Tên miền an toàn kênh Utility--Nltest.exe

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:158148
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Microsoft Windows NT 4.0 Resource Kit chứa một rất mạnh mẽdòng lệnh tiện ích để kiểm tra các kênh an toàn giữa các máy tính Windows NTđó là thành viên của một tên miền, và giữa các bộ điều khiển vùng đangtin tưởng các tên miền khác. Dưới đây là một cuộc thảo luận chi tiết.
THÔNG TIN THÊM

Tổng quan về NLTEST

Nltest.exe là một tiện ích dòng lệnh rất mạnh mẽ mà có thể được sử dụng đểkiểm tra các mối quan hệ tin tưởng và bang sao nhân bản bộ điều khiển tên miền trongmột tên miền Windows NT. Một tên miền bao gồm bộ kiểm soát miền trong đó cólà một đơn chính domain controller (PDC) và số không hay nhiều tên miền sao lưubộ điều khiển (BDC).

Khi từ sự tin tưởng được sử dụng trong bối cảnh của Windows NT, nó mô tả mộtmối quan hệ giữa hai tên miền Windows NT. Mỗi tên miền tham gia đãmột trong hai vai là tên miền tin tưởng, hoặc tên miền đáng tin cậy. Chobất kỳ cho mối quan hệ tin tưởng, đó là một giao tiếp duy nhất rời rạceo biển giữa mỗi bộ kiểm soát miền trong miền tin tưởng và một tên miềnbộ điều khiển tên miền đáng tin cậy. Ví dụ: Nếu tên miền "A" tín thác tên miền"B", sau đó "B" là tên miền đáng tin cậy, và "A" là tên miền tin tưởng. Trong mộtmột ví dụ khác, cho rằng tên miền "Tôi" tín thác tên miền "J", và tên miền "J"tín thác tên miền "Tôi". Trong ví dụ này, có hai khác biệt sự tin tưởngcác mối quan hệ giữa các bộ điều khiển vùng. Thông thường, điều này được gọi là cácChế độ tin cậy hoàn toàn, hoặc một niềm tin 2-way. Tuy vậy, cho an toàn kênh chẩn đoán,nó là tốt nhất để suy nghĩ này như hai riêng biệt an toàn kênh, giữa mỗibộ kiểm soát miền trong miền tin tưởng và một bộ điều khiển tên miền trong cáctên miền đáng tin cậy.

Tin tưởng mối quan hệ không phải là transitive. Ví dụ, giả sử tên miền "X"tín thác tên miền "Y", mà lần lượt tín thác tên miền "Z". Điều này không ngụ ýTên miền "X" tín thác tên miền "Z". Lý do cho việc này là cácngười quản trị trong mỗi tên miền phải cấp phép rõ ràng trên cả hai phíacác mối quan hệ ủy thác cho nó để có nơi.

Là một hình thức của tin tưởng mối quan hệ đôi khi được gọi là một"tiềm ẩn" tin tưởng. Trong một mô hình duy nhất tên miền, hoặc trong một môi trường nơi màkhông có không có mối quan hệ tin tưởng "rõ ràng" giữa bất kỳ hai tên miền, cácmối quan hệ tin tưởng "tiềm ẩn" là hoạt động và chức năng cần thiết. Điều nàyniềm tin tiềm ẩn tồn tại giữa tất cả các máy tính chạy Windows NT làcác thành viên của một tên miền và bộ kiểm soát miền trong tên miền của họ. Rõ ràngcác mối quan hệ tin tưởng được thành lập thông qua người sử dụng quản lý cho tên miền.Các mối quan hệ tin tưởng tiềm ẩn được thành lập bằng cách trở thành một thành viên của mộttên miền.

Nltest.exe có thể được sử dụng để kiểm tra mối quan hệ tin cậy giữa một máy tínhchạy Windows NT là một thành viên của một tên miền và điều khiển vùngnơi cư trú của nó tài khoản máy. NLTEST cũng có thể xác minh sự tin tưởnggiữa các BDCs trong một tên miền và PDC của họ. Trong lĩnh vực trong trường hợp một rõ ràngỦy thác đã được xác định, NLTEST có thể kiểm tra mối quan hệ tin cậy giữa tất cảbộ kiểm soát miền trong miền tin tưởng và một bộ điều khiển tên miền trong cáctên miền đáng tin cậy.

