Dienstprogramm für sichere Kanäle für Domänen - Nltest.exe

Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
158148 Domain Secure Channel Utility -- Nltest.exe
Zusammenfassung
Der Microsoft Windows NT 4.0 Resource Kit enthält ein sehr leistungsstarkes Befehlszeilenprogramm zum Testen von sicheren Kanälen zwischen Windows NT-Computern, die Mitglieder einer Domäne sind, und zwischen Domänencontrollern, die anderen Domänen vertrauen. Im Folgenden ist dieses Programm ausführlich behandelt.
Weitere Informationen

Überblick über NLTEST

"Nltext.exe" ist ein leistungsstarkes Befehlszeilenprogramm, das Sie verwenden können, um Vertrauensstellungen und den Status der Domänencontrollerreplikation in einer Windows NT-Domäne zu testen. Eine Domäne besteht aus Domänencontrollern, in denen es einen einzelnen primären Domänencontroller (Primary Domain Controller, PDC) und keine oder mehrere Sicherungsdomänencontroller (Backup Domain Controller, BDC) gibt.

Wenn das Wort "Vertrauensstellung" in Verbindung mit Windows NT verwendet wird, beschreibt es eine Beziehung zwischen zwei Windows NT-Domänen. Jede beteiligte Domäne hat entweder die Rolle der vertrauenden Domäne oder der vertrauenswürdigen Domäne. Für jede Vertrauensstellung gibt es einen einzigen diskreten Kommunikationskanal zwischen jedem Domänencontroller in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne. Wenn beispielsweise die Domäne "A" der Domäne "B" vertraut, dann ist "B" die vertrauenswürdige Domäne, und "A" ist die vertrauende Domäne. In einem anderen Beispiel vertraut die Domäne "I" der Domäne "J", und Domäne "J" vertraut der Domäne "I". In diesem Beispiel gibt es zwei unterschiedliche Vertrauensstellungen zwischen den Domänencontrollern. Dies wird oft als Complete Trust-Modus oder als bidirektionale Vertrauensstellung bezeichnet. Für die Diagnose der sicheren Kanäle ist es am besten, sich diese als zwei separate sichere Kanäle vorzustellen, zwischen jedem Domänencontroller in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne.

Vertrauensstellungen sind nicht transitiv. Gehen wir beispielsweise davon aus, Domäne "X" vertraut Domäne "Y", die wiederum der Domäne "Z" vertraut. Dies bedeutet NICHT, dass Domäne "X" der Domäne "Z" vertraut. Der Grund hierfür ist der, dass der Administrator in jeder Domäne auf jeder Seite der Vertrauensstellung explizit die Berechtigung gewähren muss, damit die Vertrauensstellung bestehen kann.

Eine andere Form der Vertrauensstellung wird manchmal als "implizite" Vertrauensstellung bezeichnet. In einem Modell mit nur einer Domäne oder in einer Umgebung, in der es keine "expliziten" Vertrauensstellungen zwischen zwei Domänen gibt, ist die "implizite" Vertrauensstellung aktiv und funktionell erforderlich. Dieses implizite Vertrauen besteht zwischen allen Computern, auf denen Windows NT ausgeführt wird, die Mitglieder einer Domäne sind, und einem Domänencontroller in ihrer Domäne. Explizite Vertrauensstellungen werden durch Benutzer-Manager für Domänen hergestellt. Implizite Vertrauensstellungen werden durch eine Mitgliedschaft in einer Domäne hergestellt.

"Nltest.exe" kann verwendet werden, um die Vertrauensstellung zwischen einem Windows NT-Computer, der Mitglied einer Domäne ist, und einem Domänencontroller, auf dem sich sein Computerkonto befindet, zu prüfen. NLTEST kann auch das Vertrauen zwischen den BDCs in einer Domäne und deren PDC prüfen. In Domänen, in denen eine explizite Vertrauensstellung definiert wurde, kann NLTEST die Vertrauensstellung zwischen allen Domänencontrollern in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne testen.

