域安全通道实用工具--Nltest.exe

文章翻译 文章翻译
文章编号: 158148 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

在 Microsoft Windows NT 4.0 资源工具包中包含一个非常强大的命令行实用程序来测试之间的一个域的成员的 Windows NT 计算机和被信任其他域的域控制器之间的安全通道。下面是详细的讨论。

更多信息

NLTEST 概述

Nltest.exe 是一个非常强大的命令行实用程序,可用于测试 Windows NT 域中的信任关系和域控制器复制的状态。域包含在其中没有单个的主域控制器 (PDC) 和零个或多个备份域控制器 (BDC) 的域控制器。

当 Windows NT 的上下文中使用时单词信任时,它描述了两个 Windows NT 域之间的关系。所涉及的每个域都有到信任域或 $ 受信任的域的角色。对于任何的给定的信任关系是信任域中的每个域控制器和 $ 受信任域中的域控制器之间的一个离散的通讯通道。例如,如果域 A 信任域"B",然后"B"是在受信任的域和"A"是信任域。在一个另一个示例中假设"i"信任"J"域和域的域"J"信任域"i"。在此的示例在域控制器之间有两个不同的信任关系。通常,这被称为完全信任模式或双向信任关系。然而,对安全通道诊断最好认为这些作为两个单独的安全通道,信任域中的每个域控制器和受信任域中的域控制器之间。

信任关系不是可传递的。例如对于假设"X"域信任关系域"Y"这反过来信任域"Z"。这并不会不意味着"X"域信任关系域"Z"。其原因是在每个域中的管理员必须授予的显式权限在任一侧的信任关系,它就会发生。

信任关系的另一个窗体有时称为"隐式"的信任。在一个单独域模型或环境中在任何两个域之间有没有"显式"信任关系的"隐式"信任关系处于活动状态,所需的功能。所有运行 Windows NT 的计算机是域的成员和其域中的域控制器之间存在此隐式的信任关系。通过域用户管理器建立显式的信任关系。 隐式信任关系被建立成为域的成员。

Nltest.exe 可用于测试运行其计算机帐户所在的域控制器和成员的域的 Windows NT 的计算机之间的信任关系。NLTEST 也可以验证信任关系在域中的 bdc 和其 PDC 之间。已定义明确信任关系的域中 NLTEST 可以测试在信任域中的所有域控制器和受信任域中的域控制器之间的信任关系。

这些会话的通讯被称为安全通道,用于对 Windows NT 的计算机帐户进行身份验证。它们还用于对用户帐户进行身份验证时远程用户连接到网络资源和受信任域中存在的用户帐户。这称为传递认证,它允许在运行已加入某个域在其域和任何信任域中具有到用户帐户数据库的访问权限的 Windows NT 的计算机。

Nltest.exe 可以使用浏览器服务来枚举域控制器。 因此,如果浏览不能正常工作,Nltest.exe 可能会产生不一致的结果。Nltest.exe 在哪里运行在计算机和提供浏览服务需要共享相同的协议,由域控制器用于执行他们域的活动。此外,指定名的计算机和域名的枚举取决于名称的解析为 WINS 服务器复制、 IPX 的路由器配置或 NetBEUI 桥接的状态。

所有这些信任关系和域同步可以监视、 测试,和 Nltest.exe 通过验证。

通过键入 NLTEST.EXE 不在引号中获得的示例输出

C:\NTRESKIT > nltest
用法: nltest [/OPTIONS]
/ SERVER: <ServerName>-指定 <ServerName>

/ 查询-查询 <servername>netlogon 服务

/ REPL-<servername>BDC 上强制复制

/ SYNC-强制 SYNC <servername>BDC 上

/ PDC_REPL-强制 UAS 更改从 <servername>PDC 的消息

/ SC_QUERY: <domainname>-查询安全通道,<domain><servername>上

/ SC_RESET: <domainname>-重设安全通道,<domain><servername>上

/ DCLIST: <DomainName>-获取列表中的 DC 是为了 <DomainName>

/ DCNAME: <DomainName>-获取 <DomainName>PDC 名称

/ DCTRUST: <DomainName>-获取名称的 DC 用于 <DomainName>的信任

/ WHOWILL: <Domain>* <User>[<Iteration>]-是否 <Domain>将登录 <User>(请参阅

/ FINDUSER: 受信任的 <Domain>的请参阅将登录 <User><User>-

/ TRANSPORT_NOTIFY-新的传输的 netlogon 的通知

/ RID: <hexrid>-RID 加密与密码

/ USER: <username>-<servername>查询用户信息

/ 时间: ASCII < 十六进制 LSL > < 十六进制 MSL >-转换 NT GMT 时间

/ LOGON_QUERY-查询的累积的登录尝试次数

/ TRUSTED_DOMAINS-工作站受信任的域的查询名称

/ BDC_QUERY: <DomainName>-查询 <DomainName>bdc 的复制状态

/ SIM_SYNC: <domainname><machinename>-模拟完全同步复制

/ LIST_DELTAS: <filename>-显示给定的内容更改日志文件

/ LIST_REDO: <filename>-显示给定的内容恢复日志文件

其他注释和说明的 Nltest.exe 开关

/ SERVER: <servername>: 远程数据库在 Nltest.exe 命令到指定的服务器。如果未指定此开关,则从本地计算机运行命令。

/ QUERY 查询本地或指定服务器的运行状况良好的安全通道到一个的域控制器和 $ 目录服务的状态与将 PDC 的复制。这是很有帮助确定 Netlogon 服务的常规状态。