Các phiên họp của truyền thông được gọi là các kênh Secure và được sử dụng đểxác thực tài khoản máy Windows NT. Họ cũng được sử dụng đểxác thực tài khoản người dùng khi một người dùng từ xa kết nối tới mạngnguồn lực và tài khoản người dùng tồn tại trong một tên miền đáng tin cậy. Điều này được gọi làPass-Through xác thực, và nó cho phép máy tính chạy Windows NTmà đã gia nhập vào một tên miền để có quyền truy cập vào cơ sở dữ liệu tài khoản người sử dụng trongtên miền của mình và trong bất kỳ lĩnh vực tin cậy.

Nltest.exe có thể sử dụng dịch vụ trình duyệt để kê khai bộ kiểm soát miền.Vì vậy, nếu trình duyệt không hoạt động đúng, Nltest.exe có thể sản xuấtkết quả không phù hợp. Máy tính nơi Nltest.exe được điều hành và những ngườicung cấp dịch vụ duyệt web cần phải chia sẻ cùng một giao thức đượcđược sử dụng bởi các bộ điều khiển tên miền để thực hiện các hoạt động tên miền của họ. TrongNgoài ra, liệt kê những cái tên máy tính và tên miền chỉ địnhphụ thuộc vào tình trạng của các độ phân giải tên, chẳng hạn như thắng máy chủ nhân bản,Cấu hình bộ định tuyến IPX hay NetBEUI chuyển tiếp.

Tất cả các mối quan hệ tin tưởng, và đồng bộ hóa tên miền, có thểGiám sát, kiểm nghiệm, và xác minh bởi Nltest.exe.

Mẫu sản lượng thu được bằng cách gõ "NLTEST.EXE"mà không có dấu ngoặc kép

C:\NTRESKIT>nltest
Cách dùng: nltest [/OPTIONS]
/ Máy chủ:<servername> -chỉ định <servername></servername></servername>

/ Truy vấn - truy vấn dịch vụ netlogon <servername></servername>

/ REPL - lực lượng nhân rộng trên <servername> BDC</servername>

/ BỘ - lực lượng đồng bộ trên <servername> BDC</servername>

/ PDC_REPL - lực lượng UAS thay đổi tin nhắn từ <servername> PDC</servername>

/ SC_QUERY:<domainname> - truy vấn an toàn kênh cho <domain> trên <servername></servername></domain></domainname>

/ SC_RESET:<domainname> - đặt lại an toàn kênh cho <domain> trên <servername></servername></domain></domainname>

/ DCLIST:<domainname> -Get danh sách của DC cho <domainname></domainname></domainname>

/ DCNAME:<domainname> -nhận được tên PDC cho <domainname></domainname></domainname>

/ DCTRUST:<domainname> - Get tên của DC được sử dụng cho sự tin tưởng của <domainname></domainname></domainname>

/ WHOWILL:<domain>* <user> [<iteration>] - xem nếu <domain> sẽ đăng nhập <user></user></domain></iteration></user></domain>

/ FINDUSER:<user> -xem đó đáng tin cậy <domain> sẽ đăng nhập vào <user></user></domain></user>

/ TRANSPORT_NOTIFY - thông báo của netlogon của giao thông mới

/ Thoát KHỎI:<hexrid> - thoát để mã hóa mật khẩu với</hexrid>

/ Người sử dụng:<username> -truy vấn người sử dụng thông tin trên <servername></servername></username>

/ Thời gian:<hex lsl=""> <hex msl=""> - Convert NT GMT thời gian để ASCII</hex></hex>

/ LOGON_QUERY - truy vấn số tích lũy đăng nhập lại

/ TRUSTED_DOMAINS - truy vấn tên miền tin cậy máy trạm

/ BDC_QUERY:<domainname> - truy vấn trạng thái làm bản sao của BDCs cho <domainname></domainname></domainname>

/ SIM_SYNC:<domainname> <machinename> - mô phỏng đồng bộ đầy đủ nhân bản</machinename></domainname>

/ LIST_DELTAS:<filename> - hiển thị nội dung nhất định thay đổi đăng nhập tập tin</filename>

/ LIST_REDO:<filename> - hiển thị nội dung nhất định làm lại tệp sổ ghi</filename>

Thêm ý kiến và mô tả các thiết bị chuyển mạch Nltest.exe

/ Máy chủ:<servername>: Remotes Nltest.exe lệnh để các quy định hệ phục vụ. Nếu chuyển đổi này không được chỉ ra, lệnh được chạy từ các máy tính cục bộ.</servername>

/ Truy vấn truy vấn các máy chủ địa phương hoặc được chỉ định cho một kênh an toàn lành mạnh điều khiển vùng, và trạng thái của dịch vụ thư mục sao chép với PDC. Điều này là rất hữu ích trong việc xác định các tình trạng chung của các dịch vụ Netlogon.

