โดเมน Secure ยูทิลิตี้สถานี--Nltest.exe

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 158148 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

Kit ทรัพยากรของ 4.0 Windows NT Microsoft ประกอบด้วยโปรแกรมอรรถประโยชน์บรรทัดคำสั่งมีประสิทธิภาพมากในการทดสอบแชนเนลที่ปลอดภัย ระหว่างคอมพิวเตอร์ Windows NT ซึ่งเป็นสมาชิกของโดเมน และ ระหว่างตัวควบคุมโดเมนที่กำลัง trusting โดเมนอื่น ต่อไปนี้เป็นการสนทนาโดยละเอียด

ข้อมูลเพิ่มเติม

ภาพรวมของ NLTEST

Nltest.exe เป็นอรรถประโยชน์บรรทัดคำสั่งที่มีประสิทธิภาพมากที่สามารถใช้ในการทดสอบความสัมพันธ์ที่เชื่อถือและสถานะของการจำลองแบบของตัวควบคุมโดเมนใน Windows NT โดเมน โดเมนประกอบด้วยตัวควบคุมโดเมนที่ซึ่งไม่มีตัวควบคุมโดเมนหลักเดียว (PDC) และตัวเป็นศูนย์ หรือมากกว่าสำรองควบคุมโดเมน (BDC)

เมื่อมีใช้คำเชื่อถือในบริบทของ Windows NT มันอธิบายถึงข้อความแสดงความสัมพันธ์ระหว่างโดเมน Windows NT ที่สอง แต่ละโดเมนเกี่ยวข้องได้อย่างใดอย่างหนึ่งบทบาทของกำลังโดเมน trusting หรือโดเมนที่เชื่อถือได้ สำหรับความสัมพันธ์ที่เชื่อถือที่ระบุ ไม่มีช่องสัญญาณหนึ่งการติดต่อสื่อสารแบ่งแยกระหว่างแต่ละตัวควบคุมโดเมนในโดเมน trusting และตัวควบคุมโดเมนในโดเมนที่เชื่อถือได้ สำหรับตัวอย่างถ้าโดเมน "A" trusts โดเมน "B" แล้ว "B" คือ โดเมนที่เชื่อถือได้ และ "A" โดเมน trusting ในตัวอย่างอื่น สมมติโดเมนที่ "ฉัน" trusts โดเมน "J" และโดเมน "J" trusts โดเมน "ฉัน" ในตัวอย่างนี้ มีความสัมพันธ์ที่เชื่อถือที่แตกต่างกันสองระหว่างตัวควบคุมโดเมนนี้ บ่อยครั้ง ซึ่งเรียกว่าโหมดความน่าเชื่อถือเสร็จสมบูรณ์ หรือความน่าเชื่อถือของวิธีการ 2 ยัง สำหรับการวินิจฉัยแชนเนลที่ปลอดภัย จะดีที่สุดคิดเหล่านี้เป็นสองแยกต่างหากปลอดภัยสถานี ระหว่างแต่ละตัวควบคุมโดเมนในโดเมน trusting และตัวควบคุมโดเมนในโดเมนที่เชื่อถือ

ความสัมพันธ์ที่เชื่อถือจะไม่ transitive ตัวอย่างเช่น สมมติ trusts การโดเมน "X" โดเมน "Y" ซึ่งในกลับ trusts โดเมน "Z" นี่ไม่ imply trusts โดเมน "X" โดเมน "Z" The reason for this is that the administrator in each domain must grant explicit permission on either side of the trust relationship for it to take place.

Another form of trust relationship is sometimes referred to as an "implicit" trust. In a single domain model, or in an environment where there are no "explicit" trust relationships between any two domains, the "implicit" trust relationship is active and functionally needed. This implicit trust exists between all computers running Windows NT that are members of a domain and a domain controller in their domain. Explicit trust relationships are established through User Manager For Domains. Implicit trust relationships are established by becoming a member of a domain.

Nltest.exe can be used to test the trust relationship between a computer running Windows NT that is a member of a domain and a domain controller where its machine account resides. NLTEST can also verify the trust between the BDCs in a domain and their PDC. In domains where an explicit trust has been defined, NLTEST can test the trust relationship between all domain controllers in the trusting domain and a domain controller in the trusted domain.

