域安全通道实用工具nltestexe的使用简介-“十万

工具：

此工具在Microsoft Windows NT 4.0资源工具包中可以找到，另外如果你有Windows 2003安装盘的话，在安装盘的Support Tools目录下有安装Support Tools的一个工具包安装程序，你安装此工具包后同样也有nltest.exe工具。

简介：

nltest.exe是一个非常强大的命令行工具，它能用来在Windows NT域中测试信任关系和域控制器复制的状态。一个域由一个主域控制器（PDC）和零个或者更多备份域控制器（BDC）组成。

当在Windows NT上下文关系中使用信任时，它描述两个Windows NT域之间的关系。每个包含的域或者是等待信任域角色，也或者是已信任域角色。对于任何已给出的信任关系，在等待信任域的每个域控制器和已信任域的每个域控制器之间只有唯一的一个连续的通信通道。举例，如果域A信任域B，那么B就是已信任域，A就是等待信任域。另外一个例子，假设域C信任域D，同时域D也信任域C，这种情况下，在域控制器之间有两个截然不同的信任关系，通常我们把它叫作完全信任模式，或者双路线模式。然而，为了诊断安全通道，最好是认为在等待信任域的每个域控制器和已信任域的域控制器之间存在两个的安全通道。

信任关系并不是可传递的，举例，假设域E信任域F，域F信任域G，这并不表示域E就信任域G。这是因为每个域的管理员必须为发生信任关系的两个域之间明确地授权。

信任关系的另一种形式是它有时被引用成一个隐式的信任。在一个域模式中，或者在任何两个域之间没有清楚的信任关系的环境中，隐式信任关系是活动的和功能上需要的。这种隐式信任关系存在于一个域的域控制器和域中所有成员计算机之间。清楚的信任关系在域用户管理中建立。隐式信任关系在成为域成员时建立。

Nltest.exe能够用来测试一个域中的域控制器和运行Windows NT的域成员之间的信任关系。Nltest.exe也可以用来在主域控制器（PDC）和备份域控制器（BDC）之间效验信任关系。在一个明确指定信任关系的域中，nltest.exe能够用来测试在等待信任域中的所有域控制器和已信任域中的一个域控制器之间的信任关系。

这些通讯会议被叫作安全通道并用来验证Windows NT计算机账号。也用来验证当一个远程用户连接到网络资源并且这个用户XX存在于一个已信任的域中的用户XX，这被叫作通行证验证，并允许加入到域中的运行Windows NT的计算机拥有访问域中或已信任域中的用户XX的数据。

Nltest.exe能使用浏览器服务来枚举域控制器。因此，如果浏览器服务没有正确地工作，nltest.exe将返回不协调的结果。运行nltest.exe和提供浏览器服务的计算机将共享域控制器承载域活动记录的同一协议。特别地，指定计算机和域名称的枚举依赖命名决定的状态，比如WIN服务器复制，IPX路由配置或者NetBEUI桥接。

所有的信任关系和域同步，都可以在nltest.exe下监视、测试和检验。

1 / 10

在命令行下输入带/?参数的nltest.exe后的样本输出： /SERVER: /QUERY - Query 指定ServerName 查询ServerName的netlogon服务 netlogon service /REPL - Force partial sync on 强制的备份域控制器BDC局部同步 BDC /SYNC - Force full sync on 强制的备份域控制器BDC全部同步 BDC /PDC_REPL - Force UAS change 强制UAS从主域控制器PDC改变message from PDC 消息 /SC_QUERY: - Query 为上的域查询安全通道 secure channel for on /SC_RESET:[\\] 重设上域到的安全通道 - Reset secure channel for on to /SC_VERIFY: - Verify 检验上域的安全通道 secure channel for on /SC_CHANGE_PWD: - Change a secure channel password for on /DCLIST: - Get list of 得到的域控制器清单 DC's for /DAME: - Get the PDC 得到的主域控制器名称 name for /DSGETDC: - Call 调用DsGetDame 2 / 10

改变上域的安全通道口令 DsGetDame /PDC /DS /DSP /GC /KDC /TIMESERV /GTIMESERV /NETBIOS /DNS /IP /FORCE /WRITABLE /AVOIDSELF /LDA PONLY /BACKG /SITE: /ACCOUNT: /RET_DNS /RET_NETBIOS /DNSGETDC: - Call 调用DsGetDcOpen、DsGetDext或者DsGetDcClose DsGetDcOpen/Next/Close /PDC /GC /KDC /WRITABLE /LDAPONLY /FORCE /SITESPEC /DSGETFTI: - Call 调用DsGetForestTrustInformation DsGetForestTrustInformation /UPDATE_TDO /DSGETSITE - Call DsGetSiteName /DSGETSITECOV DsGetDcSiteCoverage /PARENTDOMAIN - Get the name of 得到本机的父域名称 the parent domain of this machine /WHOWILL:* 查看域是否愿意登陆用户 - 调用DsGetSiteName Call 调用DsGetDcSiteCoverage [] - See if will log on /FINDUSER: - See which trusted 查看哪个域愿意登陆用户 domain will log on /TRANSPORT_NOTIFY netlogon of new transport /DBFLAG: - New debug 新调试标记 flag - Notify 通报新传输的netlogon事件 3 / 10