/ Đồng bộ hóa một phần lực lượng REPL của BDC địa phương hoặc quy định.

/ Lực lượng bộ đồng bộ hoá đầy đủ, ngay lập tức của địa phương hoặc được chỉ định BDC.

/ PDC_REPL đã chỉ định PDC quân một thông báo thay đổi tất cả các BDCs.

/ SC_QUERY:<domainname> để kiểm chứng các kênh an toàn trong tên miền chỉ định cho một địa phương hoặc từ xa máy trạm, máy chủ hoặc BDC. Điều này có thể chạy cho một PDC nếu một rõ ràng sự tin tưởng mối quan hệ tồn tại giữa hai lĩnh vực và tên miền đáng tin cậy được chỉ định.</domainname>

/ SC_RESET:<domainname> Resets kênh bảo mật giữa các địa phương hoặc trạm làm việc từ xa, máy chủ, hoặc BDC. Điều này có thể chạy cho một PDC nếu một rõ ràng sự tin tưởng mối quan hệ tồn tại giữa hai lĩnh vực và sự tin cậy tên miền được chỉ định.</domainname>

/ DCLIST:<domainname> liệt kê tất cả các bộ điều khiển vùng, PDC và BDCs trong một tên miền nhất định.</domainname>

/ DCNAME:<domainname> danh sách bộ điều khiển tên miền chính cho một nhất định tên miền.</domainname>

/ DCTRUST:<domainname> truy vấn và các xét nghiệm an toàn kênh mỗi khi các lệnh được thực thi. Chỉ định tên miền cho các địa phương hoặc từ xa máy trạm, máy chủ, hoặc BDC. Điều này có thể chạy cho một PDC nếu một rõ ràng tin tưởng mối quan hệ tồn tại giữa hai tên miền và tên miền đáng tin cậy là chỉ định.</domainname>

/ WHOWILL:<domain><user> truy vấn tên miền và chỉ ra tên miền mà Bộ điều khiển có các tài khoản trong cơ sở dữ liệu tài khoản người dùng cục bộ của họ. Điều này là rất hữu ích trong việc xác định nếu một bộ điều khiển tên miền nhất định chứa các trương mục người dùng. Nếu tên người dùng đã chỉ định là của hiện đang đăng nhập trên người dùng, mật khẩu hiện thời của người dùng không được gửi đến tên miền bộ điều khiển. Điều này là hữu ích trong việc xác định nếu tài khoản trùng lặp tồn tại trên một số tên miền.</user></domain>

/ FINDUSER:<user> truy vấn rõ ràng tên miền đáng tin cậy cho người dùng đã chỉ định. Điều này là rất hữu ích khi xác định những gì điều khiển vùng đáng tin cậy hoặc tên miền tin cậy ra khỏi một số tin cậy tên miền sẽ xác nhận một chứng chỉ của người dùng khi tên miền không được chỉ rõ trong các máy chủ Thư khối (SMB) gói. Nhiều khách hàng xuống cấp, chẳng hạn như Windows Đối với phiên bản nhóm làm việc 3.1 và chế độ thực trong Windows 95, redirector không phải chỉ định một tên miền.</user>

/ Người sử dụng:<username> hiển thị nhiều người trong số các thuộc tính cho người dùng đã chỉ định tài khoản được duy trì trong cơ sở dữ liệu tài khoản người dùng.</username>

/ LOGON_QUERY xác định số lượng đã cố gắng đăng nhập truy vấn tại các giao diện điều khiển, hoặc qua mạng.

/ TRUSTED_DOMAINS hiển thị một danh sách rõ ràng các tên miền đáng tin cậy.