These sessions of communication are called Secure Channels and are used to authenticate Windows NT machine accounts. They are also used to authenticate User Accounts when a remote user connects to a network resource and the user account exists in a trusted Domain. This is called Pass-Through Authentication, and it allows a computer running Windows NT that has joined a domain to have access to the User Account Database in its domain and in any Trusted Domains.

Nltest.exe can use the Browser Service to enumerate domain controllers. Therefore, if browsing is not working correctly, Nltest.exe may produce inconsistent results. The computer where Nltest.exe is run and those providing the browsing services need to share the same protocols that are used by the domain controllers to carry out their domain activity. In addition, the enumeration of the specified computer and domain names depend on the status of name-resolution, such as WINS server replication, IPX router configuration, or NetBEUI bridging.

All of these trust relationships, and domain synchronization, can be monitored, tested, and verified by Nltest.exe.

Sample Output Obtained by Typing "NLTEST.EXE" Without the Quotes

C:\NTRESKIT>nltest
Usage: nltest [/OPTIONS]
/SERVER:<servername> - Specify <servername> </servername></servername>

/QUERY - Query <servername> netlogon service </servername>

/REPL - Force replication on <servername> BDC </servername>

/SYNC - Force SYNC on <servername> BDC </servername>

/PDC_REPL - Force UAS change message from <servername> PDC </servername>

/SC_QUERY:<domainname> - Query secure channel for <domain> on <servername> </servername></domain></domainname>

/SC_RESET:<domainname> - Reset secure channel for <domain> on <servername> </servername></domain></domainname>

/DCLIST:<domainname> - Get list of DC's for <domainname> </domainname></domainname>

/DCNAME:<domainname> - Get the PDC name for <domainname> </domainname></domainname>

/DCTRUST:<domainname> - Get name of DC is used for trust of <domainname> </domainname></domainname>

/WHOWILL:<domain>* <user> [<iteration>] - See if <domain> will log on <user> </user></domain></iteration></user></domain>

/FINDUSER:<user> - See which trusted <domain> will log on <user> </user></domain></user>

/TRANSPORT_NOTIFY - Notify of netlogon of new transport

/RID:<hexrid> - RID to encrypt Password with </hexrid>

/USER:<username> - Query User info on <servername> </servername></username>

/TIME:<hex lsl=""> <hex msl=""> - Convert NT GMT time to ASCII </hex></hex>

/LOGON_QUERY - Query number of cumulative logon attempts

/TRUSTED_DOMAINS - Query names of domains trusted by workstation

/BDC_QUERY:<domainname> - Query replication status of BDCs for <domainname> </domainname></domainname>

/SIM_SYNC:<domainname> <machinename> - Simulate full sync replication </machinename></domainname>

/LIST_DELTAS:<filename> - display the content of given change log file </filename>

/LIST_REDO:<filename> - display the content of given redo log file </filename>

Additional Comments and Descriptions of the Nltest.exe Switches

/SERVER:<servername>: Remotes the Nltest.exe command to the specified server. If this switch is not specified, the command is run from the local computer. </servername>

/QUERY Queries the local or specified server for a healthy secure channel to a domain controller, and the status of Directory Services replication with the PDC. This is very helpful in determining the general status of the Netlogon service.

/REPL Force partial synchronization of the local or specified BDC.

/SYNC Forces a full, immediate synchronization of the local or specified BDC.

/PDC_REPL The specified PDC forces a change message to all BDCs.

/SC_QUERY:<domainname> Verifies the secure channel in the specified domain for a local or remote workstation, server, or BDC. This can be run for a PDC if an explicit trust relationship exists between two domains and the trusted domain is specified. </domainname>

/SC_RESET:<domainname> Resets the secure channel between the local or remote workstation, server, or BDC. This can be run for a PDC if an explicit trust relationship exists between two domains and the trusted domain is specified. </domainname>

/DCLIST:<domainname> Lists all the domain controllers, PDC, and BDCs in a given domain. </domainname>

/DCNAME:<domainname> Lists the primary domain controller for a given domain. </domainname>

/DCTRUST:<domainname> Queries and tests the secure channel every time the command is executed. Specify the domain for the local or remote workstation, server, or BDC. This can be run for a PDC if an explicit trust relationship exists between two domains and the trusted domain is specified. </domainname>