Diese Kommunikationssitzungen werden als "sichere Kanäle" bezeichnet und verwendet, um Windows NT-Computerkonten zu authentifizieren. Sie werden außerdem verwendet, um Benutzerkonten zu authentifizieren, wenn ein Remotebenutzer eine Verbindung zu einer Netzwerkressource herstellt und das Benutzerkonto bereits in einer vertrauenswürdigen Domäne vorhanden ist. Dies wird als Pass-Through-Authentifizierung bezeichnet und ermöglicht einem Windows NT-Computer, der Mitglied einer Domäne ist, auf die Benutzerkonten-Datenbank in seiner Domäne und in jeder vertrauenswürdigen Domäne zuzugreifen.

"Nltest.exe" kann über den Browserdienst Domänencontroller auflisten. Wenn deshalb das Browsen nicht ordnungsgemäß funktioniert, liefert "Nltest.exe" unter Umständen inkonsistente Ergebnisse. Der Computer, auf dem "Nltest.exe" ausgeführt wird, und die Computer, die den Browserdienst bereitstellen, müssen dieselben Protokolle verwenden, die von den Domänencontrollern verwendet werden, um deren Domänenaktivität auszuführen. Außerdem hängt die Enumeration der angegebenen Computer- und Domänennamen vom Status der Namensauflösung ab, wie etwa WINS-Serverreplikation, IPX-Routerkonfiguration oder NetBEUI-Bridging.

All diese Vertrauensstellungen und Domänensynchronisierungen können von "Nltext.exe" überwacht, getestet und überprüft werden.

Beispielausgabe bei Eingabe von "NLTEST.EXE" ohne Anführungszeichen

C:\NTRESKIT>nltest
Syntax: nltest [/OPTIONS]
/SERVER:<Servername> - Angeben von <Servername>

/QUERY - Abfragen des Netlogon-Dienstes von <Servername>

/REPL - Erzwingen der Replikation des <Servername>-BDCs

/SYNC - Erzwingen von SYNC auf <Servername>-BDC

/PDC_REPL - Erzwingen der UAS-Änderungsmeldung des <Servername>-PDCs

/SC_QUERY:<Domänenname> - Abfragen des sicheren Kanals für <Domäne> auf <Servername>

/SC_RESET:<Domänenname> - Zurücksetzen des sicheren Kanals für <Domäne> auf <Servername>

/DCLIST:<Domänenname> - Abrufen der Liste von Domänencontrollern für <Domänenname>

/DCNAME:<Domänenname> - Abrufen des PDC-Namens für <Domänenname>

/DCTRUST:<Domänenname> - Abrufen des Namens des Domänencontrollers, der für Vertrauensstellung von <Domänenname> verwendet wird

/WHOWILL:<Domäne>* <Benutzer> [<Iteration>] - Feststellen, ob <Domäne> <Benutzer> anmeldet

/FINDUSER:<Benutzer> - Feststellen, welche vertrauenswürdige <Domäne> <Benutzer> anmeldet

/TRANSPORT_NOTIFY - Benachrichtigung von Netlogon über neuen Transport

/RID:<HexRid> - RID zur Verschlüsselung des Kennworts

/USER:<Benutzername> - Abfragen der Benutzerinformationen auf <Servername>

/TIME:<Hex LSL> <Hex MSL> - Konvertieren von GMT-Zeit von NT in ASCII

/LOGON_QUERY - Abfragen der Anzahl der kumulativen Anmeldeversuche

/TRUSTED_DOMAINS - Abfragen der Namen von Domänen, denen Arbeitsstationen vertrauen

/BDC_QUERY:<Domänenname> - Abfragen des Replikationsstatus von BDCs für <Domänenname>

/SIM_SYNC:<Domänenname> <Computername> - Simulieren einer vollständigen Synchronisierungsreplikation

/LIST_DELTAS:<Dateiname> - Anzeigen des Inhalts einer bestimmten Änderungsprotokolldatei

/LIST_REDO:<Dateiname> - Anzeigen des Inhalts einer bestimmten Protokolldatei für das Rückgängigmachen

Zusätzliche Kommentare und Beschreibungen der Optionen von "Nltest.exe"

/SERVER:<Servername> - Übermittelt den NLTEST-Befehl an den angegebenen Server. Wenn diese Option nicht angegeben ist, wird der Befehl von dem lokalen Computer aus ausgeführt.

