Dominio Secure Channel utilidad--Nltest.exe

Resumen

El Kit de recursos de Microsoft Windows NT 4.0 contiene una utilidad de línea de comandos muy eficaz para probar los canales seguros entre equipos con Windows NT que son miembros de un dominio y entre controladores de dominio que confía en otros dominios. A continuación es una explicación detallada.

Más información

Resumen NLTEST

Nltest.exe es una utilidad de línea de comandos muy eficaz que puede utilizarse para probar las relaciones de confianza y el estado de replicación del controlador de dominio en un dominio de Windows NT. Un dominio consisten en controladores de dominio en el que hay un controlador de dominio principal (PDC) y cero o más controladores de dominio de reserva (BDC).


Cuando se utiliza la palabra confianza en el contexto de Windows NT, describe una relación entre dos dominios de Windows NT. Cada dominio implicados tiene ambos la función de ser el dominio que confía y el dominio de confianza. Para cualquier relación de confianza dada, hay un canal de comunicación discreto único entre cada controlador de dominio del dominio que confía y un controlador de dominio en el dominio de confianza. Por ejemplo, si confía en el dominio "A" dominio "B" y "B" es el dominio de confianza y "A" es el dominio que confía. En otro ejemplo, supongamos que el dominio "I" dominio "J" y el dominio confía en el dominio "J" "I". En este ejemplo, hay dos relaciones de confianza distinto entre los controladores de dominio. A menudo, esto se denomina modo de confianza completa o una confianza de 2 vías. Aún, para el diagnóstico de canal seguro, es mejor pensar en ellos como dos canales seguros independientes, entre cada controlador de dominio del dominio que confía y un controlador de dominio en el dominio de confianza.


Las relaciones de confianza no son transitivas. Por ejemplo, supongamos que las confianzas de dominio "X" dominio "Y", que a su vez confía en el dominio "Z". Esto no implica confianzas de dominio "X" dominio "Z". La razón de esto es que el administrador en cada dominio debe conceder permiso explícito a ambos lados de la relación de confianza para que pueda tener lugar.


Otra forma de relación de confianza se conoce a veces como una confianza "implícita". En un modelo de dominio único o en un entorno donde no hay ninguna relación de confianza "explícitos" entre los dos dominios, la relación de confianza "implícita" está activo y funcionalmente necesarios. No existe esta confianza implícita entre todos los equipos con Windows NT que son miembros de un dominio y un controlador de dominio en su dominio. Se establecen relaciones de confianza explícitas mediante Administrador de usuarios para dominios. Se establecen relaciones de confianza implícita al convertirse en un miembro de un dominio.


Nltest.exe puede utilizarse para probar la relación de confianza entre un equipo que ejecuta Windows NT que sea miembro de un dominio y un controlador de dominio donde reside la cuenta de ese equipo. NLTEST también puede comprobar la confianza entre los PDC y los BDC en un dominio. En los dominios donde se ha definido una confianza explícita, NLTEST puede probar la relación de confianza entre todos los controladores de dominio del dominio que confía y un controlador de dominio en el dominio de confianza.


Estas sesiones de comunicación se denominan canal seguro y se utilizan para autenticar las cuentas de equipo de Windows NT. También se utilizan para autenticar las cuentas de usuario cuando un usuario remoto se conecta a un recurso de red y la cuenta de usuario existe en un dominio de confianza. Esto se denomina autenticación de paso a través, y permite que un equipo que ejecuta Windows NT que se ha unido a un dominio para tener acceso a la base de datos de cuentas de usuario en su dominio y en todos los dominios de confianza.


Nltest.exe puede utilizar el servicio Examinador para enumerar los controladores de dominio. Por lo tanto, si la exploración no funciona correctamente, Nltest.exe puede generar resultados incoherentes. El equipo donde se ejecuta Nltest.exe y aquellos que proporcionan servicios de examen necesitan compartir los mismos protocolos utilizados por los controladores de dominio para llevar a cabo su actividad de dominio. Además, la enumeración de los nombres de equipo y dominio especificados dependen el estado de resolución de nombres, como replicación del servidor WINS, configuración del enrutador IPX o NetBEUI puente.


Todas estas relaciones de confianza y la sincronización de dominio, pueden supervisar, probados y verificados por Nltest.exe.

