nltest (Network Location Test)是一个 Windows 系统命令行工具,主要用于进行域控制器相关的测试和查询。它提供了多种功能,特别是在域、信任、登录等方面的故障排除中非常有用。以下是 nltest 命令按功能分类的表格:nltest 命令的不同版本和 Windows 操作系统版本之间的差异,通常表现为命令参数的增减、功能的不同实现以及输出结果的变化。
nltest.exe 工具完整解读(图中参数翻译 + 功能分类)
一、工具基础介绍
nltest.exe(Network Location Test)是 Windows 内置AD 域诊断工具,存放在 C:\Windows\System32,无需额外安装,域管理员核心排错工具,核心用途:- 检测域安全通道(机器域信任)状态
- 查询 / 定位域控制器 (DC)、全局编录 (GC)、KDC
- 验证域间信任关系、复制同步状态
- 排查登录、DNS 解析、站点、复制日志问题
- 远程 DC 关机、调试 Netlogon 日志
运行要求:PowerShell/CMD管理员权限,普通用户部分参数会返回权限拒绝。
二、图中参数完整中文翻译 + 功能分组
1. 基础目标指定
| 参数 | 翻译 & 用途 |
|---|---|
/SERVER:<ServerName> |
指定远程操作的域控制器 / 服务器,不写默认本地机器 |
2. Netlogon 服务 & 复制同步类(NT4 BDC/AD 复制)
| 参数 | 翻译 & 用途 |
|---|---|
/QUERY |
查询目标服务器 Netlogon 服务运行状态 |
/REPL |
强制在目标 BDC 执行部分同步(兼容 NT4 域) |
/SYNC |
强制在目标 BDC 执行完整全量同步 |
/PDC_REPL |
强制从目标 PDC 执行 UAS 账户数据库变更同步 |
3. 安全通道(机器信任)排错(最常用)
| 参数 | 翻译 & 用途 |
|---|---|
/SC_QUERY:<Domain> |
查询本机与指定域的安全通道连接状态(排查机器脱域、信任失效) |
/SC_RESET:<Domain>[\<DCName>] |
重置域安全通道,可选指定 DC 重建信任(解决错误 5/1789) |
/SC_VERIFY:<Domain> |
验证当前域安全通道是否正常连通 |
/SC_CHANGE_PWD:<Domain> |
修改本机与域之间存储的机器账户安全密码 |
4. 域控制器 DC 查询(定位 DC/GC/KDC)
基础 DC 列表
/DCLIST:<DomainName>:列出域内所有域控制器/DCNAME:<DomainName>:获取当前登录使用的 DC 名称
精细化 DC 筛选 /DSGETDC:<域名> 配套筛选标记(逗号分隔叠加)
plaintext
/PDC /DS /DSP /GC /KDC /TIMESERV /GTIMESERV /WS /NETBIOS /DNS /IP /FORCE /WRITABLE /AVOIDSELF /LDAPONLY /BACKG /DS_6 ~ DS_13 /KEYLIST /TRY_NEXT_CLOSEST_SITE /SITE:<站点名> /ACCOUNT:<账户名> /RET_DNS /RET_NETBIOS /XDC /WRITABLE /LDAPONLY /FORCE /SITE_SPEX/GC:仅返回全局编录服务器/KDC:仅返回 Kerberos 密钥分发中心/WRITABLE:仅返回可写 AD DC(排除只读 RODC)/SITE:<SiteName>:仅查询指定 AD 站点内 DC/FORCE:强制绕过缓存,重新 DNS 查询 DC/AVOIDSELF:不返回本机作为 DC
站点 / 林信任查询
/DSGETSITE:获取本机所属 AD 站点/DSGETSITECOV:查询 DC 站点覆盖范围/LSAQUERYFTI:<TrustedForest>:查询林信任信息/DSGETFTI:<Domain>:获取域林信任配置
DNS 相关 DC 记录
/DSADDRESSTOSITE:<机器名>:通过 IP / 主机名匹配对应 AD 站点/DSREGDNS:让 DC 重新注册所有 AD 相关 DNS 记录/DSDEREGDNS:注销 DC 指定 DNS 记录/DSQUERYDNS:查询 DC DNS 记录最新更新状态
5. 域信任关系管理
/DOMAIN_TRUSTS [/PRIMARY /FOREST /DIRECT_OUT /DIRECT_IN /ALL_TRUSTS /V]查询本机所有域 / 林信任,/V输出详细信任属性(方向、类型、SID、有效期)/WHOWILL:<域>* <用户>:测试指定域是否允许该用户登录/FINDUSER:<用户>:查找哪个信任域可以解析该用户账户
