網域安全通道公用程式--Nltest.exe

文章翻譯 文章翻譯
文章編號: 158148 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

Microsoft Windows NT 4.0 資源工具箱 」 包含非常強大的命令列公用程式來測試是網域成員的 Windows NT 電腦之間,以及信任其他網域的網域控制站之間的安全通道。下面是詳細的討論。

其他相關資訊

(如 NLTEST 概觀

Nltest.exe 是非常強大的命令列公用程式,可以用來在 Windows NT 網域中測試的信任關係和網域控制站複寫狀態。網域所組成,其中有是單一網域主控制站 (PDC) 和零個或多個備份網域控制站 (BDC) 的網域控制站。

Windows NT 的內容中使用這個字信任時, 它會說明這兩個 Windows NT 網域之間的關聯性。牽涉到每個網域已被信任的網域或受信任的網域角色。對於任何指定的信任關聯性有是單一不連續的通訊通道,信任網域中的每個網域控制站和受信任的網域中的網域控制站之間。為範例如果網域 A 」 信任網域"B"然後"B"受信任的網域,而且"A"是信任的網域。在另一個的範例假設"I"信任網域以 「 J 」 且網域的網域 「 J 」 信任網域"I"。在這個範例有兩個不同的信任關係的網域控制站之間。通常,這就稱為完成信任] 模式或雙向信任。還,基於安全通道診斷最佳的做法就是想出這些做為兩個不同安全通道,信任網域中的每個網域控制站和受信任的網域中的網域控制站之間。

並非可轉移信任關係。比方說假設網域的 「 X 」 信任網域"Y"其中依次信任網域"Z"。這並不表示網域的 「 X 」 信任網域"Z"。原因是在每個網域系統管理員必須授與明確的權限任一邊的信任關係為其生效。

另一種形式的信任關係有時稱為 「 隱含的信任。在單一網域模型中,或在一個環境中其中任何兩個網域之間有沒有明確 」 的信任關係,"隱含的信任關係是作用中和功能上所需。這個隱含的信任的所有電腦執行 Windows NT 網域成員和其網域的網域控制站間存在。透過對網域使用者管理員則會建立明確的信任關係。 隱含的信任關係是由所成為網域的成員建立。

Nltest.exe 來測試執行 Windows NT 網域的成員與網域控制站其機器帳戶所在的電腦之間的信任關係。(如 NLTEST 還可以確認信任網域中的 BDC 與他們 PDC 之間。在已經定義明確的信任的網域中 (如 NLTEST 可以測試信任網域中的所有網域控制站和受信任的網域中的網域控制站之間的信任關係。

這些工作階段的通訊稱為安全通道,而用來驗證 Windows NT 電腦帳戶。它們也用來驗證使用者帳戶,當遠端使用者連線到網路的資源,並受信任網域中有使用者帳戶。這稱為傳遞驗證,它允許執行已加入要在其網域和任何受信任的網域使用者帳戶資料庫存取網域的 Windows NT 的電腦。

Nltest.exe 可以使用瀏覽器服務,來列舉網域控制站。 因此,如果瀏覽無法正常運作,Nltest.exe 可能會產生不一致的結果。執行 Nltest.exe 電腦和那些提供瀏覽服務需要共用相同的網域控制站用來執行他們的網域活動的通訊協定。在另外指定的電腦及網域名稱的列舉型別而定的名稱-解析度,例如 WINS 伺服器複寫、 IPX 路由器設定或 NetBEUI 橋接狀態。

所有這些信任關係和網域同步處理可監視、 測試,並由 Nltest.exe 來驗證。

取得輸入 NLTEST.EXE"不含引號的範例輸出

C:\NTRESKIT > nltest
使用方法: nltest [/OPTIONS]
/ 伺服器: <ServerName>-指定 <ServerName>

/ 查詢-查詢 <servername>netlogon 服務

/ REPL-<servername>BDC 上強制複寫

/ 同步-<servername>BDC 上強制同步

/ PDC_REPL-強制 UAS 變更從 <servername>PDC 的訊息

/ SC_QUERY: <domainname>-查詢安全通道的 <domain><servername>上

/ SC_RESET: <domainname>-重設安全通道的 <domain><servername>上

/ DCLIST: <DomainName>-取得清單的 DC 的 <DomainName>

/ DCNAME: <DomainName>-取得 <DomainName>PDC 的名稱

/ DCTRUST: <DomainName>-取得名稱的 DC 用於 <DomainName>信任

/ WHOWILL: <Domain>* <User>[<Iteration>]-是否 <Domain>將登入 <User>,請參閱

/ FINDUSER: 信任 <Domain>的請參閱將登入 <User><User>-

/ TRANSPORT_NOTIFY-新的傳輸 netlogon 的通知

/ RID: <hexrid>-RID 加密與密碼

/ USER: <username>-<servername>上的查詢使用者資訊

/ 時間: 以 ASCII < Hex LSL > < Hex MSL-> 轉換 NT GMT 時間

/ LOGON_QUERY-查詢累積的登入嘗試次數

/ TRUSTED_DOMAINS-由工作站所信任的網域的查詢名稱

/ BDC_QUERY: <DomainName>-查詢的 BDC <DomainName>的複寫狀態

/ SIM_SYNC: <domainname><machinename>-模擬完整同步處理複寫

/ LIST_DELTAS: <filename>-顯示指定的內容變更記錄檔

/ LIST_REDO: <filename>-顯示內容的指定取消復原記錄檔

額外的註解和 Nltest.exe 參數的說明

/ 伺服器: <servername>: 遠端 [Nltest.exe 」 指令,以指定的伺服器。如果沒有指定這個參數就會於指令執行從本機電腦。

/ QUERY 查詢本機或指定伺服器的健全的安全通道,網域控制站和目錄服務的狀態與 PDC 進行複寫。這會在決定 Netlogon 服務的一般狀態非常有幫助。

/ REPL 強制部分的同步處理本機或指定 BDC。

/SYNC 強制本機或指定 BDC 完整立即同步的處理。

/ PDC_REPL 的指定 PDC 強制變更訊息到所有的 BDC。

/ SC_QUERY: <domainname>確認安全的通道,在本機或遠端工作站、 伺服器,或 BDC 指定的網域中。這可以執行 PDC,如果明確的信任關係存在兩個網域之間,並指定信任的網域。

