域安全通道實用工具nltest.exe的使用簡介（上） (轉)

域安全通道實用工具nltest.exe的使用簡介（上） (轉)[@more@]

工具：

  此工具在 NT 4.0資源工具包中可以找到，另外如果你有Windows 盤的話，在安裝盤的Support Tools目錄下有安裝Support Tools的一個工具包安裝，你安裝此工具包後同樣也有nltest.exe工具。

  簡介：

  nltest.exe是一個非常強大的命令列工具，它能用來在域中測試信任關係和域控制器複製的狀態。一個域由一個獨立主域控制器（PDC）和零個或者更多域控制器（BDC）組成。

  當在Windows NT上下文關係中使用信任時，它描述兩個Windows NT域之間的關係。每個包含的域或者是等待信任域角色，也或者是已信任域角色。對於任何已給出的信任關係，在等待信任域的每個域控制器和已信任域的每個域控制器之間只有唯一的一個連續的通訊通道。舉例，如果域A信任域B，那麼B就是已信任域，A就是等待信任域。另外一個例子，假設域C信任域D，同時域D也信任域C，這種情況下，在域控制器之間有兩個截然不同的信任關係，通常我們把它叫作完全信任，或者雙路線模式。然而，為了診斷通道，最好是認為在等待信任域的每個域控制器和已信任域的域控制器之間存在兩個獨立的安全通道。

  信任關係並不是可傳遞的，舉例，假設域E信任域F，域F信任域G，這並不表示域E就信任域G。這是因為每個域的管理員必須為發生信任關係的兩個域之間明確地授權。

  信任關係的另一種形式是它有時被引用成一個隱式的信任。在一個獨立域模式中，或者在任何兩個域之間沒有清楚的信任關係的環境中，隱式信任關係是活動的和功能上需要的。這種隱式信任關係存在於一個域的域控制器和域中所有成員之間。清楚的信任關係在域管理中建立。隱式信任關係在成為域成員時建立。

  Nltest.exe能夠用來測試一個域中的域控制器和執行Windows NT的域成員之間的信任關係。Nltest.exe也可以用來在主域控制器（PDC）和備份域控制器（BDC）之間效驗信任關係。在一個明確指定信任關係的域中，nltest.exe能夠用來測試在等待信任域中的所有域控制器和已信任域中的一個域控制器之間的信任關係。

  這些通訊會議被叫作安全通道並用來驗證Windows NT計算機賬號。也用來驗證當一個使用者連線到資源並且這個使用者帳號存在於一個已信任的域中的使用者帳號，這被叫作通行證驗證，並允許加入到域中的執行Windows NT的計算機擁有訪問域中或已信任域中的使用者帳號的資料。

  Nltest.exe能使用服務來列舉域控制器。因此，如果瀏覽器服務沒有正確地工作，nltest.exe將返回不協調的結果。執行nltest.exe和提供瀏覽器服務的計算機將共享域控制器承載域活動記錄的同一。特別地，指定計算機和域名稱的列舉依賴命名決定的狀態，比如WIN複製，IPX或BEUI橋接。

  所有的信任關係和域同步，都可以在nltest.exe下監視、測試和檢驗。

  在命令列下輸入帶/?引數的nltest.exe後的樣本輸出：

/SERVER::namespace prefix = o ns = "urn:schemas-microsoft-com::office" />

指定ServerName

/QUERY - Query netlogon service

查詢ServerName的netlogon服務

/REPL - Force partial sync on BDC

強制的備份域控制器BDC區域性同步

/SYNC - Force full sync on BDC

強制的備份域控制器BDC全部同步

/PDC_REPL - Force UAS change message from PDC

強制UAS從主域控制器PDC改變訊息

/SC_QUERY: - Query secure channel for on

為上的域查詢安全通道

/SC_RESET:[] - Reset secure channel for on

rverName> to

重設上域到的安全通道

/SC_VERIFY: - Verify secure channel for on

檢驗上域的安全通道

/SC_CHANGE_PWD: - Change a secure channel  pass for

 on

改變上域的安全通道口令

/DCLIST: - Get list of DC's for

得到的域控制器清單

/DCNAME: - Get the PDC name for

得到的主域控制器名稱

/DSGETDC: - Call DsGetDcName /PDC /DS /DSP /GC /KDC

  /TIMESERV /GTIMESERV / //FORCE /WRITABLE /AVOIDSELF /LDA

PONLY /BACKG

  /SITE: /ACCOUNT: /RET_DNS /RET_NETBIOS

DsGetDcName

/DNSGETDC: - Call DsGetDcOpen/Next/Close /PDC /GC

  /KDC /WRITABLE /ONLY /FORCE /SITESPEC

呼叫DsGetDcOpen、DsGetDcNext或者DsGetDcClose

/DSGETFTI: - Call DsGetForestTrustInformation

  /UPDATE_TDO

呼叫DsGetForestTrustInformation

/DSGETSITE - Call DsGetSiteName

呼叫DsGetSiteName

/DSGETSITECOV - Call DsGetDcSiteCoverage

呼叫DsGetDcSiteCoverage

/PARENTDOMAIN - Get the name of the parent domain of this machine

得到本機的父域名稱

/WHOWILL:* [] - See if will log on

檢視域是否願意登陸使用者

/FINDUSER: - See which trusted domain will log on

檢視哪個域願意登陸使用者

/TRANSPORT_NOTIFY - Notify netlogon of new transport

通報新傳輸的netlogon事件

/FLAG: - New de flag

新標記

/USER: - Query User info on

查詢的使用者資訊

/TIME: - Convert NT GMT time to ascii

轉換NT GMT時間為ascii碼

/LOGON_QUERY - Query number of cumulative logon attempts

查詢試圖登陸的累計數字

/DOMAIN_TRUSTS - Query domain trusts on

  /PRIMARY /FOREST /DIRECT_OUT /DIRECT_IN /ALL_TRUSTS /V

查詢上的域信任

/DSREGDNS - Force registration of all DC-specific DNS records

強制註冊所有DC指定的DNS記錄

/DSDEREGDNS: - Deregister DC-specific DNS records for specified

 DC

  /DOM: /DOMGUID: /DSAGUID:

取消DC指定的DNS記錄的註冊

/DSQUERYDNS - Query the status of the last update for all DC-specific DNS re

cords

查詢所有DC指定的DNS記錄最後的狀態

/BDC_QUERY: - Query replication status of BDCs for

查詢備份域控制器BDCs的複製狀態

/SIM_SYNC: - Simulate full sync replication

模擬完全同步複製

/LIST_DELTAS: - display the content of given change log file

顯示給定變化日誌的內容

/CDIGEST: /DOMAIN: - Get client digest

得到客戶端的摘要資訊

/SDIGEST: /RID: - Get server digest

得到伺服器的摘要資訊

/SHUTDOWN: [] - Shutdown for

關閉

/SHUTDOWN_ABORT - Abort a system shutdown

中斷關閉

  下面是一些額外引數說明