NET1 (PDC)
The command completed successfully

TESTD 内の各ドメイン コントローラと ESS ドメイン内のある DC との間のセキュリティで保護されたチャネルを検証する
   C:\>nltest /server:test1 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

   C:\>nltest /server:test2 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

TESTD ドメインのメンバであるワークステーションとドメイン コントローラ間の暗黙の信頼関係を検証する
   C:\>nltest /server:test3 /sc_query:testd
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\TEST2
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

ドメイン コントローラがユーザー アカウントを認証するかどうかを判別する
   C:\>nltest /whowill:ESS bob
   [20:58:55] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC939)
   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
The command completed successfully

   C:\>nltest /whowill:testd test
   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
   [21:26:15] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC295)
The command completed successfully

特定のユーザー アカウントを持つ信頼されたドメインを見つける
   C:\>nltest /finduser:sweppler
   Domain Name: ESS
   Trusted DC Name \\NET1
The command completed successfully

BDC の同期の状態を確認する
   C:\>nltest /bdc_query:testd
   Server : \\TEST1
      SyncState : IN_SYNC
      ConnectionState : Status = 0 0x0 NERR_Success
The command completed successfully

nltest.exe を使って、コマンド ラインまたはバッチ ジョブからアカウント データベースを同期させることもできます。

nltest.exe ユーティリティを使って、PDC からドメインを同期する

C:\ nltest /PDC_Repl

メンバのサーバー、バックアップ ドメイン コントローラ、または Windows NT のワークステーションからユーティリティを実行する

C:\ nltest /Server:<PDC名> /PDC_Repl

PDC名には、ドメインの名前ではなく、PDC の実際の名前を指定します。

プライマリ ドメイン コントローラおよびバックアップ ドメイン コントローラ上のイベント ビューアで、正常に実行された同期イベントを確認できます。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 158148 (最終更新日 1999-01-27) をもとに作成したものです。

プロパティ

文書番号: 158148 - 最終更新日: 1999年1月27日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
キーワード:?
kbinfo ntdomain ntsrvwkst kbenv kbnetwork KB158148
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com