6. 用户、时间、登录审计
/USER:<UserName>:查询目标 DC 上指定用户账户基础信息/TIME:<Hex LSL> <Hex MSL>:将 Windows NT 格林威治十六进制时间转可读 ASCII 时间/LOGON_QUERY:查询本机累计域登录尝试次数
7. 复制日志 & 调试
/LIST_DELTAS:<文件名>:读取并展示 AD 变更日志文件内容/DBFLAG:<HexFlags>:设置 Netlogon 服务十六进制调试日志标记(抓登录 / 信任日志)/TRANSPORT_NOTIFY:通知 Netlogon 服务刷新网络传输协议
8. 摘要校验(客户端 / 服务端绑定)
/CDIGEST:<消息> /DOMAIN:<域名>:生成客户端校验摘要/SDIGEST:<消息> /RID:<十六进制RID>:生成服务端校验摘要
9. 远程服务器关机
/SHUTDOWN:<原因> [秒数]:远程关闭指定 DC,填写关机原因与延迟倒计时/SHUTDOWN_ABORT:取消正在执行的远程关机操作
三、高频实战示例(管理员常用命令)
- 检查本机域安全通道(最常用)
powershell
nltest /sc_query:contoso.com正常输出
Connection Status = 0;报错5代表信任断裂,需重置通道。- 重置失效的机器域信任
powershell
nltest /sc_reset:contoso.com- 列出域内所有可写域控制器
powershell
nltest /dsgetdc:contoso.com /writable- 查看所有域信任关系详情
powershell
nltest /domain_trusts /v- 强制 DC 重新注册 DNS 记录(DNS 缺失排错)
powershell
nltest /dsregdns- 查询当前登录使用的域控制器
powershell
nltest /dcname:contoso.com四、排错场景速查
| 故障现象 | 推荐 nltest 命令 |
|---|---|
| 电脑提示 “此工作站和主域间的信任关系失败” | /sc_query → /sc_reset |
| 客户端找不到域控制器、登录缓慢 | /dsgetdc:<域> /force 强制刷新 DC 列表 |
| 域复制异常、BDC 不同步 | /sync / /repl 强制同步 |
| DNS SRV 记录丢失、DC 无法被发现 | /dsregdns 重新注册 DNS |
| 跨域访问 / 信任失败 | /domain_trusts /v 检查信任状态 |
| Netlogon 日志抓包调试 | /dbflag:0x2000ffff 开启全量日志 |
五、注意事项 ⚠️
- 重置安全通道(
/sc_reset)仅修复机器账户信任,不能修复用户密码、域管理员权限问题; /shutdown远程关机需要目标 DC 本地管理员权限;/dsgetdc带/force会触发 DNS 查询,网络不通时会超时;- Windows 10/11 专业版、所有 Server 系统自带该工具,家庭版无 nltest;
- 所有修改类参数(重置密码、同步、关机)必须管理员身份运行。
nltest.exe 完整应用场景分类(AD 域运维 / 排错全覆盖)
一、域机器信任通道故障(最高频场景)
场景 1:工作站脱域报错「此工作站和主域间的信任关系失败」
- 现象:域账户无法登录、提示密码错误、事件 ID 5722
- 对应命令:
powershell
# 检测通道状态 nltest /sc_query:contoso.com # 重建机器与域的信任通道 nltest /sc_reset:contoso.com
场景 2:服务器长时间离线,机器账户密码过期失效
AD 默认每 30 天自动更新机器账户密码,断网超期后通道断裂,用
/sc_change_pwd强制更新机器账户密钥。场景 3:验证跨站点、跨林服务器安全通道连通性
远程检测分支机构 DC 与根域的信任链路:
powershell
nltest /SERVER:BRANCH-DC01 /sc_verify:contoso.com二、域控制器 (DC) 定位与 DNS SRV 记录排错
场景 1:客户端登录缓慢、找不到域控、无法获取组策略
- 根因:本地缓存 DC 地址失效、DNS SRV 记录缺失
- 操作:强制绕过缓存重新查询可用 DC
powershell
nltest /dsgetdc:contoso.com /force
场景 2:排查全局编录 GC、KDC、时间服务器寻址异常