/QUERY - Fragt den lokalen oder angegebenen Server nach einem fehlerfreien sicheren Kanal zu einem Domänencontroller und den Status der Verzeichnisdienstreplikation mit dem PDC ab. Dies ist sehr hilfreich bei der Bestimmung des allgemeinen Status des Netlogon-Dienstes.

/REPL - Erzwingt Teilsynchronisierung des lokalen oder angegebenen BDCs.

/SYNC - Erzwingt die vollständige, sofortige Synchronisierung des lokalen oder angegebenen BDCs.

/PDC_REPL - Der angegebene PDC erzwingt eine Änderungsnachricht an alle BDCs.

/SC_QUERY:<Domänenname> - Überprüft den sicheren Kanal in der angegebenen Domäne auf lokaler/m oder Remote-Arbeitsstation, -Server oder -BDC. Dies kann für einen PDC ausgeführt werden, wenn eine explizite Vertrauensstellung zwischen beiden Domänen besteht und die vertrauenswürdige Domäne angegeben ist.

/SC_RESET:<Domänenname> - Setzt den sicheren Kanal zwischen lokaler/m oder Remote-Arbeitsstation, -Server oder -BDC zurück. Dies kann für einen PDC ausgeführt werden, wenn eine explizite Vertrauensstellung zwischen beiden Domänen besteht und die vertrauenswürdige Domäne angegeben ist.

/DCLIST:<Domänenname> - Führt alle Domänencontroller, PDCs und BDCs in einer bestimmten Domäne auf.

/DCNAME:<Domänenname> - Führt den primären Domänencontroller für eine bestimmte Domäne auf.

/DCTRUST:<Domänenname> - Fragt immer dann, wenn der Befehl ausgeführt wird, den sicheren Kanal ab und testet ihn. Geben Sie die Domäne für die/den lokale/n oder Remote-Arbeitsstation, -Server oder -BDC an. Dies kann für einen PDC ausgeführt werden, wenn eine explizite Vertrauensstellung zwischen beiden Domänen besteht und die vertrauenswürdige Domäne angegeben ist.

/WHOWILL:<Domäne><Benutzer> - Fragt die Domäne ab und gibt an, welcher Domänencontroller das Konto in der lokalen Benutzerkonten-Datenbank hat. Dies ist besonders hilfreich, um zu bestimmen, ob ein bestimmter Domänencontroller das Benutzerkonto enthält. Wenn der angegebene Benutzername der Name des derzeit angemeldeten Benutzers ist, wird das aktuelle Kennwort des Benutzers NICHT an den Domänencontroller gesendet. Dies ist hilfreich, um zu bestimmen, ob doppelte Konten über verschiedenen Domänen hinweg vorhanden sind.

/FINDUSER:<Benutzer> - Fragt explizit vertrauenswürdige Domänen für den angegebenen Benutzer ab. Dies ist besonders hilfreich, um zu bestimmen, welcher vertrauenswürdige Domänencontroller oder welche vertrauenswürdige Domäne aus verschiedenen vertrauenswürdigen Domänen die Anmeldeinformationen eines Benutzers authentifiziert, wenn ein Domänenname nicht im SMB-Paket (SMB = Server Message Block) angegeben ist. Viele Clients der vorherigen Version, wie etwa Windows für Workgroups, Version 3.1, Real-Modus-Redirectordienst in Windows 95, geben keinen Domänennamen an.

/USER:<Benutzername> - Zeigt viele der Attribute für das angegebene Benutzerkonto an, die in der Benutzerkonten-Datenbank gespeichert werden.

/LOGON_QUERY - Gibt die Anzahl der versuchten Anmeldeabfragen an der Konsole oder über das Netzwerk an.

/TRUSTED_DOMAINS - Zeigt eine Liste der explizit vertrauenswürdigen Domänen an.

/BDC_QUERY:<Domänenname> - Listet die Sicherungsdomänencontroller in der angegebenen Domäne auf und bietet den Status von deren Synchronisierung.

/LIST_DELTAS:<Dateiname> - Führt die Informationen von der Datei "Netlogon.chg" auf, die Änderungen an der Benutzerkonten-Datenbank angibt.

/LIST_REDO:<Dateiname> - Führt die Informationen von der Datei "Netlogon.chg" auf, die Änderungen an der Benutzerkonten-Datenbank angibt.

