Domínio Secure Channel utilitário--Nltest.exe

Traduções de Artigos Traduções de Artigos
Artigo: 158148 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O Microsoft Windows NT 4.0 Resource Kit contém um utilitário da linha de comandos muito poderoso para testar os canais seguros entre computadores Windows NT que façam parte de um domínio e entre controladores de domínio são outros domínios confiantes. Segue-se uma discussão detalhada sobre.

Mais Informação

Descrição geral do NLTEST

Nltest.exe é um utilitário da linha de comandos muito poderoso que pode ser utilizado para testar as relações de fidedignidade e o estado de replicação do controlador de domínio num domínio do Windows NT. Um domínio consistem em controladores de domínio no qual existe um único principal controlador de domínio (PDC, Primary Domain Controller) e zero ou mais controladores de domínio secundários (BDC).

Quando a palavra fidedignidade é utilizada no contexto do Windows NT, descreve uma relação entre dois domínios do Windows NT. Cada domínio envolvido tem ou a função de ser o domínio confiante, ou o domínio fidedigno. Para qualquer relação de fidedignidade especificado, existe um canal de comunicações discreto único entre cada controlador de domínio no domínio confiante e o controlador de domínio no domínio fidedigno. Para exemplo se confia no domínio "A" domínio "B" e "B" é o domínio fidedigno e "A" é o domínio confiante. Num outro exemplo, suponha que o domínio "Que" confia no domínio "J" e o domínio "J" fidedignidades de domínio "I". Neste exemplo, existem duas relações de fidedignidade distintos entre os controladores de domínio. Muitas vezes, isto é chamado o modo de confiança completa ou uma fidedignidade bidireccional. Ainda, para diagnóstico de canal seguro, é melhor pensar destes como dois canais seguros separados, entre cada controlador de domínio no domínio confiante e um controlador de domínio no domínio fidedigno.

Relações de fidedignidade não são transitivas. Por exemplo, suponha que confianças de domínio "X" domínio "Y", que por sua vez fidedignidades de domínio "Z". Isto não implica confianças de domínio "X" domínio "Z". O motivo para isto é que o administrador em cada domínio tem de conceder permissão explícita em ambos os lados da relação de fidedignidade para que seja efectuada.

Outra forma de relação de fidedignidade é por vezes referida como uma fidedignidade "implícita". Num modelo único domínio ou num ambiente em que existem não relações de fidedignidade "explícito" entre quaisquer dois domínios, a relação de fidedignidade "implícita" está activa e a funcionalidade necessária. Esta fidedignidade implícita existe entre todos os computadores com o Windows NT que façam parte de um domínio e um controlador de domínio no respectivo domínio. Relações fidedignas explícitas são estabelecidas através do Gestor de utilizadores para domínios. Relações de fidedignidade implícita são estabelecidas por se tornar membro de um domínio.

Nltest.exe pode ser utilizado para testar a relação de fidedignidade entre um computador com o Windows NT que seja membro de um domínio e um controlador de domínio onde reside a respectiva conta de computador. NLTEST também pode verificar a fidedignidade entre os BDC num domínio e o respectivo PDC. Em domínios onde tiver sido definida uma relação fidedigna explícita, NLTEST pode testar a relação de fidedignidade entre todos os controladores de domínio no domínio confiante e um controlador de domínio no domínio fidedigno.

Estas sessões de comunicação são designados por canal seguro e são utilizados para autenticar contas de computador do Windows NT. Também são utilizados para autenticar contas de utilizador quando um utilizador remoto estabelece ligação a um recurso de rede e a conta de utilizador existe num domínio fidedigno. Isto é chamado autenticação pass-through e permite que um computador com o Windows NT foi associado um domínio tenham acesso a base de dados de utilizador de contas no respectivo domínio e em quaisquer domínios fidedignos.

Nltest.exe pode utilizar o serviço de browser para enumerar os controladores de domínio. Por conseguinte, se procura não está a funcionar correctamente, Nltest.exe pode produzir resultados inconsistentes. É necessário partilhar os mesmos protocolos que são utilizados pelos controladores de domínio para executar as respectivas actividades de domínio do computador onde o Nltest.exe é executado e os fornecer serviços de procura. Além disso, a enumeração dos nomes de computador e o domínio especificados variam consoante o estado de resolução de nomes, tal como WINS replicação de servidor, a configuração de router IPX ou NetBEUI bridging.

Todas estas relações de fidedignidade e sincronização de domínio, podem ser monitorizadas, testadas e verificadas por Nltest.exe.