Ejemplo del resultado obtenido escribiendo "NLTEST. "EXE" sin las comillas

C:\NTRESKIT > nltest
Uso: nltest [/ opciones]
/ SERVER: < nombreDeServidor > - especifique < nombreDeServidor >


/ CONSULTAS: consulta el servicio de Net Logon < nombreDeServidor >


/ Forzar la replicación en < ServerName > BDC REPL-


/ SYNC - forzar SINCRONIZACIÓN en < ServerName > BDC


/ PDC_REPL - Force UAS cambiar mensaje de < nombreDeServidor > PDC


/ SC_QUERY: < nombreDeDominio > - consulta canal seguro < dominio > en < nombreDeServidor >


/ SC_RESET: < nombreDeDominio > - Restablecer un canal seguro para < dominio > en < nombreDeServidor >


/ DCLIST: < nombreDeDominio > - obtener lista de DC de < nombreDeDominio >


/ NOMBREDEDC: < nombreDeDominio > - obtener el nombre PDC de < nombreDeDominio >


/ DCTRUST: < nombreDeDominio > - Get nombre de DC se utiliza para la confianza de < nombreDeDominio >


/ WHOWILL: < dominio > * < usuario > [< iteración >] - ver si iniciará la sesión de < usuario > < dominio >


/ FINDUSER: < usuario > - ver qué confianza < dominio > iniciará sesión < usuario >


/ TRANSPORT_NOTIFY - notificar de netlogon de nuevo transporte


/ RID: < HexRid > - RID para cifrar la contraseña con


/ USER: < nombreDeUsuario > - info de usuario consulta en < nombreDeServidor >


/ TIEMPO: hora GMT de NT de < Hex LSL >< Hex MSL - > convertir a ASCII


/ LOGON_QUERY: número de consultas de inicios de sesión acumulativa


/ TRUSTED_DOMAINS - los nombres de dominios de confianza de estación de trabajo de consulta


/ BDC_QUERY: < nombreDeDominio > - < nombreDeDominio > consultar estado de replicación de BDC


/ SIM_SYNC: < nombreDeDominio >< nombreEquipo - > simular la replicación de sincronización completa


/ LIST_DELTAS: < nombreArchivo > - Mostrar el contenido de determinado cambiar el archivo de registro


/ LIST_REDO: < nombreArchivo > - Mostrar el contenido de determinado rehacer el archivo de registro

Comentarios adicionales y las descripciones de los modificadores Nltest.exe

/ SERVER: < nombreDeServidor >: controles remotos el Nltest.exe comando al servidor especificado. Si no se especifica este modificador, el comando se ejecuta desde el equipo local.


/Query consulta el servidor especificado o local de un canal seguro saludable a un controlador de dominio y el estado de replicación de servicios de directorio con el PDC. Esto es muy útil para determinar el estado general del servicio Netlogon.


/ Sincronización parcial de fuerza REPL del BDC local o el especificado.


/Sync fuerza una sincronización completa e inmediata del BDC local o el especificado.


/ PDC_REPL el PDC especificado obliga a un mensaje de cambio a todos los BDC.


/ SC_QUERY: < nombreDeDominio > comprueba el canal seguro en el dominio especificado para una estación de trabajo local o remoto, un servidor o un BDC. Esto se puede ejecutar para un PDC si existe una relación de confianza explícita entre dos dominios y se especifica el dominio de confianza.


/ SC_RESET: < nombreDeDominio > restablece el canal seguro entre el BDC, servidor o estación de trabajo local o remoto. Esto se puede ejecutar para un PDC si existe una relación de confianza explícita entre dos dominios y se especifica el dominio de confianza.


/ DCLIST: < nombreDeDominio > muestra todos los controladores de dominio, PDC y BDC de un dominio dado.


/ NOMBREDEDC: < nombreDeDominio > enumera el controlador principal de dominio para un dominio dado.


/ DCTRUST: < nombreDeDominio > consultas y comprueba el canal seguro, cada vez que se ejecuta el comando. Especificar el dominio de la estación de trabajo local o remoto, un servidor o un BDC. Esto se puede ejecutar para un PDC si existe una relación de confianza explícita entre dos dominios y se especifica el dominio de confianza.


/ WHOWILL: < dominio >< usuario > consulta el dominio y se indica que la cuenta tiene el controlador de dominio en su base de datos de cuentas de usuario local. Esto es muy útil para determinar si un controlador de dominio contiene la cuenta de usuario. Si especifica el nombre de usuario es que del usuario que actualmente ha iniciado la sesión, la contraseña del usuario actual NO se envía al controlador de dominio. Esto es útil para determinar si existen cuentas duplicadas en varios dominios.


