ドメイン セキュア チャネル ユーティリティ -- Nltest.exe

この記事は、以前は次の ID で公開されていました: JP158148
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
Microsoft Windows NT 4.0 リソース キットには、ドメインのメンバである Windows NT コンピュータ間、およびほかのドメインを信頼しているドメイン コントローラ間で、セキュリティで保護されたチャネルをテストするための強力なコマンドライン ユーティリティが付属しています。次に、このユーティリティについて詳しく説明します。
詳細

NLTEST の概要

nltest.exe は、Windows NT ドメインの信頼関係およびドメイン コントローラのレプリケーションの状態をテストする強力なコマンドライン ユーティリティです。1 ドメインは、1 台のプライマリ ドメイン コントローラ (PDC) を含むドメイン コントローラから構成されます。バックアップ ドメイン コントローラ (BDC) は、存在しない場合もあり、複数存在する場合もあります。

Windows NT で信頼という言葉を使うときには、2 つの Windows NT ドメイン間の関係を表します。各ドメインは、信頼する側のドメインまたは信頼される側のドメインのいずれかの役割を持ちます。どの信頼関係においても、信頼するドメイン内の各ドメイン コントローラと、信頼されるドメイン内のドメイン コントローラとの間に、それぞれ別個の通信チャネルが存在します。たとえば、ドメイン "A" がドメイン "B" を信頼している場合には、"B" が信頼される側のドメイン、"A" が信頼する側のドメインにあたります。別の例として、ドメイン "I" がドメイン "J" を信頼し、ドメイン "J" がドメイン "I" を信頼しているとします。この例で、ドメイン コントローラ間に存在する 2 つの信頼関係は互いに区別されます。このような関係は完全信頼モード、または双方向の信頼と呼ばれています。しかし、セキュリティで保護されたチャネルを診断する場合には、信頼するドメイン内の各ドメイン コントローラと信頼されるドメイン内のドメイン コントローラとの間に 2 つの独立したチャネルが存在すると考えるのが適切です。

信頼関係は、遷移的ではありません。たとえば、ドメイン "X" がドメイン "Y" を信頼し、ドメイン "Y" がドメイン "Z" を信頼している場合、ドメイン "X" がドメイン "Z" を信頼していることにはなりません。これは、信頼関係を確立するには、各ドメインの管理者が信頼関係のいずれかの側に、明示的な許可を与える必要があるためです。

信頼関係のもう 1 つの形式は、"暗黙の" 信頼と呼ばれることがあります。単一ドメイン モデルや、どのドメイン間にも "明示的な" 信頼関係が存在しない環境では、"暗黙の" 信頼関係が有効になり、機能的にも必要とされます。この暗黙の信頼は、あるドメインのメンバであるすべての Windows NT コンピュータと、そのドメイン内のドメイン コントローラとの間に存在します。明示的な信頼関係は、ドメイン ユーザー マネージャで確立します。これに対し、暗黙の信頼関係は、ドメインにメンバとして参加すると、自動的に確立されます。

nltest.exe は、ドメインのメンバである Windows NT コンピュータと、そのコンピュータのアカウントが存在するドメイン コントローラとの間の信頼関係をテストするのに使用できます。また、あるドメイン内の BDC と PDC との間の信頼を検証することもできます。明示的な信頼が定義されているドメインでは、NLTEST を使って、信頼するドメイン内のすべてのドメイン コントローラと、信頼されるドメイン内のドメイン コントローラとの間の信頼関係をテストできます。

このような通信セッションは、セキュリティで保護されたチャネルと呼ばれ、Windows NT コンピュータ アカウントの認証に使用されます。また、あるリモート ユーザーがネットワーク リソースに接続するとき、そのユーザー アカウントが信頼される側のドメインに存在する場合に、ユーザー アカウントの認証にも使用されます。これは、パススルー認証と呼ばれるもので、これによって、新しくドメインのメンバになった Windows NT コンピュータが、そのドメインおよび任意の信頼されるドメインのユーザー アカウント データベースにアクセスできるようになっています。

nltest.exe では、ブラウザ サービスを使ってドメイン コントローラのリストを取得します。このため、ブラウザ サービスが正しく動作していないと、nltest.exe の結果が矛盾する場合があります。nltest.exe が実行されるコンピュータとブラウザ サービスを提供するコンピュータでは、ドメイン コントローラがドメイン上で使用しているのと同じプロトコルを使う必要があります。さらに、指定されたコンピュータおよびドメインの名前のリストは、WINS サーバー レプリケーション、IPX ルータ設定、NetBEUI ブリッジなどの名前解決の状態にも依存します。

nltest.exe は、これらすべての信頼関係とドメインの同期に対し、監視、テスト、および検証を行うことができます。

"NLTEST.EXE" (引用符は除く) と入力した場合のサンプル出力

C:\NTRESKIT>nltest
Usage: nltest [/OPTIONS]
/SERVER:<ServerName> - Specify <ServerName>

