域安全通道实用工具nlteste_e的使用简介.doc

域安全通道实用工具nltest.exe的使用简介工具： 此工具在Microsoft Windows NT 4.0资源工具包中可以找到，另外如果你有Windows 2003安装盘的话，在安装盘的Support Tools目录下有安装Support Tools的一个工具包安装程序，你安装此工具包后同样也有nltest.exe工具。简介： nltest.exe是一个非常强大的命令行工具，它能用来在Windows NT域中测试信任关系和域控制器复制的状态。一个域由一个独立主域控制器（PDC）和零个或者更多备份域控制器（BDC）组成。 当在Windows NT上下文关系中使用信任时，它描述两个Windows NT域之间的关系。每个包含的域或者是等待信任域角色，也或者是已信任域角色。对于任何已给出的信任关系，在等待信任域的每个域控制器和已信任域的每个域控制器之间只有唯一的一个连续的通信通道。举例，如果域A信任域B，那么B就是已信任域，A就是等待信任域。另外一个例子，假设域C信任域D，同时域D也信任域C，这种情况下，在域控制器之间有两个截然不同的信任关系，通常我们把它叫作完全信任模式，或者双路线模式。然而，为了诊断安全通道，最好是认为在等待信任域的每个域控制器和已信任域的域控制器之间存在两个独立的安全通道。 信任关系并不是可传递的，举例，假设域E信任域F，域F信任域G，这并不表示域E就信任域G。这是因为每个域的管理员必须为发生信任关系的两个域之间明确地授权。 信任关系的另一种形式是它有时被引用成一个隐式的信任。在一个独立域模式中，或者在任何两个域之间没有清楚的信任关系的环境中，隐式信任关系是活动的和功能上需要的。这种隐式信任关系存在于一个域的域控制器和域中所有成员计算机之间。清楚的信任关系在域用户管理中建立。隐式信任关系在成为域成员时建立。 Nltest.exe能够用来测试一个域中的域控制器和运行Windows NT的域成员之间的信任关系。Nltest.exe也可以用来在主域控制器（PDC）和备份域控制器（BDC）之间效验信任关系。在一个明确指定信任关系的域中，nltest.exe能够用来测试在等待信任域中的所有域控制器和已信任域中的一个域控制器之间的信任关系。 这些通讯会议被叫作安全通道并用来验证Windows NT计算机账号。也用来验证当一个远程用户连接到网络资源并且这个用户帐号存在于一个已信任的域中的用户帐号，这被叫作通行证验证，并允许加入到域中的运行Windows NT的计算机拥有访问域中或已信任域中的用户帐号的数据。 Nltest.exe能使用浏览器服务来枚举域控制器。因此，如果浏览器服务没有正确地工作，nltest.exe将返回不协调的结果。运行nltest.exe和提供浏览器服务的计算机将共享域控制器承载域活动记录的同一协议。特别地，指定计算机和域名称的枚举依赖命名决定的状态，比如WIN服务器复制，IPX路由配置或者NetBEUI桥接。 所有的信任关系和域同步，都可以在nltest.exe下监视、测试和检验。在命令行下输入带/?参数的nltest.exe后的样本输出：/SERVER:指定ServerName/QUERY - Query netlogon service查询ServerName的netlogon服务/REPL - Force partial sync on BDC强制的备份域控制器BDC局部同步/SYNC - Force full sync on BDC强制的备份域控制器BDC全部同步/PDC_REPL - Force UAS change message from PDC强制UAS从主域控制器PDC改变消息/SC_QUERY: - Query secure channel for on 为上的域查询安全通道/SC_RESET: - Reset secure channel for on to 重设上域到的安全通道/SC_VERIFY: - Verify secure channel for on 检验上域的安全通道/SC_CHANGE_PWD: - Change a secure channel password for on 改变上域的安全通道口令/DCLIST: - Get list of DCs for 得到的域控制器清单/DCNAME: - Get the PDC name for 得到的主域控制器名称/DSGETDC: - Call DsGetDcName /PDC /DS /DSP /GC /KDC /TIMESERV /GTIMESERV /NETBIOS /DNS /IP /FORCE /WRITABLE /AVOIDSELF /LDAPONLY /BACKG /SITE: /ACCOUNT: /RET_DNS /RET_NETBIOS调用DsGetDcName/DNSGETDC: - Call DsGetDcOpen/Next/Close /PDC /GC /KDC /WRITABLE /LDAPONLY /FORCE /SITESPEC调用DsGetDcOpen、DsGetDcNext或者DsGetDcClose/DSGETFTI: - Call DsGetForestTrustInformation /UPDATE_TDO调用DsGetForestTrustInformation/DSGETSITE - Call