Microsoft Windows NT 4.0 资源工具包包含非常强大的命令行工具来测试安全通道是成员的域, 的 WindowsNT 计算机之间以及之间, 将信任其他域控制器。 下面是详细讨论。
回到顶端
NLTEST 概述
Nltest.exe 是实用非常强大命令行工具可用于测试 WindowsNT 域中信任关系和的域控制器复制状态。 有单个主域控制器 (PDC) 和零次或备份域控制器 (BDC) 所在域控制器的域组成。
在 WindowsNT, 的上下文中使用信任单词时它描述两个 WindowsNT 域之间关系。 涉及每个域有或者被信任域或信任域的角色。 对于任何给定信任关系, 都信任域中每个域控制器和受信任域中域控制器之间一个离散的通讯通道。 有关示例如果域 A 信任域 " B ", 然后 " B " 是信任域, 和 " A " 是信任域。 在其他示例, 假设域 " I " 信任 " J ", 域和域 " I " " J " 信任域。 在本示例, 域控制器之间有两个不同信任关系。 通常, 这被称为完全信任模式或双向信任。 尚未, 对安全通道诊断, 最好想个作为两个单独的安全通道, 信任域中每个域控制器和受信任域中域控制器之间。
信任关系是不可传递。 例如, 假设这反过来信任域 " Z " 域 " X " 信任域 " Y "。 这并不意味着 " X " 域信任域 " Z "。 为此原因是, 每个域中管理员必须授予明确权限两侧的信任关系以使它能够进行。
另一种信任关系是有时称为一个 " 隐含 " 信任。 其中有任何两个域, 之间没有 " " 明确信任关系 " 隐含 " 信任关系是活动和功能需要在单个域模型, 或环境中。 所有运行 WindowsNT, 都是域成员计算机与其域中域控制器之间存在此隐含信任。 对于域用户管理器通过建立明确信任关系。 通过成为域成员的建立隐含信任关系。
Nltest.exe 可用于测试其计算机帐户驻留位置运行 WindowsNT 是域的成员和域控制器计算机之间信任关系。 NLTEST 也可以验证信任他们 PDC 与域中 BDC。 其中, 已定义一个明确信任域中 NLTEST 可测试信任域中所有域控制器和信任域中域控制器之间信任关系。
这些会话的通信称为安全通道, 用于验证 WindowsNT 计算机帐户。 它们还用于当远程用户连接到网络资源并信任域中存在用户帐户验证用户帐户。 这称为传递验证, 它允许计算机运行 WindowsNT, 加入域以在其域以及任何受信任域中有权用户帐户数据库。
Nltest.exe 可使用浏览器服务来枚举域控制器。 因此, 如果浏览工作不正常, Nltest.exe 可能产生不一致的结果。 Nltest.exe 运行计算机和那些提供浏览服务需要共享相同协议用于执行其域活动由域控制器。 此外, 枚举的指定计算机和域名称取决于名称解析, 如 WINS 服务器复制、 IPX 路由器配置, 或 NetBEUI 桥的状态。
所有这些信任关系和域同步, 监视、, 测试和验证由 Nltest.exe。
回到顶端
Sample Output Obtained by Typing "NLTEST.EXE" Without the Quotes
C:\NTRESKIT>nltest
Usage: nltest [/OPTIONS]
/SERVER: - Specify
/QUERY - Query netlogon service
/REPL - Force replication on BDC
/SYNC - Force SYNC on BDC
/PDC_REPL - Force UAS change message from PDC
/SC_QUERY: - Query secure channel for on
/SC_RESET: - Reset secure channel for on
/DCLIST: - Get list of DC's for
/DCNAME: - Get the PDC name for
/DCTRUST: - Get name of DC is used for trust of
/WHOWILL:* [] - See if will log on
/FINDUSER: - See which trusted will log on
/TRANSPORT_NOTIFY - Notify of netlogon of new transport
/RID: - RID to encrypt Password with
/USER: - Query User info on
/TIME: - Convert NT GMT time to ASCII
/LOGON_QUERY - Query number of cumulative logon attempts
/TRUSTED_DOMAINS - Query names of domains trusted by workstation
/BDC_QUERY: - Query replication status of BDCs for
/SIM_SYNC: - Simulate full sync replication
/LIST_DELTAS: - display the content of given change log file
/LIST_REDO: - display the content of given redo log file
回到顶端
Nltest.exe 开关的其他意见和说明
/SERVER: remotes Nltest.exe 命令来指定服务器:。 如果未指定此开关, 从本地计算机是运行命令。
/ QUERY 查询用于正常安全信道的目录服务复制与 PDC 状态和域控制器, 本地或指定服务器。 这在在确定的 Netlogon 服务一般状态非常有用。
是本地或指定 BDC /REPL 强制部分同步。
/SYNC 强制完全、 直接同步的本地或指定 BDC。
更改邮件指定 PDC /PDC_REPL 强制到所有 BDC。