/USER: - Query User info 查询的用户信息 on /TIME: - 转换NT GMT时间为ascii码 Convert NT GMT time to ascii /LOGON_QUERY - Query number of 查询试图登陆的累计数字 cumulative logon attempts /DOMAIN_TRUSTS - Query domain 查询上的域信任 trusts on /PRIMARY /DIRECT_OUT /ALL_TRUSTS /V /DSREGDNS - Force registration of all 强制注册所有DC指定的DNS记录 DC-specific DNS records /DSDEREGDNS: - 取消DC指定的DNS记录的注册 /FOREST /DIRECT_IN Deregister DC-specific DNS records for specified DC /DOM: /DOMGUID: /DSAGUID: /DSQUERYDNS - Query the status of 查询所有DC指定的DNS记录最后更新的状态 the last update for all DC-specific DNS re cords /BDC_QUERY: - Query 查询备份域控制器BDCs的复制状态 replication status of BDCs for /SIM_SYNC: - Simulate full sync 模拟完全同步复制 4 / 10

replication /LIST_DELTAS: - display 显示给定变化日志文件的内容 the content of given change log file /CDIGEST: /DOMAIN: - Get client digest /SDIGEST: /RID: - Get server digest /SHUTDOWN: [] - 关闭 Shutdown for /SHUTDOWN_ABORT - Abort a 中断系统关闭 system shutdown 得到客户端的摘要信息

下面是一些额外参数说明 /DSGETDC: /PDC /DS 只返回主域控制器 只返回Windows 2000或者Windows Server 2003域控制器 /DSP 请求Windows 2000或者Windows Server 2003域控制器，如果没有，返回NT与控制器 /GC /KDC 只返回指派为全局编录的域控制器 只返回指派为Kerberos密钥分配中心的域控制器 /TIMESERV /GTIMESERV /NETBIOS /DNS /IP /FORCE 只返回指派为时间服务的域控制器 只返回指派为主要的时间服务的域控制器 指定计算机名称为NetBIOS名称 指定计算机名称为FQDNs 返回指定IP地址的域控制器 强制计算机在DNS服务器上运行命令，而不是5 / 10

在缓存中查找信息 /WRITABLE 所有的活动目录域控制器将会返回，而NT 4.0备份域控制器BDCs将不会返回 /AVOIDSELF /LDAPONLY /BACKG /SITE: /ACCOUNT: /RET_DNS /RET_NETBIOS 确保可以定位到域中另外的域控制器上 返回运行LDAP应用程序的服务器 返回备份域控制器 排序使得位于列表的第一个 返回包含账户的域控制器信息 返回DNS域的域控制器 返回NetBIOS域控制器 /DNSGETDC: /PDC /GC /KDC 只返回主域控制器 只返回指派为全局编录的域控制器 只返回指派为Kerberos密钥分配中心的域控制器 /WRITABLE 所有的活动目录域控制器将会返回，而NT 4.0备份域控制器BDCs将不会返回 /LDAPONLY /FORCE 返回运行LDAP应用程序的服务器 强制计算机在DNS服务器上运行命令，而不是在缓存中查找信息 /SITESPEC 仅返回包含站点的记录，此参数要和/SITE一起使用 /DSGETFTI: /UPDATE_TDO 更新帧间信任上本地存储信息 /DOMAIN_TRUSTS /PRIMARY /FOREST /DIRECT_OUT /DIRECT_IN 仅返回计算机账户属于的域 仅返回主域同一森林下的域 返回被主域明确信任的域 返回明确信任主域的域 6 / 10

/ALL_TRUSTS /V 返回所有已信任的域 显示详细的输出，包括域的SIDs和GUIDs /DSDEREGDNS: /DOM: 指定主机的DNS域名称，如果没有指定，将假定DnsHostName的后缀名就是DNS域名称 /DOMGUID: /DSAGUID:

删除基于GUID的DNS记录 删除基于GUID的DSA记录 应用举例：

例子一

假定域A信任域B，运行Windows NT工作站的计算机TAN是域A的一个成员。现在我们输入：

C:\\>nltest /trusted_domains Trusted domain list: B

The mand pleted successfully

可以看到域A上已信任的域B。

例子二

查看域A上的域控制器，只需要输入： C:\\>nltest /dclist:A

List of DCs in Domain A \\\\C1 (PDC) \\\\C2

The mand pleted successfully

可以看到域A上的两个域控制器C1和C2，其中C1是主域控制器。同理，我们要看域B上的域控制器信息，参照上面的格式输入即可查询到想要的信息

例子三

要查看域A中每个域控制器与域B中的一个域控制器之间的安全通道，只需要按下面的输入：

C:\\>nltest /server:C1 /sc_query:B Flags: 0

Connection Status = 0 0x0 NERR_Success Trusted DC Name \\\\D1

Trusted DC Connection Status Status = 0 0x0 NERR_Success The mand pleted successfully C:\\>nltest /server:C2 /sc_query:B

