Windows - Tartományvezérlők lekérdezése

Cikkünkben egy Active Directory-ban használható segédeszközt mutatunk be. Széleskörű felhasználhatóságának része többek között a tartomány kiszolgálóinak lekérdezése, az általuk ellátott feladatok listázása, leállítása, tartományok közti meghatalmazások lekérdezése és biztonsági csatornájuk ellenőrzése, a gépek közötti replikáció ellenőrzése és egyéb diagnosztikai feladatok ellátása.
Mindezt parancssorból tudjuk végrehajtani az NLTEST.EXE nevű segédprogrammal. Használatához az ellátandó feladatok miatt rendszergazdai jogosultságok szükségesek, az erdőszintű lekérdezésekhez pedig a legmagasabb vállalati rendszergazdai (enterprise administrator) fokozatra lesz szükség.
Hol található az NLTEST?
Alapértelmezésben nem kerül az operációs rendszerrel együtt a merevlemezre, nekünk kell gondoskodni a telepítéséről. Vegyük elő a Windows 2000/XP telepítő CD-t és futtassuk a Support\Tools könyvtárban található SETUP.EXE vagy 2000RKST.MSI programokat. Ezután a %Program Files%\Support Tools mappában lesz megtalálható, de nem kell ide tallózni, mert bárhonnan elérhető, köszönhetően annak, hogy bekerül az alapértelmezett elérési útvonalak közé. Nem csak a kiszolgáló verziók CD-in található meg, hanem a munkaállomásokén is.
  • Megjegyzés: alábbi példáinkban a World.net tartománynevet fogjuk mintaként használni (NetBIOS neve: World).
Megadott tartomány összes tartományvezérlőjének listázása
nltest /dclist:world
Nem pusztán a tartományvezérlők neveit adja vissza, megkapjuk még a Hely (Site) nevét, amelyikhez az adott gép tartozik, a főbb flag-eket (PDC, DS, stb.), a gép teljes DNS nevét és azt is, hogy melyik tartományvezérlő szolgáltatta számunkra az adatokat ("Get list of DCs in domain 'world' from '\\gépnév'").
Részletesebb listát kapunk a /dsgetdc kapcsolóval:
nltest /dsgetdc:world
A Hely (Site) lekérdezésére használhatjuk még az alábbi kapcsolót is:
nltest /dsgetsite
Elsődleges tartományvezérlő (Primary Domain Controller - PDC) nevének megjelenítése
nltest /dcname:world
A tartomány létrehozásakor elsőként telepített tartományvezérlő speciális funkciót lát el, később ez áthelyezhető másik gépre. A fenti paranccsal megjeleníthetjük, hogy most éppen melyik ez a gép.
Tartományvezérlők közti biztonsági csatorna lekérdezése
Aktuális gépen:
nltest /query
Másik gépen:
nltest /query /server:gépnév
Ellenőrzi, hogy rendben van-e a tartományvezérlőhöz vezető biztonsági csatorna, melyet a replikációs szolgáltatás használ a gépek közötti kommunikációra. Ez egyúttal a NETLOGON szolgáltatás tesztelését is jelenti.
Tartományok közti biztonsági csatornával kapcsolatos műveletek
nltest /sc_query:world
Az aktuális tartomány PDC-je és a megadott tartomány között lévő meghatalmazásos kapcsolat ellenőrzését hajtja végre, ezenkívül alapállapotba hozza a biztonsági csatornát. Utóbbi funkció ellátására a következő parancs is alkalmas:
nltest /sc_reset:world
Kommunikációs zavaroknál érdemes egy próbát tenni vele.
A gépek közötti kommunikáció során ugyanúgy hitelesítési eljárásokkal azonosítják a tartományvezérlők magukat, mint a felhasználó, amikor bejelentkezik. Lényegi különbség, hogy a jelszó automatikusan generálódik, a következő paranccsal kikényszeríthetjük az újragenerálásukat:
nltest /sc_change_pwd:world
Azonnali, teljes replikáció
nltest /sync
Szintaxisa hasonló az előző parancséhoz: ha a /server kapcsolót is használjuk a megadott gépre vonatkozik, ha nem, akkor a helyire.
Nem várja meg a következő replikációs ciklust, hanem azonnal, feltétel nélkül elindítja az adatcserét.
Részleges replikáció
nltest /repl
Részleges replikációt kezdeményez a helyi vagy a /server kapcsoló után megadott gépről indulva.
Melyik tartományvezérlő jelentkeztette be az adott felhasználót?
nltest /finduser:felhasználó
Megkapjuk a tartomány és a tartományvezérlő nevét, amelyiken bejelentkezett az adott felhasználói fiók.
Hány egyidejű kapcsolat engedélyezett még?
nltest /logon_query
Az egyidejű kapcsolatok maximális száma technikailag a vezérlőpult "Licencelés" ikonjával állítható, jogilag a megvásárolt licencek számától függ.
Meghatalmazott tartományok listázása
nltest /domain_trusts
Megjelennek a meghatalmazott tartományok.
További kapcsolókról az nltest /? parancs kiadásával, illetve a Support Tools súgójának áttekintésével tudható meg bővebb információ.