/ BDC_QUERY: bộ điều khiển<domainname> danh sách các tên miền sao lưu trong các chỉ định tên miền và cung cấp nhà nước của họ đồng bộ hóa.</domainname>

/ LIST_DELTAS:<filename> danh sách thông tin từ các tập tin Netlogon.chg chỉ định những thay đổi cơ sở dữ liệu tài khoản người dùng.</filename>

/ LIST_REDO:<filename> danh sách thông tin từ các tập tin Netlogon.chg chỉ định những thay đổi cơ sở dữ liệu tài khoản người dùng.</filename>

Ví dụ ra từ Nltest.exe

Ví dụ, giả sử các tên miền TESTD tín thác miền ESS, và mộtmáy tính đang chạy Windows NT Workstation được gọi là TEST3 là một thành viên của cácTên miền TESTD.

NLTEST có thể được sử dụng để hiển thị các mối quan hệ tin tưởng này.
  C:\>nltest /trusted_domains  Trusted domain list:   ESS  The command completed successfully				

Để xác định các bộ kiểm soát miền trong miền TESTD:
  C:\>nltest /dclist:testd  List of DCs in Domain testd   \\TEST2 (PDC)   \\TEST1  The command completed successfully				

Để xác định các bộ kiểm soát miền trong miền ESS:
  C:\>nltest /dclist:ess  List of DCs in Domain ess   \\NET1 (PDC)  The command completed successfully				

Dưới đây là các kênh an toàn giữa mỗi bộ kiểm soát miền trong TESTD vàmột DC tại miền ESS.
  C:\>nltest /server:test1 /sc_query:ess  Flags: 0  Connection Status = 0 0x0 NERR_Success  Trusted DC Name \\NET1  Trusted DC Connection Status Status = 0 0x0 NERR_Success  The command completed successfully  C:\>nltest /server:test2 /sc_query:ess  Flags: 0  Connection Status = 0 0x0 NERR_Success  Trusted DC Name \\NET1  Trusted DC Connection Status Status = 0 0x0 NERR_Success  The command completed successfully				

Trạm làm việc là một thành viên của các tên miền TESTD có một niềm tin tiềm ẩnvới một bộ điều khiển vùng.
  C:\>nltest /server:test3 /sc_query:testd  Flags: 0  Connection Status = 0 0x0 NERR_Success  Trusted DC Name \\TEST2  Trusted DC Connection Status Status = 0 0x0 NERR_Success  The command completed successfully				

Để xác định nếu điều khiển vùng có thể xác nhận một tài khoản người dùng:
  C:\>nltest /whowill:ESS bob  [20:58:55] Mail message 0 sent successfully  (\MAILSLOT\NET\GETDC939)  [20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)  The command completed successfully  C:\>nltest /whowill:testd test  [21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)  [21:26:15] Mail message 0 sent successfully  (\MAILSLOT\NET\GETDC295)  The command completed successfully				

NLTEST có thể được sử dụng để tìm một tên miền đáng tin cậy mà có một tài khoản người dùng nhất định.
  C:\>nltest /finduser:sweppler  Domain Name: ESS  Trusted DC Name \\NET1  The command completed successfully				

Để xác minh trạng thái đồng bộ hóa BDC:
  C:\>nltest /bdc_query:testd  Server : \\TEST1   SyncState : IN_SYNC   ConnectionState : Status = 0 0x0 NERR_Success  The command completed successfully				

Nltest.exe cũng có thể được sử dụng để đồng bộ hóa trương mục cơ sở dữ liệu từ mộtdòng lệnh hoặc một công việc thực thi.

Để chạy các tiện ích để đồng bộ hóa các tên miền từ một PDC, gõ:

C: \ nltest /PDC_Repl

Chạy tiện ích từ một máy chủ thành viên, bộ điều khiển vùng sao lưu, hoặcWindows NT máy trạm, loại

C: \ nltest /Server:<pdcname> /PDC_Repl</pdcname>

nơi PDCName là một thực tế PDC, không phải là tên miền)

Bạn sẽ thấy những sự kiện đồng bộ hóa thành công trong trình xem sự kiện trên cácbộ điều khiển tên miền chính, cũng như các bộ điều khiển tên miền sao lưu.
reskit kênh bảo mật

Thuộc tính

ID Bài viết: 158148 - Xem lại Lần cuối: 12/04/2015 15:37:50 - Bản sửa đổi: 2.0

Microsoft Windows NT Workstation 4.0 Developer Edition, Microsoft Windows NT Server 4.0 Standard Edition

 • kbnosurvey kbarchive kbenv kbinfo kbnetwork kbmt KB158148 KbMtvi
Phản hồi