DsGetSiteName调用DsGetSiteName/DSGETSITECOV - Call DsGetDcSiteCoverage调用DsGetDcSiteCoverage/PARENTDOMAIN - Get the name of the parent domain of this machine得到本机的父域名称/WHOWILL:* - See if will log on 查看域是否愿意登陆用户/FINDUSER: - See which trusted domain will log on 查看哪个域愿意登陆用户/TRANSPORT_NOTIFY - Notify netlogon of new transport通报新传输的netlogon事件/DBFLAG: - New debug flag新调试标记/USER: - Query User info on 查询的用户信息/TIME: - Convert NT GMT time to ascii转换NT GMT时间为ascii码/LOGON_QUERY - Query number of cumulative logon attempts查询试图登陆的累计数字/DOMAIN_TRUSTS - Query domain trusts on /PRIMARY /FOREST /DIRECT_OUT /DIRECT_IN /ALL_TRUSTS /V查询上的域信任/DSREGDNS - Force registration of all DC-specific DNS records强制注册所有DC指定的DNS记录/DSDEREGDNS: - Deregister DC-specific DNS records for specified DC /DOM: /DOMGUID: /DSAGUID:取消DC指定的DNS记录的注册/DSQUERYDNS - Query the status of the last update for all DC-specific DNS records查询所有DC指定的DNS记录最后更新的状态/BDC_QUERY: - Query replication status of BDCs for 查询备份域控制器BDCs的复制状态/SIM_SYNC: - Simulate full sync replication模拟完全同步复制/LIST_DELTAS: - display the content of given change log file显示给定变化日志文件的内容/CDIGEST: /DOMAIN: - Get client digest得到客户端的摘要信息/SDIGEST: /RID: - Get server digest得到服务器的摘要信息/SHUTDOWN: - Shutdown for 关闭/SHUTDOWN_ABORT - Abort a system shutdown中断系统关闭下面是一些额外参数说明/DSGETDC:/PDC只返回主域控制器/DS只返回Windows 2000或者Windows Server 2003域控制器/DSP请求Windows 2000或者Windows Server 2003域控制器，如果没有，返回NT与控制器/GC只返回指派为全局编录的域控制器/KDC只返回指派为Kerberos密钥分配中心的域控制器/TIMESERV只返回指派为时间服务的域控制器/GTIMESERV只返回指派为主要的时间服务的域控制器/NETBIOS指定计算机名称为NetBIOS名称/DNS指定计算机名称为FQDNs/IP返回指定IP地址的域控制器/FORCE强制计算机在DNS服务器上运行命令，而不是在缓存中查找信息/WRITABLE所有的活动目录域控制器将会返回，而NT 4.0备份域控制器BDCs将不会返回/AVOIDSELF确保可以定位到域中另外的域控制器上/LDAPONLY返回运行LDAP应用程序的服务器/BACKG返回备份域控制器/SITE:排序使得位于列表的第一个/ACCOUNT:返回包含账户的域控制器信息/RET_DNS返回DNS域的域控制器/RET_NETBIOS返回NetBIOS域控制器/DNSGETDC:/PDC只返回主域控制器/GC只返回指派为全局编录的域控制器/KDC只返回指派为Kerberos密钥分配中心的域控制器/WRITABLE所有的活动目录域控制器将会返回，而NT 4.0备份域控制器BDCs将不会返回/LDAPONLY返回运行LDAP应用程序的服务器/FORCE强制计算机在DNS服务器上运行命令，而不是在缓存中查找信息/SITESPEC仅返回包含站点的记录，此参数要和/SITE一起使用/DSGETFTI:/UPDATE_TDO更新帧间信任上本地存储信息/DOMAIN_TRUSTS/PRIMARY仅返回计算机账户属于的域/FOREST仅返回主域同一森林下的域/DIRECT_OUT返回被主域明确信任的域/DIRECT_IN返回明确信任主域的域/ALL_TRUSTS返回所有已信任的域/V显示详细的输出，包括域的SIDs和GUIDs/DSDEREGDNS:/DOM:指定主机的DNS域名称，如果没有指定，将假定DnsHostName的后缀名就是DNS域名称/DOMGUID:删除基于GUID的DNS记录/DSAGUID:删除基于GUID的DSA记录应用举例：例子一 假定域A信任域B，运行Windows NT工作站的计算机TAN是域A的一个成员。