Exemplo de resultado obtido por escrever "NLTEST.EXE" sem as propostas

C:\NTRESKIT > nltest
Utilização: nltest [/ opções]
/ SERVER: <ServerName> - especificar <ServerName>

/ CONSULTAR - consulta o serviço de netlogon <servername>

/ REPL - Force a replicação no <servername> BDC

/ SYNC - Force SYNC no <servername> BDC

/Change PDC_REPL - Force UAS mensagem <servername> PDC, Primary Domain Controller

<domainname><domain>/ SC_QUERY: <nome_de_domínio> - Query canal seguro para <domínio> no <servername>

<domainname><domain>/ SC_RESET: <nome_de_domínio> - Repor canal seguro para <domínio> no <servername>

/ DCLIST: <nome_de_domínio> - obter lista de DC é para <nome_de_domínio>

/ DCNAME: <nome_de_domínio> - obter o nome do PDC, Primary Domain Controller <nome_de_domínio>

/ DCTRUST: <nome_de_domínio> - obter nome de DC é utilizado para fidedignidade de <nome_de_domínio>

/ WHOWILL: <domínio> * <User> [<Iteration>] - Consulte se <domínio> iniciará sessão <User>

/ FINDUSER: <User> - consulte que fidedigno <domínio> iniciará sessão <User>

/ TRANSPORT_NOTIFY - notificação de netlogon do transporte novo

/ RID: <hexrid> - RID para encriptar a palavra-passe com

<username>/ USER: <nomedeutilizador> - Query User informações sobre <servername>

/ TIME: < Hex LSL > < Hex MSL > - Converter NT GMT necessário ASCII

/ LOGON_QUERY - número de consulta de tentativas de início de sessão cumulativa

/ TRUSTED_DOMAINS - Query nomes dos domínios considerados fidedignos por estação de trabalho

/ BDC_QUERY: <nome_de_domínio> - consulta o estado de replicação da BDC, Backup Domain Controller para <nome_de_domínio>

<domainname>/ SIM_SYNC: <nome_de_domínio> <machinename> - simular replicação da sincronização total

<filename>/ LIST_DELTAS: <nome_do_ficheiro> - Mostrar o conteúdo de determinado ficheiro de registo de alterações

<filename>/ LIST_REDO: <nome_do_ficheiro> - apresentar o conteúdo de determinado Refazer o ficheiro de registo

Comentários e descrições de parâmetros Nltest.exe adicionais

/ SERVER: <servername>: controlos remotos o Nltest.exe comandos ao servidor especificado. Se este parâmetro não for especificado, o comando é executado a partir do computador local.

/ QUERY consulta o servidor local ou especificado para um canal seguro Saudável um controlador de domínio e o estado dos serviços de directório de replicação com o PDC. Isto é muito útil de determinar o estado geral do serviço Netlogon.

/ REPL forçar sincronização parcial de BDC local ou especificado.

/SYNC força uma sincronização completa, imediata de BDC local ou especificado.

/ PDC_REPL O PDC especificado força uma mensagem de alteração para todos os BDC.

<domainname>/ SC_QUERY: <nome_de_domínio> verifica no canal seguro do domínio especificado para uma estação de trabalho local ou remota, servidor ou BDC. Isto pode ser executado para um PDC, Primary Domain Controller se existe uma relação fidedigna explícita entre dois domínios e o domínio fidedigno é especificado.

<domainname>/ SC_RESET: <nome_de_domínio> repõe o canal seguro entre a estação de trabalho local ou remota, servidor ou BDC. Isto pode ser executado para um PDC, Primary Domain Controller se existe uma relação fidedigna explícita entre dois domínios e o domínio fidedigno é especificado.

<domainname>/ DCLIST: <nome_de_domínio> lista todos os controladores de domínio, PDC e BDC num determinado domínio.

<domainname>/ DCNAME: <nome_de_domínio> lista o controlador de domínio principal para num determinado domínio.

<domainname>/ DCTRUST: <nome_de_domínio> consultas e testa o canal seguro sempre o comando é executado. Especifique o domínio para a estação de trabalho local ou remota, servidor ou BDC. Isto pode ser executado para um PDC, Primary Domain Controller se existe uma relação fidedigna explícita entre dois domínios e o domínio fidedigno é especificado.

