域安全通道實用工具nltest.exe的使用簡介（下） (轉)

域安全通道實用工具nltest.exe的使用簡介（下） (轉)[@more@]

:namespace prefix = o ns = "urn:schemas--com::office" />

/DSGETDC:

/PDC

只返回主域控制器

/DS

只返回 2000或者Windows Server 域控制器

/DSP

請求或者Windows Server 2003域控制器，如果沒有，返回NT與控制器

/GC

只返回指派為全域性編錄的域控制器

/KDC

只返回指派為Kerberos金鑰分配中心的域控制器

/TIMESERV

只返回指派為時間服務的域控制器

/GTIMESERV

只返回指派為主要的時間服務的域控制器

指定名稱為NetBIOS名稱

/

指定計算機名稱為FQDNs

/IP

返回指定的域控制器

/FORCE

強制計算機在DNS上執行命令，而不是在快取中查詢資訊

/WRITABLE

所有的活動目錄域控制器將會返回，而NT 4.0域控制器BDCs將不會返回

/AVOIDSELF

確保可以定位到域中另外的域控制器上

/ONLY

返回執行LDAP應用的伺服器

/BACKG

返回備份域控制器

/SITE:

排序使得位於列表的第一個

/ACCOUNT:

返回包含賬戶的域控制器資訊

/RET_DNS

返回DNS域的域控制器

/RET_NETBIOS

返回NetBIOS域控制器

/DNSGETDC:

/PDC

只返回主域控制器

/GC

只返回指派為全域性編錄的域控制器

/KDC

只返回指派為Kerberos金鑰分配中心的域控制器

/WRITABLE

所有的活動目錄域控制器將會返回，而NT 4.0備份域控制器BDCs將不會返回

/LDAPONLY

返回執行LDAP應用程式的伺服器

/FORCE

強制計算機在DNS伺服器上執行命令，而不是在快取中查詢資訊

/SITESPEC

僅返回包含站點的記錄，此引數要和/SITE一起使用

/DSGETFTI:

/UPDATE_TDO

幀間信任上本地資訊

/DOMAIN_TRUSTS

/PRIMARY

僅返回計算機賬戶屬於的域

/FOREST

僅返回主域同一森林下的域

/DIRECT_OUT

返回被主域明確信任的域

/DIRECT_IN

返回明確信任主域的域

/ALL_TRUSTS

返回所有已信任的域

/V

顯示詳細的輸出，包括域的SIDs和GUIDs

/DSDEREGDNS:

/DOM:

指定主機的DNS域名稱，如果沒有指定，將假定DnsHostName的字尾名就是DNS域名稱

/DOMGUID:

刪除基於GUID的DNS記錄

/DSAGUID:

刪除基於GUID的DSA記錄

  應用舉例：

  例子一

  假定域A信任域B，執行工作站的計算機TAN是域A的一個成員。現在我們輸入：

C:>nltest /trusted_domains

Trusted domain list:

B

The command completed succesully

可以看到域A上已信任的域B。

例子二

  檢視域A上的域控制器，只需要輸入：

  C:>nltest /dclist:A

  List of DCs in Domain A

  C1 (PDC)

  C2

  The command completed successfully

  可以看到域A上的兩個域控制器C1和C2，其中C1是主域控制器。同理，我們要看域B上的域控制器資訊，參照上面的格式輸入即可查詢到想要的資訊

  例子三

要檢視域A中每個域控制器與域B中的一個域控制器之間的通道，只需要按下面的輸入：

  C:>nltest /server:C1 /sc_query:B

  Flags: 0

  Connection Status = 0 0x0 NERR_Success

  Trusted DC Name D1

  Trusted DC Connection Status Status = 0 0x0 NERR_Success

  The command completed successfully

  C:>nltest /server:C2 /sc_query:B

  Flags: 0

  Connection Status = 0 0x0 NERR_Success

  Trusted DC Name D1

  Trusted DC Connection Status Status = 0 0x0 NERR_Success

  The command completed successfully

  從上面可以看出域A中的C1和C2域控制器都信任域B中的D1域控制器。

  例子四

要檢視工作站TAN是否與域A的域控制器有明確的信任關係，可以如下輸入：

  C:>nltest /server:TAN /sc_query:A

  Flags: 0

  Connection Status = 0 0x0 NERR_Success

  Trusted DC Name C1

  Trusted DC Connection Status Status = 0 0x0 NERR_Success

  The command completed successfully

  從上可以看出工作站TAN與域A中的C1域控制器之間有一個信任連結。

  例子五

  要測定一個域控制器是否能鑑別一個帳號，可以按下面所示輸入：

  C:>nltest /whowill:B administrator

  [20:58:55] message 0 sent successfully

  (MAILSLOTNETGETDC939)