7 / 10

Flags: 0

Connection Status = 0 0x0 NERR_Success Trusted DC Name \\\\D1

Trusted DC Connection Status Status = 0 0x0 NERR_Success The mand pleted successfully

从上面可以看出域A中的C1和C2域控制器都信任域B中的D1域控制器。

例子四

要查看工作站TAN是否与域A的域控制器有明确的信任关系，可以如下输入： C:\\>nltest /server:TAN /sc_query:A Flags: 0

Connection Status = 0 0x0 NERR_Success Trusted DC Name \\\\C1

Trusted DC Connection Status Status = 0 0x0 NERR_Success The mand pleted successfully

从上可以看出工作站TAN与域A中的C1域控制器之间有一个信任连结。

例子五

要测定一个域控制器是否能鉴别一个用户XX，可以按下面所示输入： C:\\>nltest /whowill:B administrator

[20:58:55] Mail message 0 sent successfully (\\MAILSLOT\\NET\\GETDC939)

[20:58:55] Response 0: S:\\\\D1 D:B A:administrator (Act found) The mand pleted successfully

C:\\>nltest /whowill:A administrator

[21:26:13] Response 0: S:\\\\C1 D:A A:administrator (Act found) [21:26:15] Mail message 0 sent successfully (\\MAILSLOT\\NET\\GETDC295) The mand pleted successfully

大家可以看出两个administrator分别与域B的域控制器D1和域A的域控制器C1产生了一个通话，证明两个administrator都分别在各自的域中得到验证。

例子六

使用nltest.exe找给定用户XX的一个已信任域，我们只需要按下面的输入： C:\\>nltest /finduser:administrato Domain Name: B

Trusted DC Name \\\\D1

The mand pleted successfully

从上面我们可以看出使用administrator账号找到了域B和域B中的已信任域控制器D1。

例子七

要检验备份域控制器BDC同步的状态，只需要如下输入：

8 / 10

C:\\>nltest /bdc_query:A

Server : \\\\C2 SyncState : IN_SYNC

ConnectionState : Status = 0 0x0 NERR_Success The mand pleted successfully

看出备份域控制器C2的同步状态是IN_SYNC，也即备份域控制器C2的的同步状态良好。

例子八

Nltest.exe也可以用来同步账号数据库，比如从一个主域控制器同步域，我们只需要输入：C:\\ nltest /PDC_Repl；要从一个成员服务器、备份域控制器或者一个Windows NT工作站同步域，输入：C:\\ nltest /Server: /PDC_Repl，其中是主域控制器的真实名称，而不是域的名称。

问题解答：

问：DSA操作不能继续因为一个DNS查找错误 答：⑴使用Nltest /dsgetdc: /pdc /force /avoidself命令确定是否返回了正确的主域控制器；⑵如果使用REPLMON或者REPADMIN命令报告此处有一个连接对象但是没有一个复制，问题可能出在KCC上；⑶在主域控制器上运行以下命令：nltest /DBFLAG:0x2000FFFF和nltest /DSGETDC: /GC，然后根据输出信息判断错误出在什么地方；⑷运行nltest /dsgetdc: /gc /force确定你能否联系一个GC；⑸在主域控制器和发生错误的服务器上检查“password last changed”参数。

问：组策略在交叉域控制器之间应用不一致

答：使用chkpolicy the name of your domain命令运行以下脚本： echo off

REM \\logs\\chkpolicy domain_name set

filename=sysvol\\%dom_name%\\Policies\\{6AC1786C-016F-11D2-945F-00C04fB984F9}\\Machine\\Microsoft\\Windows NT\\SecEdit\\GPTTMPL.INF nltest /dclist:%dom_name% > dclist.tmp del dclist1.tmp

FOR /F \"eol=; tokens=1 delims=, \" %%i in (dclist.tmp) do ( echo %%i >> dclist1.tmp )

FOR /F \"eol=. tokens=1 delims=. \" %%i in (dclist1.tmp) do ( echo %%i

dir \"\\\\%%i\\%filename%\" )

问：目录服务太忙而不能完成操作 答：运行以下脚本： setlocal

9 / 10

set destgc=__setgamehere__.site1.forest1. :domain1

repadmin /delete DC=domain1,DC=site1,DC=forest1,DC= %destgc% /nosource if %errorlevel% == 8438 goto :domain2 :domain2

repadmin /delete DC=domain2,DC=Site1,DC=forest1,DC= %destgc% /nosource if %errorlevel% == 8438 goto :domain3 REM ... Endlocal

10 / 10