/QUERY - Query <ServerName> netlogon service

/REPL - Force replication on <ServerName> BDC

/SYNC - Force SYNC on <ServerName> BDC

/PDC_REPL - Force UAS change message from <ServerName> PDC

/SC_QUERY:<DomainName> - Query secure channel for <Domain> on <ServerName>

/SC_RESET:<DomainName> - Reset secure channel for <Domain> on <ServerName>

/DCLIST:<DomainName> - Get list of DC's for <DomainName>

/DCNAME:<DomainName> - Get the PDC name for <DomainName>

/DCTRUST:<DomainName> - Get name of DC is used for trust of <DomainName>

/WHOWILL:<Domain>* <User> [<Iteration>] - See if <Domain> will log on <User>

/FINDUSER:<User> - See which trusted <Domain> will log on <User>

/TRANSPORT_NOTIFY - Notify of netlogon of new transport

/RID:<HexRid> - RID to encrypt Password with

/USER:<UserName> - Query User info on <ServerName>

/TIME:<Hex LSL> <Hex MSL> - Convert NT GMT time to ASCII

/LOGON_QUERY - Query number of cumulative logon attempts

/TRUSTED_DOMAINS - Query names of domains trusted by workstation

/BDC_QUERY:<DomainName> - Query replication status of BDCs for <DomainName>

/SIM_SYNC:<DomainName> <MachineName> - Simulate full sync replication

/LIST_DELTAS:<FileName> - display the content of given change log file

/LIST_REDO:<FileName> - display the content of given redo log file

nltest.exe のスイッチに関するコメントおよび説明

/SERVER:<サーバー名>: 指定されたサーバー上で nltest.exe コマンドをリモート実行します。このスイッチが指定されていない場合、コマンドはローカル コンピュータで実行されます。

/QUERY ローカル サーバーまたは指定されたサーバーに対し、ドメイン コントローラとの間の、正常に機能するセキュリティで保護されたチャネルを照会します。また、PDC のディレクトリ サービス レプリケーションの状態の照会も行います。このオプションは、Netlogon サービスの全般的な状態を判別するのに便利です。

/REPL ローカル BDC または指定された BDC の部分同期を強制的に実行します。

/SYNC ローカル BDC または指定された BDC の完全即時同期を強制的に実行します。

/PDC_REPL 指定された PDC からすべての BDC に対して、変更メッセージを強制的に送信します。

/SC_QUERY:<ドメイン名> ローカルまたはリモートのワークステーション、サーバー、または BDC に対し、指定されたドメイン内のセキュリティで保護されたチャネルを検証します。2 つのドメイン間に明示的な信頼関係が存在する場合、信頼される側のドメインを指定すれば、PDC に対しても検証を実行できます。

/SC_RESET:<ドメイン名> ローカルまたはリモートのワークステーション、サーバー、または BDC 間のセキュリティで保護されたチャネルをリセットします。2 つのドメイン間に明示的な信頼関係が存在する場合、信頼される側のドメインを指定すれば、PDC に対してもリセットを実行できます。

/DCLIST:<ドメイン名> 指定されたドメイン内のすべてのドメイン コントローラ (PDC、および BDC) を表示します。

/DCNAME:<ドメイン名> 指定されたドメインのプライマリ ドメイン コントローラを表示します。

/DCTRUST:<ドメイン名> コマンドを実行するたびに、セキュリティで保護されたチャネルを照会し、テストします。2 つのドメイン間に明示的な信頼関係が存在する場合、信頼される側のドメインを指定すれば、PDC に対しても照会とテストを実行できます。

/WHOWILL:<ドメイン><ユーザー> ドメインに対して照会を行い、ローカル ユーザー アカウント データベースにアカウントを持つドメイン コントローラを表示します。これは、ドメイン コントローラにあるユーザー アカウントが存在するかどうかを判別するのに便利です。指定されたユーザー名が、現在ログオンしているユーザーのものであれば、そのユーザーの現在のパスワードはドメイン コントローラに送信されません。これは、複数のドメインに重複するアカウントの存在を調べるのに役立ちます。