企业多站点环境,验证客户端能否识别 GC(Exchange、通用账户查询依赖 GC):
powershell
# 仅查询全局编录服务器
nltest /dsgetdc:contoso.com /gc
# 仅查询Kerberos认证服务器KDC
nltest /dsgetdc:contoso.com /kdc场景 3:DC DNS 记录丢失、客户端无法解析域控
DC 开机未自动注册 SRV/A 记录,导致终端无法加入域:
powershell
# 让DC重新向DNS服务器注册所有AD相关记录
nltest /dsregdns
# 校验DNS记录更新状态
nltest /dsquerydns场景 4:区分可写 DC 与只读域控 RODC
分支机构 RODC 仅缓存本地用户,查询时过滤只读 DC:
powershell
nltest /dsgetdc:contoso.com /writable三、AD 站点、林信任、跨域访问故障
场景 1:客户端异常连接异地 DC,跨站点流量暴涨
查询本机归属 AD 站点、匹配 IP 子网站点映射:
powershell
# 查看本机所属AD站点
nltest /dsgetsite
# 通过服务器IP反查对应站点
nltest /dsaddresstosite:192.168.10.20场景 2:跨域 / 跨林资源访问失败、账户无法跨域登录
- 查看当前所有域、林信任关系(单向 / 双向、林信任、外部信任)
powershell
nltest /domain_trusts /v - 测试目标用户能否通过信任域完成身份解析
powershell
nltest /whowill:child.contoso.com admin@contoso.com nltest /finduser:john@external.com
场景 3:多林环境林信任配置校验
读取林信任加密、路由配置信息:
powershell
nltest /lsaqueryfti:trustedforest.com四、AD 复制、Netlogon 服务同步排错(兼容 NT4 BDC + 现代 AD)
场景 1:旧版 NT4 BDC 与 PDC 复制不同步、账户数据不一致
/SYNC:强制全量同步 BDC 数据库/REPL:增量部分同步,适合小批量变更/PDC_REPL:从 PDC 主控同步用户账户数据库 UAS 变更
场景 2:读取 AD 变更日志排查复制冲突
导出变更日志文件,查看对象新增、修改、删除记录:
powershell
nltest /list_deltas:C:\ADlog\delta.log场景 3:Netlogon 服务异常、未监听网络传输
刷新 Netlogon 传输通道,通知服务重载网络配置:
powershell
nltest /transport_notify五、登录审计、账户信息、调试日志抓取
场景 1:统计服务器累计域登录失败次数,排查暴力破解
powershell
nltest /logon_query场景 2:快速查询 DC 上指定域用户基础信息
powershell
nltest /SERVER:DC01 /USER:zhangsan场景 3:开启 Netlogon 详细调试日志,深度定位登录 / 信任报错
通过十六进制标志开启全量日志,用于微软工程师深度排错:
powershell
nltest /dbflag:0x2000ffff六、域服务器远程运维操作
场景 1:远程关闭 / 重启域控制器(维护窗口操作)
powershell
# 30秒延迟关机,标注维护原因
nltest /SERVER:DC02 /SHUTDOWN:AD服务器维护 30
# 中止已下发的关机指令
nltest /SERVER:DC02 /SHUTDOWN_ABORT七、AD 迁移、升级、环境巡检场景
- 域迁移前巡检:批量导出所有 DC、站点、信任关系清单,评估迁移风险
- 域升级(NT4→AD/2016→2022):校验 BDC 同步完整性、DNS 注册有效性
- AD 架构标准化巡检:核对站点子网映射、GC 分布、林信任双向配置
- 新终端批量加域前置检测:提前验证终端能否正常寻址 DC、建立安全通道
八、工具适用系统边界(补充场景限制)
✅ 支持系统:Windows Server 2008~2025、Win10/11 专业版 / 企业版
❌ 不支持:Windows 家庭版(无 AD 组件,不含 nltest.exe)
⚠️ 权限要求:修改类操作(重置通道、关机、开启调试日志)必须管理员权限运行
nltest (Network Location Test) 。这个命令用于测试和诊断计算机的网络连接、域控制器连接等网络相关的服务。
nltest 是一个 Windows 系统命令行工具,主要用于进行域控制器相关的测试和查询。它提供了多种功能,特别是在域、信任、登录等方面的故障排除中非常有用。以下是 nltest 命令按功能分类的表格:
nltest 命令功能分类表格
| 功能分类 | 命令参数 | 说明 |
|---|---|---|
| 域控制器查询与测试 | nltest /dsgetdc:<domain> |
查询指定域的域控制器(<domain> 为域名)。 |
nltest /dsgetdc:<domain> /force |
强制查询域控制器,不使用缓存结果。 | |
nltest /dsgetdc:<domain> /site:<site> |
查询指定站点的域控制器。 | |
| 域信任测试 | nltest /trusted_domains |
显示当前计算机的信任域列表。 |
nltest /trusted_domains /all |
显示所有信任的域及其状态。 | |
| 与域控制器通信测试 | nltest /server:<server_name> /sc_query |
查询指定服务器的域控制器的安全通道状态。 |
nltest /server:<server_name> /sc_reset |
重置与指定服务器的安全通道。 | |
| 查询与验证域控制器状态 | nltest /pdc_check |
检查本地计算机是否为主域控制器(PDC)。 |
| 域登录测试 | nltest /logon |
测试计算机的登录是否成功。 |
| 时间同步测试 | nltest /dsgetdc:<domain> /time |
获取域控制器的时间服务信息。 |
| 重置与诊断 | nltest /reset |
重置 nltest 命令的配置或状态。 |
| 显示命令帮助 | nltest /help |
显示 nltest 命令的帮助信息。 |
| 信任通道测试 | nltest /sc_query:<domain> |
查询指定域的安全通道状态。 |
| 强制重新同步时间 | nltest /sync |
强制时间同步,通常用于同步本地计算机与域控制器的时间。 |
| 网络连接测试 | nltest /netdiag |
进行网络诊断,测试当前计算机的网络连接状况。 |
| 验证域控制器发现 | nltest /dsgetdc:<domain> /verify |
验证能否成功发现域控制器。 |
| 模拟用户登录 | nltest /user:<username> /domain:<domain> |
模拟用户登录,验证指定用户名是否可以登录到指定域。 |
详细功能说明:
/dsgetdc:<domain>:此命令查询指定域的域控制器,并返回该域控制器的信息。你可以通过不同的参数如/force强制重新查询。/trusted_domains:显示当前计算机的信任域信息。这对于管理信任关系和故障排除很有帮助。/sc_query:查询与指定服务器的安全通道状态,检查是否有安全问题。/pdc_check:检查当前计算机是否是主域控制器(PDC)。主域控制器是域中用于管理身份验证和目录服务的主要服务器。/logon:用于测试当前计算机的登录状态,验证能否成功进行域登录。/time:查询域控制器的时间服务信息,常用于域控制器间的时间同步验证。/reset:重置nltest配置或当前的网络状态,通常用于恢复一些测试功能或网络状态。/sync:强制与域控制器进行时间同步。通常用于调整本地计算机和域控制器的时间差。/netdiag:执行网络诊断,帮助识别计算机与网络相关的故障。/help:显示nltest命令的帮助信息,列出所有可用选项。
示例用法:
-
查询域控制器:
bashCopy Codenltest /dsgetdc:example.com查询域
example.com的域控制器。 -
检查域控制器的时间服务信息:
bashCopy Codenltest /dsgetdc:example.com /time -
查看信任域列表:
bashCopy Codenltest /trusted_domains -
检查是否为主域控制器:
bashCopy Codenltest /pdc_check -
查询指定服务器的安全通道状态:
bashCopy Codenltest /server:server01 /sc_query -
重置与域控制器的安全通道:
bashCopy Codenltest /server:server01 /sc_reset
通过 nltest,可以帮助管理员执行域控制器查询、验证信任关系、检查安全通道状态等任务,特别有助于故障排除和网络诊断。
nltest 命令的不同版本和 Windows 操作系统版本之间的差异,通常表现为命令参数的增减、功能的不同实现以及输出结果的变化。以下是一些常见的 Windows 版本中的 nltest 命令差异表格化比较:
nltest 命令版本差异表格
| 功能/参数 | Windows Server 2008及之前版本 | Windows Server 2012 / Windows 8 | Windows Server 2016 / Windows 10 | Windows Server 2019 / Windows 10 1909及以后 |
|---|---|---|---|---|
| 基本命令 | nltest 本身可用,基本功能支持 |
支持所有基本功能 | 增加一些新的诊断工具功能 | 增强了对多域和多信任环境的支持 |
/dsgetdc:<domain> |
支持查询域控制器,能指定域并返回域控制器信息 | 增强了对域控制器发现过程中的故障排除支持,支持 /force 参数 |
增加了对多个站点和复杂网络环境下的支持 | 对跨站点、跨域的查询和控制有更强支持 |
/trusted_domains |
显示当前计算机的信任域列表 | 新增信任域检查,能列出更多信息 | 对多信任域关系的支持更好,显示更加详细的信息 | 支持跨域信任关系的显示与分析 |
/sc_query |
查询指定域的安全通道状态,适用于调试与域控制器的连接问题 | 对安全通道的诊断支持增强,能够显示更多的错误信息 | 提供更多的安全诊断信息,包括与 AD 和 Kerberos 配置的关系 | 增强跨站点和多信任关系中的安全通道状态诊断 |
/pdc_check |
检查主域控制器状态 | 增加了对PDC的状态分析功能,允许用户更清晰地判断是否为PDC | 增加了多个域控制器和PDC功能检查 | 增强了对跨域PDC状态的支持,能显示更多信息 |
/time |
获取域控制器的时间同步信息 | 支持跨站点和多个域控制器时间同步的校验 | 提供更细粒度的时间同步信息,可以进行时间校对和日志分析 | 增强了对不同网络拓扑中的时间同步状态的支持 |
/logon |
可用来模拟域登录测试 | 增强了对域登录过程的模拟分析,支持更多的登录类型 | 提供了更多关于登录过程的详细信息,包括日志和错误代码 | 支持更多登录方式,尤其在复杂身份验证环境中的使用 |
/dsgetdc:<domain> /force |
不完全支持强制查询,较为依赖缓存 | 强制查询时的执行速度提升,更加稳定 | 支持更多类型的强制查询,包括带有站点和区域的域控制器查询 | 完善了强制查询的机制,支持更高效的域控制器定位 |
/sync |
强制与域控制器时间同步 | 增强了与时间服务器的同步机制,支持多域时间同步检查 | 增加了对多个时区和区域内时间同步的支持 | 支持多域和多区域网络内的时间同步,增强了同步的稳定性 |
/reset |
重置 nltest 状态,主要用于恢复命令的初始状态 |
增强了重置的能力,可以重置某些诊断功能 | 支持更多类型的状态重置和恢复功能,尤其是在大规模网络中 | 增强了对多种网络拓扑和大规模域环境中的状态恢复功能 |
/netdiag |
不支持 nltest /netdiag,网络诊断需使用独立的工具如 netsh |
nltest /netdiag 支持对网络连接的快速诊断 |
提供了更强大的网络诊断功能,能够测试网络连接与域控制器之间的状态 | 增强了对复杂网络环境(如跨域和多站点网络)的诊断支持 |
| 命令输出格式 | 输出较为简单,通常是文本结果 | 输出更加详细,增加了状态码和错误信息 | 增强了错误信息的输出,支持JSON格式以供脚本化处理 | 输出进一步优化,支持XML和CSV格式的错误诊断输出 |
版本间差异总结:
-
Windows Server 2008及之前版本:
nltest命令较为基础,主要用于域控制器的查询、时间同步和域登录测试,功能较简单。
-
Windows Server 2012 / Windows 8:
- 增强了对域控制器的查询支持,尤其是在多域和多站点环境中,加入了
/force和其他诊断选项,提升了对跨站点和多个域环境的支持。
- 增强了对域控制器的查询支持,尤其是在多域和多站点环境中,加入了
-
Windows Server 2016 / Windows 10:
- 增强了多域、多信任关系的支持,特别是在处理安全通道、PDC、时间同步等操作时提供了更多的诊断信息。
-
Windows Server 2019及以后版本:
- 在跨域和复杂网络环境中的支持更为强大,进一步优化了命令的输出格式,增加了更多的日志信息和分析工具,适应大规模网络环境。
重要变化:
- 增强的跨域支持:后续版本(如 Windows Server 2012 及以后版本)大大增强了对多域、多站点以及跨信任关系的支持,尤其在安全通道诊断和域控制器发现等功能上。
