Domény zabezpečeného kanálu nástroje--Nltest.exe

Souhrn

Microsoft Windows NT 4.0 Resource Kit obsahuje velmi výkonný nástroj příkazového řádku, chcete-li otestovat zabezpečené kanály mezi počítači systému Windows NT, které jsou členy domény a mezi řadiči domény, které jsou důvěřující jiné domény. Níže je podrobný popis.

Další informace

Přehled příkazu NLTEST

Nltest.exe je velmi výkonný nástroj příkazového řádku, který lze použít k testování vztahů důvěryhodnosti a stav replikace řadiče domény v doméně systému Windows NT. Domény se skládají z řadiče domény, ve kterých je jeden primární řadič domény (PDC) a nula nebo více záložních řadičů domény (BDC).


Při použití aplikace word důvěryhodnosti v rámci systému Windows NT popisuje vztah mezi dvěma doménami systému Windows NT. Každá doména zapojených má role je důvěřující domény nebo důvěryhodné domény. Pro jakýkoli daný vztah důvěryhodnosti vztah je jediný diskrétní komunikační kanál mezi každý řadič domény v důvěřující doméně a řadičem domény v důvěryhodné doméně. Pro příklad Pokud doména "A" důvěřuje doméně "B" a "B" je důvěryhodné domény a "A" je důvěřující domény. Jiný příklad předpokládejme, že domény "I" důvěřuje doméně "J" a doménou "J" důvěřuje doméně "I". V tomto příkladu jsou dva odlišné důvěryhodnosti vztahy mezi řadiči domény. Často se používá v režimu úplný vztah důvěryhodnosti nebo vztah důvěryhodnosti 2-way. Ještě pro diagnózu zabezpečeného kanálu, je vhodné si představit tyto jako dva samostatné zabezpečené kanály, mezi každý řadič domény v důvěřující doméně a řadičem domény v důvěryhodné doméně.


Nejsou přenositelné vztahy důvěryhodnosti. Předpokládejme například, že domény "X" důvěřuje doméně "Y", která zase důvěřuje doméně "Z". To neznamená domény "X" důvěřuje doméně "Z". Důvodem je, že správce v každé doméně musí udělit explicitní oprávnění na obou stranách vztah důvěryhodnosti, aby mohla proběhnout.


Jiná forma vztahu důvěryhodnosti je někdy označovány jako "implicitní" vztah důvěryhodnosti. V model jediné domény nebo v prostředí, kde nejsou "žádné explicitní" vztahy důvěryhodnosti mezi dvěma doménami, vztah důvěryhodnosti "implicitní" je aktivní a funkčně potřebné. Tento implicitní vztah důvěryhodnosti existuje mezi všechny počítače systémem Windows NT, které jsou členy domény a řadiče domény v doméně. Explicitní vztahy důvěryhodnosti jsou vytvořeny pomocí Správce uživatelů pro domény. Vztahy důvěryhodnosti implicitní jsou stanoveny tak, že se stane členem domény.


Nltest.exe lze použít k testování vztahu důvěryhodnosti mezi počítačem se systémem Windows NT, který je členem domény a řadiče domény, kde je umístěn příslušný účet počítače. NLTEST můžete také ověřit vztah důvěryhodnosti mezi záložních řadičů domény v doméně a jejich primární řadič DOMÉNY. V doménách kde explicitní vztah důvěryhodnosti byl definován NLTEST otestovat vztah důvěryhodnosti mezi všechny řadiče domény v důvěřující doméně a řadičem domény v důvěryhodné doméně.


Tyto relace komunikace se nazývají zabezpečené kanály a slouží k ověření systému Windows NT účty počítače. Používají se také k ověřování uživatelských účtů při vzdálený uživatel připojí k síťovému prostředku a uživatelský účet existuje v důvěryhodné doméně. To se nazývá předávací ověřování a umožňuje počítači se systémem Windows NT, který se připojil k doméně získat přístup k databázi uživatelských účtů v doméně a všech důvěryhodných doménách.


Nltest.exe lze vytvořit výčet řadičů domény služba prohledávání počítačů. Proto pokud procházení nepracuje správně, Nltest.exe může způsobit nekonzistentní výsledky. Počítače, kde je spuštěna Nltest.exe a subjektů, které poskytují služby procházení sítě musí sdílet stejné protokoly, které používají řadiče domény provádět svou činnost domény. Kromě toho výčet zadaného názvu počítače a domény závisí na stavu překladu názvů, jako například replikace serveru WINS, konfigurace směrovače IPX nebo NetBEUI přemostění.


Všechny tyto vztahy důvěryhodnosti a synchronizace domény lze sledovat, testovány a ověřeny Nltest.exe.