/WHOWILL:<domain> <user> consulta o domínio e indica o domínio controlador tem a conta no respectivo base de dados de conta de utilizador local. Isto é muito útil para determinar se um determinado controlador de domínio contém a conta de utilizador. Se o nome de utilizador especificado é que do utilizador actualmente com sessão iniciada, palavra-passe actual do utilizador é não enviada para o controlador de domínio. Isto é útil de determinar se existem contas duplicadas em vários domínios.

/FINDUSER:<user> consulta explícitos domínios fidedignos para o utilizador especificado. Isto é muito útil quando determinar o controlador de domínio fidedigno ou o domínio fidedigno de vários domínios fidedignos irá autenticar as credenciais do utilizador quando um nome de domínio não é especificado no pacote SMB (Server Message Block). Muitos clientes de nível inferior, tais como Windows for Workgroups versão 3.1 e o redireccionador de modo real no Windows 95, não especifique um nome de domínio.

<username>/ USER: <nomedeutilizador> apresenta muitos dos atributos para a conta de utilizador especificado que são mantidos na base de dados de conta de utilizador.

/ LOGON_QUERY Especifica o número de tentativa de início de sessão consulta na consola ou através da rede.

/ TRUSTED_DOMAINS apresenta uma lista de domínios fidedignos explícitos.

<domainname>/ BDC_QUERY: <nome_de_domínio> lista de controladores secundários de domínio no domínio especificado e fornece o estado da respectiva sincronização.

<filename>/ LIST_DELTAS: <nome_do_ficheiro> lista informações do ficheiro Netlogon.chg especificar alterações a base de dados de conta de utilizador.

<filename>/ LIST_REDO: <nome_do_ficheiro> lista informações do ficheiro Netlogon.chg especificar alterações a base de dados de conta de utilizador.

Saída de exemplo do Nltest.exe

Por exemplo, suponha que o domínio TESTD confia no ESS e um computador com Windows NT Workstation chamado TEST3 é um membro do domínio TESTD.

NLTEST pode ser utilizado para mostrar esta relação de fidedignidade.
   C:\>nltest /trusted_domains
   Trusted domain list:
      ESS
   The command completed successfully
				

Para determinar os controladores de domínio no domínio TESTD:
   C:\>nltest /dclist:testd
   List of DCs in Domain testd
      \\TEST2 (PDC)
      \\TEST1
   The command completed successfully
				

Para determinar os controladores de domínio no domínio ESS:
   C:\>nltest /dclist:ess
   List of DCs in Domain ess
      \\NET1 (PDC)
   The command completed successfully
				

Seguem-se de canais seguros entre cada controlador de domínio em TESTD e um DC no domínio ESS.
   C:\>nltest /server:test1 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

   C:\>nltest /server:test2 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

A estação de trabalho que seja membro do domínio TESTD tem uma fidedignidade implícita com um controlador de domínio.
   C:\>nltest /server:test3 /sc_query:testd
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\TEST2
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

Para determinar se um controlador de domínio pode autenticar uma conta de utilizador:
   C:\>nltest /whowill:ESS bob
   [20:58:55] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC939)
   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
   The command completed successfully

   C:\>nltest /whowill:testd test
   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
   [21:26:15] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC295)
   The command completed successfully
				

NLTEST pode ser utilizado para localizar um domínio fidedigno que tenha uma conta de utilizador dado.
   C:\>nltest /finduser:sweppler
   Domain Name: ESS
   Trusted DC Name \\NET1
   The command completed successfully
				

Para verificar o estado da sincronização BDC:
   C:\>nltest /bdc_query:testd
   Server : \\TEST1
      SyncState : IN_SYNC
      ConnectionState : Status = 0 0x0 NERR_Success
   The command completed successfully
				

Também é possível utilizar Nltest.exe para sincronizar a base de dados contas de uma linha de comandos ou um processo.

Para executar o utilitário para sincronizar o domínio a partir de um PDC, Primary Domain Controller, escreva:

C:\ nltest /PDC_Repl

Para executar o utilitário a partir de um servidor membro, controlador secundário de domínio ou estação de trabalho do Windows NT, escreva

C:\ nltest /Server: <pdcname> /PDC_Repl

onde Nome_pdc é o nome real do PDC, não o nome do domínio)

Poderá ver os eventos de sincronização com êxito no Visualizador de eventos no controlador de domínio principal, bem como controladores de domínio de cópia de segurança.

Propriedades

Artigo: 158148 - Última revisão: 1 de novembro de 2006 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Palavras-chave: 
kbmt kbenv kbinfo kbnetwork KB158148 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 158148

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com