- 时间同步和网络诊断增强:新的版本增强了对域控制器时间同步和网络诊断的功能,支持更多类型的网络环境。
- 错误输出和日志信息的改进:最新版本的
nltest输出了更详细的诊断信息,支持 JSON、XML 等格式,便于自动化脚本处理。
总结来说,nltest 命令随着 Windows 操作系统版本的更新,功能不断增强,特别是在对复杂的域结构和网络环境的支持方面。
nltest 工具的版本差异通常体现在操作系统的不同版本中,因为 Microsoft Windows 会不断更新和扩展命令行工具的功能。不同版本的 Windows 系统可能会包含不同的 nltest 命令选项。下面是一些常见 Windows 操作系统版本中 nltest 命令的功能差异。由于无法获取最新的实时数据,这里列出的是基于典型操作系统版本的信息。
| 功能/命令选项 | Windows 2000 | Windows Server 2003 | Windows Server 2008/2008 R2 | Windows Server 2012/2016/2019 | Windows 10/11 |
|---|---|---|---|---|---|
/domain_trusts |
支持 | 支持 | 支持 | 支持 | 支持 |
/dsgetdc:<域名> |
支持 | 支持 | 支持 | 支持 | 支持 |
/validate |
支持 | 支持 | 支持 | 支持 | |
/getdomain |
|||||
/server:<域控制器> |
支持 | 支持 | 支持 | 支持 | 支持 |
/query |
支持 | 支持 | 支持 | 支持 | 支持 |
/netbios |
支持 | 支持 | 支持 | 支持 | 支持 |
/sc_query |
支持 | ||||
/ping |
支持 | 支持 | 支持 | 支持 | 支持 |
/dns |
支持 | 支持 | 支持 | 支持 | 支持 |
/user:<用户名> |
支持 | 支持 | 支持 | ||
/force |
支持 | 支持 | 支持 | 支持 | |
/time |
支持 | 支持 | 支持 | 支持 | |
/log |
|||||
/netlogon |
支持 | 支持 | 支持 | 支持 | 支持 |
/domain_member |
支持 | 支持 | 支持 |
说明:
-
Windows 2000:
nltest在 Windows 2000 中提供了基础的域验证、域控制器查询和信任关系检查功能。- 不支持高级选项,如
/validate、/user。
-
Windows Server 2003:
- 引入了更多域控制器相关的功能,包括信任验证和强制同步选项。
- 依然没有对一些高级功能(如获取 SID)提供支持。
-
Windows Server 2008/2008 R2:
- 增强了与 Active Directory 的集成,支持更多用于诊断和故障排除的选项,如
/validate、/user。 - 没有显著的新命令选项。
- 增强了与 Active Directory 的集成,支持更多用于诊断和故障排除的选项,如
-
Windows Server 2012/2016/2019:
- 继续增强了命令行工具的功能,特别是在混合环境和云基础设施中的支持。
nltest命令功能基本保持一致,重点是兼容性和网络环境的管理。
-
Windows 10/11:
nltest在这些版本中依然支持所有基本功能,且提供了一些新的功能选项,特别是在支持不同工作组和域配置的环境中。- 特别针对较小的 IT 环境或个人使用者,增强了命令行功能的可用性。
此表概述了每个版本中 nltest 的常见支持功能。如果您需要进一步了解具体版本或命令选项的详细信息,可以参考每个版本的官方文档。
nltest 是一个 Windows 命令行工具,用于测试和管理 Windows 域的信任和连接状态。以下是一些常用的 nltest 命令示例:
1. 查询域信任关系
bashCopy Code
nltest /domain_trusts该命令显示当前计算机与其域和其他信任域之间的信任关系。
2. 验证域控制器
bashCopy Code
nltest /server:<DomainControllerName> /sc_verify:<DomainName>验证指定的域控制器是否可以访问指定的域。
示例:
bashCopy Code
nltest /server:DC01 /sc_verify:example.com3. 查询当前域的域控制器
bashCopy Code
nltest /dclist:<DomainName>列出指定域的所有域控制器。
示例:
bashCopy Code