/FINDUSER:<ユーザー> 指定されたユーザーについて、明示的に信頼されたドメインを照会します。これは、サーバー メッセージ ブロック (SMB) パケット内にドメイン名が指定されていない場合に、信頼されたドメインの中から、ユーザーの資格情報を認証するドメイン コントローラまたはドメインを判別するのに便利です。Windows for Workgroups Version 3.1 や、Windows 95 のリアルモード リダイレクタなど、下位レベルのクライアントの多くではドメイン名が指定されません。

/USER:<ユーザー名> 指定されたユーザー アカウントについて、ユーザー アカウント データベースで管理されている属性を表示します。

/LOGON_QUERY コンソールまたはネットワーク上で試行されたログオン照会の回数を示します。

/TRUSTED_DOMAINS 明示的に信頼されたドメインのリストを表示します。

/BDC_QUERY:<ドメイン名> 指定されたドメイン内のバックアップ ドメイン コントローラのリストとその同期状態を表示します。

/LIST_DELTAS:<ファイル名> netlogon.chg ファイルから、ユーザー アカウント データベースへの変更に関する情報を一覧表示します。

/LIST_REDO:<ファイル名> netlogon.chg ファイルから、ユーザー アカウント データベースへの再実行に関する情報を一覧表示します。

nltest.exe の出力例

ここでは、TESTD ドメインが ESS ドメインを信頼し、Windows NT Workstation が実行されている TEST3 というコンピュータが TESTD ドメインのメンバである例を考えます。

NLTEST で信頼関係を表示する
   C:\>nltest /trusted_domains   Trusted domain list:      ESSThe command completed successfully

TESTD ドメイン内のドメイン コントローラを調べる
   C:\>nltest /dclist:testd   List of DCs in Domain testd      \\TEST2 (PDC)      \\TEST1The command completed successfully

ESS ドメイン内のドメイン コントローラを調べる
   C:\>nltest /dclist:ess   List of DCs in Domain ess      \\NET1 (PDC)The command completed successfully

TESTD 内の各ドメイン コントローラと ESS ドメイン内のある DC との間のセキュリティで保護されたチャネルを検証する
   C:\>nltest /server:test1 /sc_query:ess   Flags: 0   Connection Status = 0 0x0 NERR_Success   Trusted DC Name \\NET1Trusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully   C:\>nltest /server:test2 /sc_query:ess   Flags: 0   Connection Status = 0 0x0 NERR_Success   Trusted DC Name \\NET1Trusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully

TESTD ドメインのメンバであるワークステーションとドメイン コントローラ間の暗黙の信頼関係を検証する
   C:\>nltest /server:test3 /sc_query:testd   Flags: 0   Connection Status = 0 0x0 NERR_Success   Trusted DC Name \\TEST2Trusted DC Connection Status Status = 0 0x0 NERR_SuccessThe command completed successfully

ドメイン コントローラがユーザー アカウントを認証するかどうかを判別する
   C:\>nltest /whowill:ESS bob   [20:58:55] Mail message 0 sent successfully   (\MAILSLOT\NET\GETDC939)   [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)The command completed successfully   C:\>nltest /whowill:testd test   [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)   [21:26:15] Mail message 0 sent successfully   (\MAILSLOT\NET\GETDC295)The command completed successfully

特定のユーザー アカウントを持つ信頼されたドメインを見つける
   C:\>nltest /finduser:sweppler   Domain Name: ESS   Trusted DC Name \\NET1The command completed successfully

BDC の同期の状態を確認する
   C:\>nltest /bdc_query:testd   Server : \\TEST1      SyncState : IN_SYNC      ConnectionState : Status = 0 0x0 NERR_SuccessThe command completed successfully

nltest.exe を使って、コマンド ラインまたはバッチ ジョブからアカウント データベースを同期させることもできます。

nltest.exe ユーティリティを使って、PDC からドメインを同期する

C:\ nltest /PDC_Repl

メンバのサーバー、バックアップ ドメイン コントローラ、または Windows NT のワークステーションからユーティリティを実行する

C:\ nltest /Server:<PDC名> /PDC_Repl

PDC名には、ドメインの名前ではなく、PDC の実際の名前を指定します。

プライマリ ドメイン コントローラおよびバックアップ ドメイン コントローラ上のイベント ビューアで、正常に実行された同期イベントを確認できます。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 158148 (最終更新日 1999-01-27) をもとに作成したものです。

reskit secure channel
プロパティ

文書番号:158148 - 最終更新日: 12/04/2015 15:37:45 - リビジョン: 1.0

Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 4.0 Standard Edition

  • kbnosurvey kbarchive kbinfo ntdomain ntsrvwkst kbenv kbnetwork KB158148
フィードバック