活动目录验证过程原理

系统 Windows
活动目录验证过程原理。我想了解AD内,一台电脑向DC提交验证的具体过程。从client pc启动到发现DC,然后向DC提交验证数据,最后完成验证。期间使用那些端口,那些协议,怎样的验证过程?麻烦提供一个详细点的文章,谢谢!

活动目录验证过程原理。我想了解AD内,一台电脑向DC提交验证的具体过程。从client pc启动到发现DC,然后向DC提交验证数据,***完成验证。期间使用那些端口,那些协议,怎样的验证过程?麻烦提供一个详细点的文章,谢谢!

回答:根据您的描述,我对这个问题的理解是:您想了解一台电脑向DC提交验证的具体过程。

如果您所用的客户操作系统不是Windows 3.1, Windows 95, Windows98, Windows NT, 也即您的客户机系统是Windows 2000及以上,并且DC也是Windows 2000及以上,那么验证过程使用的是Kerberos协议。如果您的客户机或者DC之一是Windows 2000以下,则验证使用的是NTLM协议。在Windows 2000及以上的域环境中,默认的验证协议是Kerberos v5。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

我们假设现在用户是在一个Windows 2003的域环境。当一台客户机登录域时,客户按下CTRL+ALT+DEL, 机器的 Winlogon 服务在转到登录的界面前,会触发 Winlogon的组件之一GINA DLL。GINA会显示登录界面,同时 GINA 也负责收集用户登录的数据,打包成数据单位,然后送给LSA认证。用户输入用户名及密码,选定域。当按下确定时, GINA 把用户信息传给Winlogon。 Winlogon 把信息传给 LSA。 LSA 使用LsaLogonUser进行验证. 就在此时,LSA开始使用Kerberos V5验证协议开始验证。

LSA收到用户密码后,使用DES-CBC-MD5加密方法加密生成一个Key。(所以Kerberos version 5验证协议必须支持DES-CBC-MD5)。这个Key就是用户密钥。LSA 与Kerberos SSP 互动,得到TGT Ticket和service ticket. 使用这些ticket, LSA就可以和KDC(Key Distribution Center密钥分发中心)交换信息。(客户机通过DNS查询来定位KDC,每台DC都是在DNS注册过的KDC)。通过和KDC的互动,客户机使用 Kerberos发送消息 KRB_AS_REQ 给KDC。该消息包括用户名,域以及生成的密钥。KDC 从其数据库中找到用户及用户密钥,对比结果,如果用户及密钥都相同,则该用户被允许登录。但此时用户仅仅是能登录,如果要做其余的动作,比如浏览共享文件夹等,则用户要先与KDC做近一步的互动。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

以上所提到的具体信息,请参考http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true

从上我们可以看到,用户登录域,必须先通过DNS定位KDC,然后使用Kerberos验证协议。这2步是必须的。DNS使用的是TCP和UDP的53端口,Kerberos使用的是TCP和UDP的88端口。所以对于您的问题,可以看到,登录使用的协议是Kerberos V5,端口是TCP和UDP的53和88。

http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true

本文出自 gnaw0725 的BLOG 详情请参阅博客

【编辑推荐】

  1. 《Windows运维月刊》第二期:活动目录的灾备与恢复
  2. 什么是活动目录ActiveDirectory?
  3. 让活动目录环境更省钱、更精简的五个提示
  4. 活动目录的域控制器中如何创建漫游用户?
  5. 使用ADMT进行活动目录迁移的准备工作
责任编辑:张浩 来源: 51CTO技术博客
相关推荐

2011-07-19 09:22:20

活动目录

2010-11-01 05:54:41

2011-08-08 09:17:32

活动目录ActiveDirec

2010-04-15 11:39:22

微软活动目录基础

2011-04-07 14:07:56

活动目录

2010-04-15 11:47:37

微软活动目录逻辑结构

2011-07-12 16:22:31

活动目录

2011-07-15 13:35:52

Windows 200

2012-03-20 14:17:33

活动目录

2011-07-19 16:28:55

活动目录ADSI

2011-07-19 16:34:21

活动目录ADSI

2010-08-30 15:57:25

2011-01-05 10:30:42

活动目录Powershell

2010-04-25 23:13:26

活动目录物理结构

2011-07-15 10:20:34

活动目录

2010-10-22 11:01:42

Windows Pow

2011-06-27 09:42:46

2010-09-29 11:10:35

活动目录AD

2011-07-19 09:30:58

活动目录复制

2010-09-29 11:06:21

活动目录OpenLDAP
点赞
收藏

51CTO技术栈公众号