域安全通道实用工具nltest.exe的使用简介工具:此工具在MicrosoftWindowsNT4.0资源工具包中可以找到,另外如果你有Windows2003安装盘的话,在安装盘的SupportTools目录下有安装SupportTools的一个工具包安装程序,你安装此工具包后同样也有nltest.exe工具。简介:nltest.exe是一个非常强大的命令行工具,它能用来在WindowsNT域中测试信任关系和域控制器复制的状态。一个域由一个独立主域控制器(PDC)和零个或者更多备份域控制器(BDC)组成。当在WindowsNT上下文关系中使用信任时,它描述两个WindowsNT域之间的关系。每个包含的域或者是等待信任域角色,也或者是已信任域角色。对于任何已给出的信任关系,在等待信任域的每个域控制器和已信任域的每个域控制器之间只有唯一的一个连续的通信通道。举例,如果域A信任域B,那么B就是已信任域,A就是等待信任域。另外一个例子,假设域C信任域D,同时域D也信任域C,这种情况下,在域控制器之间有两个截然不同的信任关系,通常我们把它叫作完全信任模式,或者双路线模式。然而,为了诊断安全通道,最好是认为在等待信任域的每个域控制器和已信任域的域控制器之间存在两个独立的安全通道。信任关系并不是可传递的,举例,假设域E信任域F,域F信任域G,这并不表示域E就信任域G。这是因为每个域的管理员必须为发生信任关系的两个域之间明确地授权。信任关系的另一种形式是它有时被引用成一个隐式的信任。在一个独立域模式中,或者在任何两个域之间没有清楚的信任关系的环境中,隐式信任关系是活动的和功能上需要的。这种隐式信任关系存在于一个域的域控制器和域中所有成员计算机之间。清楚的信任关系在域用户管理中建立。隐式信任关系在成为域成员时建立。Nltest.exe能够用来测试一个域中的域控制器和运行WindowsNT的域成员之间的信任关系。Nltest.exe也可以用来在主域控制器(PDC)和备份域控制器(BDC)之间效验信任关系。在一个明确指定信任关系的域中,nltest.exe能够用来测试在等待信任域中的所有域控制器和已信任域中的一个域控制器之间的信任关系。这些通讯会议被叫作安全通道并用来验证WindowsNT计算机账号。也用来验证当一个远程用户连接到网络资源并且这个用户帐号存在于一个已信任的域中的用户帐号,这被叫作通行证验证,并允许加入到域中的运行WindowsNT的计算机拥有访问域中或已信任域中的用户帐号的数据。Nltest.exe能使用浏览器服务来枚举域控制器。因此,如果浏览器服务没有正确地工作,nltest.exe将返回不协调的结果。运行nltest.exe和提供浏览器服务的计算机将共享域控制器承载域活动记录的同一协议。特别地,指定计算机和域名称的枚举依赖命名决定的状态,比如WIN服务器复制,IPX路由配置或者NetBEUI桥接。所有的信任关系和域同步,都可以在nltest.exe下监视、测试和检验。在命令行下输入带/?参数的nltest.exe后的样本输出:/SERVER:指定ServerName/QUERY-Querynetlogonservice查询ServerName的netlogon服务/REPL-ForcepartialsynconBDC强制的备份域控制器BDC局部同步/SYNC-ForcefullsynconBDC强制的备份域控制器BDC全部同步/PDC_REPL-ForceUASchangemessagefromPDC强制UAS从主域控制器PDC改变消息/SC_QUERY:-Querysecurechannelforon为上的域查询安全通道/SC_RESET:[\]-Resetsecurechannelforonto重设上域到的安全通道/SC_VERIFY:-Verifysecurechannelforon检验上域的安全通道/SC_CHANGE_PWD:-Changeasecurechannelpasswordforon改变上域的安全通道口令/DCLIST:-GetlistofDC'sfor得到的域控制器清单/DCNAME:-GetthePDCnamefor得到的主域控制器名称/DSGETDC:-Call调用DsGetDcNameDsGetDcName/PDC/DS/DSP/GC/KDC/...