Ukázkový výstup zobrazíte zadáním příkazu "NLTEST. "EXE" bez uvozovek

C:\NTRESKIT > nltest
Použití: nltest / [parametry]
/ SERVER: < název_serveru > - zadejte < název_serveru >


/ DOTAZ – služba netlogon < název_serveru > dotaz


/ REPL - vynucení replikace v < název_serveru > služby BDC


SYNCHRONIZAČNÍ - platnost SYNCHRONIZACE na < název_serveru > služby BDC


/ PDC_REPL - síla UAS změnit zprávu z < název_serveru > primární řadič DOMÉNY


/ SC_QUERY: < Název_domény > - zabezpečený kanál dotazu < domény > o < název_serveru >


/ SC_RESET: < Název_domény > - obnovení zabezpečeného kanálu pro < domény > o < název_serveru >


/ DCLIST: < Název_domény > - získat seznam řadiče domény < Název_domény >


/ NÁZEV_ŘADIČE_DOMÉNY: < Název_domény > - získat název primárního řadiče DOMÉNY < Název_domény >


/ DCTRUST: < Název_domény > - získat název řadiče domény se používá pro zabezpečení < Název_domény >


/ WHOWILL: < Domain > * < uživatel > [< iterace >] - zobrazí pokud < Domain > přihlášení < uživatele >


/ FINDUSER: < uživatele > – viz < Domain >, kterým se budou přihlašovat < uživatele >


/ TRANSPORT_NOTIFY - oznámení o netlogon nové dopravní


/ RID: < HexRid > - RID zašifrovat pomocí hesla


/ USER: < uživatelské_jméno > - informace o uživateli dotaz na < název_serveru >


/ ČAS: čas GMT NT převést < dolní LIMIT Hex >< Hex MSL - > ASCII


/ LOGON_QUERY - dotaz počet pokusů o přihlášení kumulativní


/ TRUSTED_DOMAINS - dotaz názvy domén, které důvěřuje pracovní stanice


/ BDC_QUERY: < Název_domény > - dotaz na stav replikace řadiče BDC < Název_domény >


/ SIM_SYNC: < Název_domény >< název_počítače > - simulace úplné synchronizace replikace


/ LIST_DELTAS: < název_souboru > - Zobrazit obsah dané soubor protokolu změn


/ LIST_REDO: < název_souboru > - znovu zobrazit obsah daného souboru protokolu

Další poznámky a popisy Nltest.exe přepínačů

/ SERVER: < název_serveru >: dálková ovládání Nltest.exe příkaz k určenému serveru. Není-li tento přepínač zadán, je příkaz spuštěn z místního počítače.


/ Query Vyhledá zadané nebo místní server pro zdravé zabezpečený kanál k řadiči domény a stav replikace adresářové služby pomocí primárního řadiče DOMÉNY. To je velmi užitečné při určování obecné informace o stavu služby Netlogon.


/ Platnost REPL částečná synchronizace místní nebo zadaná záložní řadič DOMÉNY.


/ Sync vynutí úplnou, okamžité synchronizace místní nebo zadaná záložní řadič DOMÉNY.


/ PDC_REPL zadané DOMÉNY vynutí změnu zprávy všech záložních řadičů domény.


/ SC_QUERY: < Název_domény > ověřuje kanál zabezpečení v zadané doméně pro místní nebo vzdálenou pracovní stanici, server nebo záložní řadič DOMÉNY. To mohou být spuštěny pro primární řadič DOMÉNY, pokud existuje explicitní vztah důvěryhodnosti vztah mezi dvěma doménami a důvěryhodné doména zadána.


/ SC_RESET: < Název_domény > obnoví zabezpečený kanál mezi místní nebo vzdálenou pracovní stanici, server nebo záložní řadič DOMÉNY. To mohou být spuštěny pro primární řadič DOMÉNY, pokud existuje explicitní vztah důvěryhodnosti vztah mezi dvěma doménami a důvěryhodné doména zadána.


/ DCLIST: < Název_domény > seznam řadičů domény, primární řadič DOMÉNY a záložní řadiče domény v dané doméně.


/ NÁZEV_ŘADIČE_DOMÉNY: < Název_domény > seznamy primárního řadiče domény pro danou doménu.


/ DCTRUST: < Název_domény > Dotazy a testy zabezpečeného kanálu pokaždé, když je příkaz spuštěn. Zadejte doménu pro místní nebo vzdálenou pracovní stanici, server nebo záložní řadič DOMÉNY. To mohou být spuštěny pro primární řadič DOMÉNY, pokud existuje explicitní vztah důvěryhodnosti vztah mezi dvěma doménami a důvěryhodné doména zadána.