  [20:58:55] Response 0: S:D1 D:B A:administrator (Act found)

  The command completed successfully

  C:>nltest /whowill:A administrator

  [21:26:13] Response 0: S:C1 D:A A:administrator (Act found)

  [21:26:15] Mail message 0 sent successfully

  (MAILSLOTNETGETDC295)

  The command completed successfully

  大家可以看出兩個administrator分別與域B的域控制器D1和域A的域控制器C1產生了一個通話，證明兩個administrator都分別在各自的域中得到驗證。

  例子六

  使用nltest.exe找給定使用者帳號的一個已信任域，我們只需要按下面的輸入：

  C:>nltest /finduser:administrato

  Domain Name: B

  Trusted DC Name D1

  The command completed successfully

  從上面我們可以看出使用administrator賬號找到了域B和域B中的已信任域控制器D1。

  例子七

  要檢驗備份域控制器BDC同步的狀態，只需要如下輸入：

  C:>nltest /bdc_query:A

  Server : C2

  SyncState : IN_SYNC

  ConnectionState : Status = 0 0x0 NERR_Success

  The command completed successfully

  看出備份域控制器C2的同步狀態是IN_SYNC，也即備份域控制器C2的的同步狀態良好。

  例子八

  Nltest.exe也可以用來同步賬號，比如從一個主域控制器同步域，我們只需要輸入：C: nltest /PDC_Repl；要從一個成員伺服器、備份域控制器或者一個Windows NT工作站同步域，輸入：C: nltest /Server: /PDC_Repl，其中是主域控制器的真實名稱，而不是域的名稱。

  問題解答：

  問：DSA操作不能繼續因為一個DNS查詢錯誤

  答：⑴使用Nltest /dsgetdc: /pdc /force /avoidself命令確定是否返回了正確的主域控制器；⑵如果使用REPLMON或者REPADMIN命令報告此處有一個連線但是沒有一個複製連結，問題可能出在KCC上；⑶在主域控制器上執行以下命令：nltest /FLAG:0x2000FFFF和nltest /DSGETDC: /GC，然後根據輸出資訊判斷錯誤出在什麼地方；⑷執行nltest /dsgetdc: /gc /force確定你能否聯絡一個GC；⑸在主域控制器和發生錯誤的伺服器上檢查“pass last changed”引數。

  問：在交叉域控制器之間應用不一致

  答：使用chkpolicy the name of your domain命令執行以下指令碼：

  @echo off

REM logschkpolicy domain_name

set filename=sysvol\%dom_name%Policies{6AC1786C-016F-11D2-945F-00C04fB984F9}MachineMicrosoftWindows NTSecEditGPTTMPL.INF

nltest /dclist:%dom_name% > dclist.tmp

del dclist1.tmp

FOR /F "eol=; tokens=1 delims=, " %%i in (dclist.tmp) do (

  @echo %%i >> dclist1.tmp

)

FOR /F "eol=. tokens=1 delims=. " %%i in (dclist1.tmp) do (

  @echo %%i

   dir  "\%%i\%filename%"

)

  問：目錄服務太忙而不能完成操作

  答：執行以下指令碼：

  setlocal

set destgc=__setgcnamehere__.site1.forest1.com

:domain1

repadmin /delete DC=domain1,DC=site1,DC=forest1,DC=%destgc% /no

if %errorlevel% == 8438 goto :domain2

:domain2

repadmin /delete DC=domain2,DC=Site1,DC=forest1,DC=com %destgc% /nosource

if %errorlevel% == 8438 goto :domain3

REM ...

Endlocal