nltest /dclist:example.com4. 获取当前计算机的域信息
bashCopy Code
nltest /domain该命令返回当前计算机所属的域信息。
5. 显示计算机的安全通道状态
bashCopy Code
nltest /sc_query:<DomainName>查询计算机与指定域的安全通道状态。
示例:
bashCopy Code
nltest /sc_query:example.com6. 检查域信任的详细信息
bashCopy Code
nltest /trusted_domains列出当前信任的所有域。
nltest 是一个强大的工具,适用于域管理和故障排除,以上命令可以帮助你获取域控制器的信息、验证信任关系以及查询安全通道状态等。
7. 列出所有信任的域
bashCopy Code
nltest /trustdoms此命令列出当前计算机所在域信任的所有域。
8. 验证对指定域控制器的连接
bashCopy Code
nltest /server:<DomainControllerName> /sc_verify:<DomainName>此命令验证当前计算机是否可以与指定的域控制器建立安全通道。
示例:
bashCopy Code
nltest /server:DC02 /sc_verify:example.com9. 重新启动域控制器的安全通道
bashCopy Code
nltest /sc_reset:<DomainName>如果安全通道出现问题,可以使用此命令重置与指定域的安全通道。
示例:
bashCopy Code
nltest /sc_reset:example.com10. 查询计算机的安全标识符 (SID)
bashCopy Code
nltest /sid此命令显示当前计算机的 SID 信息。
11. 显示当前计算机的 FQDN
bashCopy Code
nltest /fqdn返回当前计算机的完全合格域名(FQDN)。
12. 查询站点信息
bashCopy Code
nltest /site此命令显示计算机所属的 Active Directory 站点。
13. 检查 Netlogon 服务的状态
bashCopy Code
nltest /dbflag:0x2080ffff通过设置 Netlogon 的调试标志,可以帮助诊断域相关问题。
14. 查询指定计算机的安全通道状态
bashCopy Code
nltest /sc_query:<DomainName> /server:<ComputerName>此命令检查特定计算机与指定域之间的安全通道。
示例:
bashCopy Code
nltest /sc_query:example.com /server:ComputerName15. 获取当前计算机的角色
bashCopy Code
nltest /roles显示当前计算机在 Active Directory 中的角色(如主域控制器、备份域控制器等)。
nltest 提供了丰富的选项,用于管理和排查 Active Directory 和域环境中的问题。通过以上命令,你可以有效地获取和管理域信息,确保网络环境的正常运行。
16. 获取域控制器的角色信息
bashCopy Code
nltest /role:<RoleName>此命令用于获取特定角色的信息,比如主域控制器或全局编录。
示例:
bashCopy Code
nltest /role:DC17. 强制更新组策略
bashCopy Code
nltest /policy这个命令用于强制计算机更新其组策略设置。
18. 检查 DNS 设置
bashCopy Code
nltest /dns此命令检查当前计算机的 DNS 配置是否正确。
19. 查询 Active Directory 域的安全设置
bashCopy Code
nltest /showtrust显示当前域的信任关系及相关安全设置。
20. 获取当前计算机的 NetBIOS 名称
bashCopy Code
nltest /netbios此命令显示当前计算机的 NetBIOS 名称,有助于网络故障排除。
21. 验证一个用户的 SID
bashCopy Code
nltest /user:<Username>此命令验证特定用户的 SID 信息。
示例:
bashCopy Code
nltest /user:username22. 测试与域控制器的连接
bashCopy Code
nltest /server:<DomainControllerName> /sc_query检查当前计算机与指定域控制器之间的连接。
23. 获取当前计算机的域信息和 SID
bashCopy Code
nltest /domain /sid该命令返回当前计算机的域名和对应的 SID 信息。