/ SC_RESET: <domainname>重設本機或遠端工作站、 伺服器或 BDC 之間安全通道。這可以執行 PDC,如果明確的信任關係存在兩個網域之間,並指定信任的網域。

/ DCLIST: <domainname>列出所有網域控制站、 PDC 和指定網域中的 BDC。

/ DCNAME: <domainname>清單指定網域的網域主控站。

/ DCTRUST: <domainname>查詢並測試安全通道,每次執行此命令。指定本機或遠端工作站、 伺服器,或 BDC 網域。這可以執行 PDC,如果明確的信任關係存在兩個網域之間,並指定信任的網域。

/WHOWILL:<domain><user>查詢網域,並指出哪些網域控制站在其本機使用者帳戶資料庫中有該帳戶。這是在判斷指定的網域控制站包含使用者帳戶非常有用的。如果指定使用者名稱就是目前登入使用者的使用者的目前密碼無法傳送到網域控制站。這會有幫助在判斷重複的帳戶存在跨越數個網域。

/FINDUSER:<user>查詢指定使用者的明確信任的網域。 判斷哪些受信任的網域控制站或伺服器訊息區 (SMB) 封包中未指定網域名稱時,出數個受信任網域的何種信任的網域將驗證使用者的認證時,這是非常有用的。許多舊版用戶端,例如 Windows 3.1 版工作群組和真實模式重新導向器,在 Windows 95 中的不要指定網域名稱。

/ USER: <username>顯示許多都會被保留為指定的使用者帳戶屬性的使用者帳戶資料庫中。

/ LOGON_QUERY 指定的嘗試登入數查詢在主控台] 或 [在網路上。

/ TRUSTED_DOMAINS 顯示明確的受信任網域的清單。

/ BDC_QUERY: <domainname>列出備份網域控制站中指定的網域,並提供其同步狀態。

/ LIST_DELTAS: <filename>將資訊從 Netlogon.chg 檔案指定變更使用者帳戶資料庫中的清單。

/ LIST_REDO: <filename>將資訊從 Netlogon.chg 檔案指定變更使用者帳戶資料庫中的清單。

從 Nltest.exe 的範例輸出

做為範例假設 [TESTD 網域信任 ESS 的網域,並執行稱為 TEST3 的 Windows NT 工作站的電腦是 TESTD 網域的成員]。

(如 NLTEST 來顯示此信任關係。
   C:\>nltest /trusted_domains
   Trusted domain list:
      ESS
   The command completed successfully
				

若要判斷 TESTD 網域中的網域控制站:
   C:\>nltest /dclist:testd
   List of DCs in Domain testd
      \\TEST2 (PDC)
      \\TEST1
   The command completed successfully
				

若要判斷 ESS 網域中的網域控制站:
   C:\>nltest /dclist:ess
   List of DCs in Domain ess
      \\NET1 (PDC)
   The command completed successfully
				

以下是 TESTD 中的每個網域控制站和 ESS 網域中的 DC 之間的安全通道。
   C:\>nltest /server:test1 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully

   C:\>nltest /server:test2 /sc_query:ess
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\NET1
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

成員的 TESTD 網域的工作站有與網域控制站的隱含信任。
   C:\>nltest /server:test3 /sc_query:testd
   Flags: 0
   Connection Status = 0 0x0 NERR_Success
   Trusted DC Name \\TEST2
   Trusted DC Connection Status Status = 0 0x0 NERR_Success
   The command completed successfully
				

若要判斷是否為網域控制站可以驗證使用者帳戶:
   C:\>nltest /whowill:ESS bob
   [20:58:55] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC939)
   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
   The command completed successfully

   C:\>nltest /whowill:testd test
   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
   [21:26:15] Mail message 0 sent successfully
   (\MAILSLOT\NET\GETDC295)
   The command completed successfully
				

(如 NLTEST 來尋找具有特定的使用者帳戶的信任的網域。
   C:\>nltest /finduser:sweppler
   Domain Name: ESS
   Trusted DC Name \\NET1
   The command completed successfully
				

如果要確認 BDC 同步處理狀態:
   C:\>nltest /bdc_query:testd
   Server : \\TEST1
      SyncState : IN_SYNC
      ConnectionState : Status = 0 0x0 NERR_Success
   The command completed successfully
				

Nltest.exe 也可用來同步處理帳戶資料庫從命令列或批次工作。

若要執行公用程式來同步處理從一個 PDC 網域,鍵入:

C:\ nltest /PDC_Repl

若要從成員伺服器、 備份網域控制站或 Windows NT 工作站的型別執行公用程式

C:\ nltest /Server: <pdcname>/PDC_Repl

其中 PDCName 是 PDC 不在網域名稱的實際名稱)

您會看到成功同步處理事件,在 [事件檢視器] 中的網域主控站,以及備份網域控制站上。

屬性

文章編號: 158148 - 上次校閱: 2006年11月1日 - 版次: 1.1
這篇文章中的資訊適用於:
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kbmt kbenv kbinfo kbnetwork KB158148 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:158148
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com