/SC_QUERY: 验证对于本地或远程工作站、 服务器或 BDC 指定域中安全通道。 如果两个域之间明确信任关系存在并且指定可信域这对于 PDC 运行。
/SC_RESET: 复位本地或远程工作站、 服务器或 BDC 之间安全通道。 如果两个域之间明确信任关系存在并且指定可信域这对于 PDC 运行。
/DCLIST: 列出所有域控制器、 PDC 和 BDC 给定域中。
/DCNAME: 列出用于给定域主域控制器。
/DCTRUST 和测试安全通道每当执行命令查询 :。 指定域为本地或远程工作站、 服务器或 BDC。 如果两个域之间明确信任关系存在并且指定可信域这对于 PDC 运行。
/WHOWILL: 查询域并表明该域控制器中具有帐户其本地用户帐户数据库。 这在确定给定域控制器包含用户帐户非常非常有用。 如果用户名指定为当前登录的用户, 用户当前密码不发送到域控制器。 这很有帮助在确定如果跨多个域存在重复帐户。
/FINDUSER: 查询对用户指定明确信任域。 当确定什么信任域控制器或当没有服务器消息块 (SMB) 数据包中指定域名超出几信任域什么信任域将验证用户凭据这是非常有用。 许多低级别客户, 如 Windows for Workgroups 3.1 和 Windows 95, 中重定向器实模式不要指定域名。
/ USER: 显示众多属性用于指定用户帐户维护用户帐户数据库中。
指定 /LOGON_QUERY 尝试登录次数查询在控制台, 或通过网络。
/TRUSTED_DOMAINS 显示明确信任域列表。
/BDC_QUERY: 列表指定域中备份域控制器并提供其同步的状态。
/LIST_DELTAS: Netlogon.chg 文件指定对用户帐户数据库更改列表信息。
/LIST_REDO: Netlogon.chg 文件指定对用户帐户数据库更改列表信息。
回到顶端
从 Nltest.exe 示例输出
例如, 假定 TESTD 域信任 ESS 域, 并且计算机运行 WindowsNTWorkstation 称为 TEST3 是 TESTD 域的成员。
NLTEST 可用于显示此信任关系。
C:\>nltest /trusted_domains
Trusted domain list:
ESS
The command completed successfully
确定 TESTD 域中域控制器:
C:\>nltest /dclist:testd
List of DCs in Domain testd
\\TEST2 (PDC)
\\TEST1
The command completed successfully
确定 ESS 域中域控制器:
C:\>nltest /dclist:ess
List of DCs in Domain ess
\\NET1 (PDC)
The command completed successfully
下面是 TESTD 中每个域控制器和 ESS 域中 DC 之间安全通道。
C:\>nltest /server:test1 /sc_query:ess
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
C:\>nltest /server:test2 /sc_query:ess
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\NET1
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
工作站是 TESTD 域的成员有一个隐含信任与域控制器。
C:\>nltest /server:test3 /sc_query:testd
Flags: 0
Connection Status = 0 0x0 NERR_Success
Trusted DC Name \\TEST2
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
如果域控制器对用户帐户进行身份验证可确定:
C:\>nltest /whowill:ESS bob
[20:58:55] Mail message 0 sent successfully
(\MAILSLOT\NET\GETDC939)
[20:58:55] Response 0: S:\\NET1 D:ESS A:bob (Act found)
The command completed successfully
C:\>nltest /whowill:testd test
[21:26:13] Response 0: S:\\TEST2 D:TESTD A:test (Act found)
[21:26:15] Mail message 0 sent successfully
(\MAILSLOT\NET\GETDC295)
The command completed successfully
NLTEST 可用于查找可信域具有给定用户帐户。
C:\>nltest /finduser:sweppler
Domain Name: ESS
Trusted DC Name \\NET1
The command completed successfully
要验证的 BDC 同步状态:
C:\>nltest /bdc_query:testd
Server : \\TEST1
SyncState : IN_SYNC
ConnectionState : Status = 0 0x0 NERR_Success
The command completed successfully
Nltest.exe 可同时用于同步从命令行或批处理作业帐户数据库。
要运行实用工具以同步域从 PDC, 请键入:
C:\ nltest /PDC_Repl 要运行实用工具从成员服务器、 备份域控制器或 WindowsNT 工作站, 键入
C:\ nltest /Server: /PDC_Repl 其中 PDCName 是 PDC, 不是域名称的实际名称)
将主域控制器, 以及备份域控制器上看到 EventViewer 中成功同步事件。
回到顶端