/ WHOWILL: < doména >< uživatele > Dotazy v doméně a určuje, který řadič domény nemá účet v jejich databázi místních uživatelských účtů. To je velmi užitečné při určování, zda je daný řadič domény obsahuje uživatelský účet. Pokud zadané uživatelské jméno je, že aktuálně přihlášeného uživatele, uživatele zasláno aktuální heslo NENÍ řadič domény. To je užitečné při určování, zda existují duplicitní účty v několika doménách.


/ FINDUSER: < uživatel > Dotazy explicitní důvěryhodné domény pro určeného uživatele. To je velmi užitečné při určování, jaké důvěryhodné domény řadiče nebo jaké důvěryhodné domény z několika důvěryhodných domén bude ověřovat pověření uživatele, pokud není zadán název domény v paketu zprávy bloku SMB (Server). Mnoho klientů nižší úrovně, jako je například Windows for Workgroups verze 3.1 a reálný režim přesměrovač v systému Windows 95 není zadán název domény.


/ USER: < uživatelské_jméno > zobrazí mnoho atributů pro zadaný uživatelský účet, které jsou udržovány v databázi uživatelských účtů.


/ LOGON_QUERY Určuje dotaz počet pokusů o přihlášení ke konzole, nebo prostřednictvím sítě.


/ TRUSTED_DOMAINS zobrazí v seznamu explicitně důvěryhodných domén.


/ BDC_QUERY: < Název_domény > seznam záložní řadiče domény v určené doméně a poskytuje stav jejich synchronizace.


/ LIST_DELTAS: < název_souboru > seznam informace ze souboru Netlogon.chg zadání změny v databázi uživatelských účtů.


/ LIST_REDO: < název_souboru > seznam informace ze souboru Netlogon.chg zadání změny v databázi uživatelských účtů.

Příklad výstupu z Nltest.exe

Například předpokládejme, že TESTD domény a vztahy důvěryhodnosti domény ESS a počítač se systémem Windows NT Workstation s názvem TEST3 je členem domény TESTD.


NLTEST lze zobrazit tento vztah důvěryhodnosti.

   C:\>nltest /trusted_domains
Trusted domain list:
ESS
The command completed successfully


Určení řadiče domény v doméně TESTD:

   C:\>nltest /dclist:testd
List of DCs in Domain testd
\\TEST2 (PDC)
\\TEST1
The command completed successfully


Určení řadiče domény v doméně ESS:

   C:\>nltest /dclist:ess
List of DCs in Domain ess
\\NET1 (PDC)
The command completed successfully


V následující tabulce jsou zabezpečené kanály mezi každý řadič domény v TESTD a řadiči domény v doméně ESS.

   C:\>nltest /server:test1 /sc_query:ess
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

C:\>nltest /server:test2 /sc_query:ess
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully


Pracovní stanice, který je členem domény TESTD má implicitní vztah důvěryhodnosti s řadičem domény.

   C:\>nltest /server:test3 /sc_query:testd
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\TEST2
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully


Chcete-li zjistit, zda řadič domény může ověřit uživatelský účet:

   C:\>nltest /whowill:ESS bob
[20:58:55] Mail message 0 sent successfully
(\MAILSLOT\NET\GETDC939)
[20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
The command completed successfully

C:\>nltest /whowill:testd test
[21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
[21:26:15] Mail message 0 sent successfully
(\MAILSLOT\NET\GETDC295)
The command completed successfully


NLTEST lze najít důvěryhodné doméně, která má daný uživatelský účet.

   C:\>nltest /finduser:sweppler
Domain Name: ESS
Trusted DC Name \\NET1
The command completed successfully


Chcete-li ověřit stav BDC synchronizace:

   C:\>nltest /bdc_query:testd
Server : \\TEST1
SyncState : IN_SYNC
ConnectionState : Status = 0 0x0 NERR_Success
The command completed successfully


Nltest.exe lze použít také k synchronizaci databáze účtů z příkazový řádek nebo dávkovou úlohu.


Chcete-li spustit nástroj pro synchronizaci z primární ŘADIČ domény, zadejte:


C:\ nltest /PDC_Repl


Chcete-li spustit nástroj z členský server, záložní řadič domény nebo pracovní stanice systému Windows NT, zadejte


C:\ nltest/server: < PDCName > /PDC_Repl


kde PDCName je skutečný název primárního řadiče DOMÉNY, nikoli název domény)


Úspěšné synchronizace událostí v prohlížeči událostí se zobrazí na primární řadič domény a záložní řadiče domény.
Vlastnosti

ID článku: 158148 - Poslední kontrola: 10. 1. 2017 - Revize: 1

Váš názor