/WHOWILL:<domain><user> Queries the domain and indicates which Domain Controller has the account in their local user account database. This is very useful in determining if a given domain controller contains the user account. If the username specified is that of the currently logged on user, the user's current password is NOT sent to the domain controller. This is helpful in determining if duplicate accounts exist across several domains. </user></domain>

/FINDUSER:<user> Queries explicit trusted domains for the user specified. This is very useful when determining what trusted domain controller or what trusted domain out of several trusted domains will authenticate a user's credentials when a Domain name is not specified in the Server Message Block (SMB) packet. Many down-level clients, such as Windows for Workgroups version 3.1 and the real-mode redirector in Windows 95, do not specify a domain name. </user>

/USER:<username> Displays many of the attributes for the specified user account that are maintained in the user account database. </username>

/LOGON_QUERY Specifies the number of attempted logon queries at the console, or over the network.

/TRUSTED_DOMAINS Displays a list of explicit trusted domains.

/BDC_QUERY:<domainname> List the backup domain controllers in the specified Domain and provides the state of their synchronization. </domainname>

/LIST_DELTAS:<filename> List information from the Netlogon.chg file specifying changes to the user account database. </filename>

/LIST_REDO:<filename> List information from the Netlogon.chg file specifying changes to the user account database. </filename>

Example Output from Nltest.exe

เป็นตัวอย่าง สมมติโดเมน TESTD trusts โดเมน ESS และคอมพิวเตอร์ที่ใช้ Windows NT เวิร์กสเตชันที่เรียกว่า TEST3 เป็นสมาชิกของโดเมน TESTD

NLTEST สามารถใช้เพื่อแสดงความสัมพันธ์นี้ความน่าเชื่อถือ
   C:\>nltest /trusted_domains
   Trusted domain list:
      ESS
   The command completed successfully
				

เมื่อต้องการกำหนดตัวควบคุมโดเมนในโดเมน TESTD:
   C:\>nltest /dclist:testd
   List of DCs in Domain testd
      \\TEST2 (PDC)
      \\TEST1
   The command completed successfully
				

เมื่อต้องการกำหนดตัวควบคุมโดเมนในโดเมน ESS:
   C:\>nltest /dclist:ess
   List of DCs in Domain ess
      \\NET1 (PDC)
   The command completed successfully
				

ด้านล่างจะแชนเนลที่ปลอดภัยระหว่างแต่ละตัวควบคุมโดเมนใน TESTD DC แบบในโดเมน ESS
   C:\>nltest /server:test1 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

   C:\>nltest /server:test2 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

เวิร์กสเตชันที่เป็นสมาชิกของโดเมน TESTD มีความเชื่อถือ implicit กับตัวควบคุมโดเมน
   C:\>nltest /server:test3 /sc_query:testd
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\TEST2
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

การตรวจสอบการรับรองความถูกถ้าตัวควบคุมโดเมนสามารถต้องบัญชีผู้ใช้:
   C:\>nltest /whowill:ESS bob
   [20:58:55] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC939)
   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
   The command completed successfully

   C:\>nltest /whowill:testd test
   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
   [21:26:15] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC295)
   The command completed successfully
				

NLTEST สามารถใช้เพื่อค้นหาโดเมนที่เชื่อถือได้ที่มีบัญชีผู้ใช้ที่กำหนด
   C:\>nltest /finduser:sweppler
   Domain Name: ESS
   Trusted DC Name \\NET1
   The command completed successfully
				

To verify the status of BDC synchronization:
   C:\>nltest /bdc_query:testd
   Server : \\TEST1
      SyncState : IN_SYNC
      ConnectionState : Status = 0 0x0 NERR_Success
   The command completed successfully
				

Nltest.exe can also be used to synchronize the accounts database from a command line or a batch job.

To run the utility to synchronize the domain from a PDC, type:

C:\ nltest /PDC_Repl

To run the utility from a member server, backup domain controller, or Windows NT workstation, type

C:\ nltest /Server:<pdcname> /PDC_Repl </pdcname>

where PDCName is the actual name of the PDC, not the name of the domain)

You will see the successful synchronization events in Event Viewer on the primary domain controller, as well as the backup domain controllers.

คุณสมบัติ

หมายเลขบทความ (Article ID): 158148 - รีวิวครั้งสุดท้าย: 6 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
Keywords: 
kbenv kbinfo kbnetwork kbmt KB158148 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:158148

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com