/ REPL 强制的本地或指定 BDC 的部分同步。

/SYNC 强制本地或指定 BDC 的完整、 即时同步。

/ PDC_REPL 的指定的 PDC 会强制更改邮件设置为所有 bdc。

/ SC_QUERY: <domainname>验证在本地或远程工作站、 服务器,或 BDC 指定域中的对安全通道。这可以为一个 PDC 运行如果两个域之间存在一个显式的信任关系,并指定受信任的域。

/ SC_RESET: <domainname>重置本地或远程工作站、 服务器或 BDC 之间安全的通道。这可以为一个 PDC 运行如果两个域之间存在一个显式的信任关系,并指定受信任的域。

/ DCLIST: <domainname>列出所有域控制器、 PDC 和 bdc 给定域中的。

/ DCNAME: <domainname>列表为给定域的主域控制器。

/ DCTRUST: <domainname>查询并测试了安全通道,每次执行该命令。指定在本地或远程工作站、 服务器,或 BDC 的域。这可以为一个 PDC 运行如果两个域之间存在一个显式的信任关系,并指定受信任的域。

/WHOWILL:<domain><user>查询域,并指示哪个域控制器在其本地用户帐户数据库中有帐户。这是非常有用,在确定是否给定的域控制器包含该用户帐户。如果指定的用户名,是在当前登录用户的用户的当前密码不发送到域控制器。这是很有帮助,在确定是否在多个域之间存在重复的帐户。

/FINDUSER:<user>查询显式指定该用户的受信任的域。 确定哪些受信任的域控制器或 $ 服务器消息块 (SMB) 数据包中没有指定一个域名时,哪些受信任的域的多个受信任的域将验证用户的凭据时,这是非常有用。许多级别较低的客户端如 Windows 3.1 版工作组和实模式重定向程序在 Windows 95 中的没有指定一个域名。

/ USER: <username>显示很多属性指定的用户帐户进行维护的用户帐户数据库中。

/ 尝试登录数 LOGON_QUERY 指定查询在控制台或通过网络。

/ TRUSTED_DOMAINS 显式的受信任域的列表的显示。

/ BDC_QUERY: <domainname>列出指定的域中的备份域控制器,并提供了他们的同步的状态。

/ LIST_DELTAS: <filename>指定用户帐户数据库的更改将 Netlogon.chg 文件中的列表信息。

/ LIST_REDO: <filename>指定用户帐户数据库的更改将 Netlogon.chg 文件中的列表信息。

从 Nltest.exe 示例输出

作为一个的示例假定 TESTD 域信任 ESS 域和一台计算机,运行 Windows NT 工作站称为 TEST3 是 TESTD 域的成员。

NLTEST 可用于显示此信任关系。
   C:\>nltest /trusted_domains
   Trusted domain list:
      ESS
   The command completed successfully
				

若要确定 TESTD 域中的域控制器,请执行下列操作:
   C:\>nltest /dclist:testd
   List of DCs in Domain testd
      \\TEST2 (PDC)
      \\TEST1
   The command completed successfully
				

若要确定 ESS 域中的域控制器,请执行下列操作:
   C:\>nltest /dclist:ess
   List of DCs in Domain ess
      \\NET1 (PDC)
   The command completed successfully
				

下面是 TESTD 的每个域控制器和 ESS 域中的 DC 之间安全的通道。
   C:\>nltest /server:test1 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

   C:\>nltest /server:test2 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

工作站 TESTD 域的成员都有一个隐式信任的域控制器。
   C:\>nltest /server:test3 /sc_query:testd
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\TEST2
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

若要确定是否域控制器可以进行身份验证的用户帐户,请执行下列操作:
   C:\>nltest /whowill:ESS bob
   [20:58:55] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC939)
   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
   The command completed successfully

   C:\>nltest /whowill:testd test
   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
   [21:26:15] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC295)
   The command completed successfully
				

NLTEST 可以用于查找具有给定的用户帐户的受信任的域。
   C:\>nltest /finduser:sweppler
   Domain Name: ESS
   Trusted DC Name \\NET1
   The command completed successfully
				

要验证 BDC 同步的状态,请执行以下操作:
   C:\>nltest /bdc_query:testd
   Server : \\TEST1
      SyncState : IN_SYNC
      ConnectionState : Status = 0 0x0 NERR_Success
   The command completed successfully
				

Nltest.exe 还可用于从命令行或批处理作业将帐户数据库同步。

若要进行该实用工具以同步将 PDC 从域键入:

C:\ nltest /PDC_Repl

若要运行该实用程序,从成员服务器、 备份域控制器或 Windows NT 工作站的类型

C:\ nltest /Server: <pdcname>/PDC_Repl

其中 PDCName 是 PDC 的在不是 PDC 的域的名称的实际名称)

在主控制器以及备份域控制器上,您将看到事件查看器中的同步成功事件。

属性

文章编号: 158148 - 最后修改: 2006年11月1日 - 修订: 1.1
这篇文章中的信息适用于:
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows NT Server 4.0 Standard Edition
关键字:?
kbmt kbenv kbinfo kbnetwork KB158148 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 158148
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com