现在我们输入：C:nltest /trusted_domainsTrusted domain list:BThe command completed successfully可以看到域A上已信任的域B。例子二 查看域A上的域控制器，只需要输入： C:nltest /dclist:A List of DCs in Domain A C1 (PDC) C2 The command completed successfully 可以看到域A上的两个域控制器C1和C2，其中C1是主域控制器。同理，我们要看域B上的域控制器信息，参照上面的格式输入即可查询到想要的信息例子三要查看域A中每个域控制器与域B中的一个域控制器之间的安全通道，只需要按下面的输入： C:nltest /server:C1 /sc_query:B Flags: 0 Connection Status = 0 0x0 NERR_Success Trusted DC Name D1 Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully C:nltest /server:C2 /sc_query:B Flags: 0 Connection Status = 0 0x0 NERR_Success Trusted DC Name D1 Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully 从上面可以看出域A中的C1和C2域控制器都信任域B中的D1域控制器。例子四要查看工作站TAN是否与域A的域控制器有明确的信任关系，可以如下输入： C:nltest /server:TAN /sc_query:A Flags: 0 Connection Status = 0 0x0 NERR_Success Trusted DC Name C1 Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully 从上可以看出工作站TAN与域A中的C1域控制器之间有一个信任连结。例子五 要测定一个域控制器是否能鉴别一个用户帐号，可以按下面所示输入： C:nltest /whowill:B administrator 20:58:55 Mail message 0 sent successfully (MAILSLOTNETGETDC939) 20:58:55 Response 0: S:D1 D:B A:administrator (Act found) The command completed successfully C:nltest /whowill:A administrator 21:26:13 Response 0: S:C1 D:A A:administrator (Act found) 21:26:15 Mail message 0 sent successfully (MAILSLOTNETGETDC295) The command completed successfully 大家可以看出两个administrator分别与域B的域控制器D1和域A的域控制器C1产生了一个通话，证明两个administrator都分别在各自的域中得到验证。例子六 使用nltest.exe找给定用户帐号的一个已信任域，我们只需要按下面的输入： C:nltest /finduser:administrato Domain Name: B Trusted DC Name D1 The command completed successfully 从上面我们可以看出使用administrator账号找到了域B和域B中的已信任域控制器D1。例子七 要检验备份域控制器BDC同步的状态，只需要如下输入： C:nltest /bdc_query:A Server : C2 SyncState : IN_SYNC ConnectionState : Status = 0 0x0 NERR_Success The command completed successfully 看出备份域控制器C2的同步状态是IN_SYNC，也即备份域控制器C2的的同步状态良好。例子八 Nltest.exe也可以用来同步账号数据库，比如从一个主域控制器同步域，我们只需要输入：C: nltest /PDC_Repl；要从一个成员服务器、备份域控制器或者一个Windows NT工作站同步域，输入：C: nltest /Server: /PDC_Repl，其中是主域控制器的真实名称，而不是域的名称。问题解答： 问：DSA操作不能继续因为一个DNS查找错误 答：使用Nltest /dsgetdc: /pdc /force /avoidself命令确定是否返回了正确的主域控制器；如果使用REPLMON或者REPADMIN命令报告此处有一个连接对象但是没有一个复制链接，问题可能出在KCC上；在主域控制器上运行以下命令：nltest /DBFLAG:0x2000FFFF和nltest /DSGETDC: /GC，然后根据输出信息判断错误出在什么地方；运行nltest /dsgetdc: /gc /force确定你能否联系一个GC；在主域控制器和发生错误的服务器上检查“password