Beispielausgabe aus "Nltest.exe"

Gehen wir beispielsweise davon aus, die Domäne "TESTD" vertraut der Domäne "ESS", und ein Computer, auf dem Windows NT Workstation ausgeführt wird, namens "TEST3" ist ein Mitglied der Domäne "TESTD".

Mithilfe von NLTEST kann die Vertrauensstellung angezeigt werden.
   C:\>nltest /trusted_domains   Trusted domain list:      ESS   The command completed successfully				

So bestimmen Sie die Domänencontroller in der Domäne "TESTD"
   C:\>nltest /dclist:testd   List of DCs in Domain testd      \\TEST2 (PDC)      \\TEST1   The command completed successfully				

So bestimmen Sie die Domänencontroller in der Domäne "ESS"
   C:\>nltest /dclist:ess   List of DCs in Domain ess      \\NET1 (PDC)   The command completed successfully				

Im Nachfolgenden finden Sie die sicheren Kanäle zwischen jedem Domänencontroller in "TESTD" und einem Domänencontroller in der Domäne "ESS".
   C:\>nltest /server:test1 /sc_query:ess   Flags: 0   Connection Status = 0 0x0 NERR_Success   Trusted DC Name \\NET1   Trusted DC Connection Status Status = 0 0x0 NERR_Success   The command completed successfully   C:\>nltest /server:test2 /sc_query:ess   Flags: 0   Connection Status = 0 0x0 NERR_Success   Trusted DC Name \\NET1   Trusted DC Connection Status Status = 0 0x0 NERR_Success   The command completed successfully				

Die Arbeitsstation, die ein Mitglied der Domäne "TESTD" ist, hat eine implizite Vertrauensstellung mit einem Domänencontroller.
   C:\>nltest /server:test3 /sc_query:testd   Flags: 0   Connection Status = 0 0x0 NERR_Success   Trusted DC Name \\TEST2   Trusted DC Connection Status Status = 0 0x0 NERR_Success   The command completed successfully				

So bestimmen Sie, ob ein Domänencontroller ein Benutzerkonto authentifizieren kann:
   C:\>nltest /whowill:ESS bob   [20:58:55] Mail message 0 sent successfully   (\MAILSLOT\NET\GETDC939)   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)   The command completed successfully   C:\>nltest /whowill:testd test   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)   [21:26:15] Mail message 0 sent successfully   (\MAILSLOT\NET\GETDC295)   The command completed successfully				

Mithilfe von NLTEST könen Sie eine vertrauenswürdige Domäne suchen, die ein bestimmtes Benutzerkonto aufweist.
   C:\>nltest /finduser:sweppler   Domain Name: ESS   Trusted DC Name \\NET1   The command completed successfully				

So verifizieren Sie den Status der BDC-Synchronisierung
   C:\>nltest /bdc_query:testd   Server : \\TEST1      SyncState : IN_SYNC      ConnectionState : Status = 0 0x0 NERR_Success   The command completed successfully				

Außerdem können Sie mithilfe von "Nltest.exe" die Kontendatenbank von einer Befehlszeile aus oder über einen Stapelverarbeitungsauftrag synchronisieren.

Geben Sie Folgendes ein, um das Dienstprogramm zum Synchronisieren der Domäne von einem PDC aus auszuführen:

C:\ nltest /PDC_Repl

Um das Dienstprogramm von einem Mitgliedsserver, einem Sicherungsdomänencontroller oder einer Windows NT-Arbeitsstation auszuführen, geben Sie

C:\ nltest /Server:<PDCName> /PDC_Repl

ein, wobei <PDCName> der tatsächliche Name des PDC ist, nicht der Name der Domäne.

Sie sehen die erfolgreichen Synchronisierungsereignisse in der Ereignisansicht auf dem primären Domänencontroller und auf den Sicherungsdomänencontrollern.
reskit secure channel
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 158148 – Letzte Überarbeitung: 12/04/2015 15:37:41 – Revision: 1.0

Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbenv kbinfo kbnetwork KB158148
Feedback
ERROR: at System.Diagnostics.Process.Kill() at Microsoft.Support.SEOInfrastructureService.PhantomJS.PhantomJSRunner.WaitForExit(Process process, Int32 waitTime, StringBuilder dataBuilder, Boolean isTotalProcessTimeout)