/ FINDUSER: < usuario > consultas explícita confianza de dominios para el usuario especificado. Resulta muy útil a la hora de determinar qué controlador de dominio de confianza o qué dominio de confianza de varios dominios de confianza autenticará las credenciales del usuario cuando no se especifica un nombre de dominio en el paquete de bloque de mensaje de servidor (SMB). Muchos clientes de nivel inferior, como Windows para trabajo en grupo versión 3.1 y el redirector de modo real en Windows 95, no especifican un nombre de dominio.


/ USER: < nombreDeUsuario > muestra muchos de los atributos de la cuenta de usuario que se mantienen en la base de datos de cuentas de usuario.


/ Especifica la LOGON_QUERY consulta el número de intento de inicio de sesión en la consola o a través de la red.


/ TRUSTED_DOMAINS muestra una lista de dominios de confianza explícita.


/ BDC_QUERY: < nombreDeDominio > enumerar los controladores de dominio de copia de seguridad en el dominio especificado y proporciona el estado de su sincronización.


/ LIST_DELTAS: < nombre de archivo > información de la lista del archivo Netlogon.chg especificar cambios en la base de datos de cuentas de usuario.


/ LIST_REDO: < nombre de archivo > información de la lista del archivo Netlogon.chg especificar cambios en la base de datos de cuentas de usuario.

Ejemplo de salida de Nltest.exe

Por ejemplo, supongamos que el dominio TESTD confía en el dominio ESS y un equipo que ejecuta Windows NT Workstation llamado TEST3 es miembro del dominio TESTD.


NLTEST puede utilizarse para mostrar esta relación de confianza.

   C:\>nltest /trusted_domains
Trusted domain list:
ESS
The command completed successfully


Para determinar los controladores de dominio en el dominio TESTD:

   C:\>nltest /dclist:testd
List of DCs in Domain testd
\\TEST2 (PDC)
\\TEST1
The command completed successfully


Para determinar los controladores de dominio en el dominio ESS:

   C:\>nltest /dclist:ess
List of DCs in Domain ess
\\NET1 (PDC)
The command completed successfully


A continuación se muestran los canales seguros entre cada controlador de dominio en TESTD y un controlador de dominio en el dominio ESS.

   C:\>nltest /server:test1 /sc_query:ess
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully

C:\>nltest /server:test2 /sc_query:ess
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully


La estación de trabajo es un miembro del dominio TESTD tiene una confianza implícita con un controlador de dominio.

   C:\>nltest /server:test3 /sc_query:testd
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\TEST2
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully


Para determinar si un controlador de dominio puede autenticar una cuenta de usuario:

   C:\>nltest /whowill:ESS bob
[20:58:55] Mail message 0 sent successfully
(\MAILSLOT\NET\GETDC939)
[20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
The command completed successfully

C:\>nltest /whowill:testd test
[21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
[21:26:15] Mail message 0 sent successfully
(\MAILSLOT\NET\GETDC295)
The command completed successfully


NLTEST puede utilizarse para encontrar un dominio de confianza que tiene una cuenta de usuario determinada.

   C:\>nltest /finduser:sweppler
Domain Name: ESS
Trusted DC Name \\NET1
The command completed successfully


Para comprobar el estado de sincronización de BDC:

   C:\>nltest /bdc_query:testd
Server : \\TEST1
SyncState : IN_SYNC
ConnectionState : Status = 0 0x0 NERR_Success
The command completed successfully


Nltest.exe puede utilizarse también para sincronizar la base de datos de cuentas de una línea de comandos o un trabajo por lotes.


Para ejecutar la utilidad para sincronizar el dominio de un PDC, escriba:


/PDC_Repl de nltest C:\


Para ejecutar la utilidad desde un servidor miembro, el controlador de dominio de copia de seguridad o la estación de trabajo Windows NT, escriba


C:\ nltest/Server: < NombrePDC > /PDC_Repl


donde NombrePDC es el nombre real del PDC, no el nombre del dominio)


Verá los eventos de sincronización correcta en el Visor de sucesos en el controlador de dominio principal, así como los controladores de dominio de reserva.
Propiedades

Id. de artículo: 158148 - Última revisión: 9 ene. 2017 - Revisión: 1

Comentarios