24. 查询当前域的全部组
bashCopy Code
nltest /groups列出当前域中的所有组。
25. 检查信任的详细信息
bashCopy Code
nltest /trusted_domains /v提供详细的信任域信息,包括类型和状态。
26. 查询 Active Directory 的域名
bashCopy Code
nltest /domaindns返回当前计算机的 DNS 域名信息。
27. 检查安全通道的详细信息
bashCopy Code
nltest /sc_query:<DomainName> /server:<DomainControllerName>获取与指定域控制器的安全通道的详细状态。
28. 获取当前计算机的操作系统版本
bashCopy Code
nltest /version此命令返回当前计算机的操作系统版本信息,有助于版本兼容性排查。
29. 通过 IP 地址查询域控制器
bashCopy Code
nltest /server:<IPAddress>使用 IP 地址查询指定域控制器的信息。
30. 查询计算机的完整域名
bashCopy Code
nltest /fqdn显示计算机的完整域名,适用于网络配置和 DNS 故障排除。
以上命令扩展了 nltest 的使用范围,提供了更多的功能,帮助你在 Active Directory 环境中进行管理和故障排除。通过这些命令,你可以深入了解域的状态和配置,确保系统的稳定性和安全性。
31. 列出所有信任的域
bashCopy Code
nltest /trusted_domains该命令会列出所有信任的域信息,帮助你了解域之间的信任关系。
32. 检查与特定域的信任状态
bashCopy Code
nltest /domain_trust:<DomainName>验证当前域与指定域的信任关系。
33. 列出指定用户的组成员身份
bashCopy Code
nltest /user:<Username> /groups此命令显示特定用户所属的所有组,有助于权限管理。
34. 查看域控制器的角色持有者
bashCopy Code
nltest /role:All获取所有角色的持有者信息,帮助确认角色分配是否正常。
35. 测试 Kerberos 认证
bashCopy Code
nltest /kccexport导出 Kerberos 票证的详细信息,适用于 Kerberos 认证问题排查。
36. 查询最近的域控制器
bashCopy Code
nltest /dsgetdc:<DomainName>查找指定域的最近域控制器,帮助识别网络中可用的域控制器。
37. 查看组策略处理的详细信息
bashCopy Code
nltest /gpresult获取当前计算机的组策略应用情况,帮助确认策略是否正确应用。
38. 强制重新建立安全通道
bashCopy Code
nltest /sc_reset:<DomainName>重置与指定域的安全通道,适用于安全通道问题的解决。
39. 检查域控制器的 DNS 记录
bashCopy Code
nltest /dnsgetdc:<DomainName>查询指定域的域控制器的 DNS 记录,确保 DNS 配置正确。
40. 验证 LDAP 连接
bashCopy Code
nltest /ldap测试当前计算机到域控制器的 LDAP 连接,适用于 LDAP 认证问题的排查。
41. 获取域的 SID 及其版本信息
bashCopy Code
nltest /domain_sid返回当前域的 SID 及其版本信息,帮助管理和迁移域。
42. 查询本地计算机的域角色
bashCopy Code
nltest /role:<LocalMachine>获取本地计算机的域角色信息,确认其在域中的作用。
43. 监测和记录域控制器的状态
bashCopy Code
nltest /sc_check:<DomainControllerName>检查指定域控制器的状态并记录结果,适合于定期监测。
44. 查询当前计算机的 Netlogon 状态
bashCopy Code
nltest /netlogon显示 Netlogon 服务的状态,帮助解决登录和认证问题。
45. 列出所有可用的命令和选项
bashCopy Code
nltest /?显示所有可用的 nltest 命令和选项,快速查找所需功能。
这些 nltest 命令可以帮助你更全面地管理和排查 Windows 域环境中的问题。通过这些工具,你能够有效监控域控制器的健康状态,验证网络配置,处理组策略问题,确保整体环境的稳定性和安全性。
浙公网安备 33010602011771号