Анализ трафика, генерируемого при загрузке и входе в систему Windows 2000

Опубликовано: 01 августа 2000 г. | Переведено: 01 сентября 2006 г.

Службы Microsoft Enterprise Services

Для получения информации о службах Enterprise Services посетите веб-узел http://www.microsoft.com/learning/default.asp

Список составителей

Грэг Молнар (Greg Molnar) (EN) - USMCS MidWest

Кит Олинджер (Keith Olinger) (EN) - USMCS MidWest

Дэвид Трулли (David Trulli) (EN) – руководитель проектов, Microsoft Enterprise Customer Solutions

Маркус Вилцинскас (Markus Vilcinskas) (EN) – руководитель проектов, Microsoft Enterprise Services

На этой странице

Введение

Обзор компонентов Windows 2000

Описание процесса загрузки и входа в систему Windows 2000

Вход пользователя в систему

Заключение

Приложение А. Среда тестирования

Приложение Б. Порты TCP/IP, используемые в процессе проверки подлинности

 

Введение

Процесс загрузки и входа в систему используется ОС Microsoft Windows для проверки компьютера или пользователя в сетевом окружении Windows. Понимание механизма работы процесса загрузки и входа пользователя в систему является ключом к пониманию принципов сетевого взаимодействия ОС Windows 2000. В данном официальном документе читатель сможет получить детальную информацию об этих процессах, при этом будет рассмотрено:

•	Подключение клиентов к сети Windows 2000, в которой используется протокол динамической конфигурации узлов (Dynamic Host Configuration Protocol, DHCP), средство автоматического назначение частных IP-адресов (Automatic Private Internet Protocol addressing, APIPA) и статическая адресация.
•	Использование клиентами Windows 2000 системы DDNS (Dynamic Domain Naming System), поддерживаемой ОС Windows 2000 для обнаружения контроллеров домена и других серверов в имеющейся инфраструктуре, наличие которых необходимо для загрузки и входа в систему. Также будет рассмотрено то, каким образом клиенты Windows 2000 регистрируют свои имена в системе DDNS.
•	Использование протокола LDAP (Lightweight Directory Access Protocol) при поиске в службе каталогов Active Directory информации, необходимой для загрузки и входа в систему.
•	Использование протокола безопасности Kerberos при проверке подлинности.
•	Использование удаленного вызова процедур (MS Remote Procedure Calls, MSRPC).
•	Использование протокола SMB (Server Message Block) для передачи информации о настройках групповой политики и прочих данных во время загрузки и входа в систему.

Кроме непосредственного рассмотрения основных компонентов Windows 2000, используемых при загрузке и входе в систему, в данном документе также будет рассмотрено то, что происходит на каждом из этапов работы этих процессов, и какой объем сетевого трафика при этом генерируется. Рассмотрение начинается с обзора компонентов ОС Windows 2000, используемых при загрузке и входе в систему. Далее рассматривается сам процесс загрузки и входа пользователя в систему.

По ходу рассмотрения данного материала будет использоваться информация, полученная с помощью сетевого монитора, которая позволит определить, что происходит в конкретной точке. Также там, где это было возможно, в тексте представлены ссылки на внешние источники, в которых можно получить дополнительную информацию. В основном ссылки даются на следующие материалы:

•	Документы RFC проблемной группы проектирования сети Интернет (Internet Engineering Task Force, IETF).
•	Документация Microsoft Windows 2000 Resource Kit.
•	Статьи базы знаний центра поддержки Microsoft.
•	Материалы книг Microsoft серии «Полевые заметки» (Notes from the Field) (EN).
•	Различные веб-ресурсы.

Прочитав данный официальный документ и поняв его суть, системные архитекторы и администраторы смогут лучше организовывать и поддерживать сети на базе Windows 2000. Руководствуясь данным документом, проектировщики сетей также смогут точно определять правильное местоположение основных компонентов для обеспечения надежной работы процессов загрузки и входа в систему в сети Windows 2000. С помощью этого документа специалисты, занимающиеся поддержкой, смогут решать возникающие проблемы, сравнивая информацию данного руководства с той, что имеется у них.

Целевая аудитория

Данный документ предназначен системным администраторам и сетевым архитекторам, занимающимся планированием и внедрением сетей на базе Windows 2000, а также их управлением. Предполагается, что им уже известны:

•	Принципы взаимодействия в сетях на основе Windows NT или 2000.
•	Протокол TCP/IP.
•	Способы проверки сетевых маршрутов.

Более полную информацию по основным службам Windows 2000, представленную в материалах Windows 2000 Resource Kit, Microsoft TechNet и серии книг «Полевые заметки» (Notes from the Field), мы будем рассматривать применительно к процессам загрузки и входа в систему. Рекомендуется иметь под рукой данные материалы и использовать их в качестве источников дополнительной информации при прочтении данного документа.

Наверх страницы

Обзор компонентов Windows 2000

Для того, чтобы понять процесс загрузки и входа в систему Windows 2000, необходимо вначале рассмотреть новые или обновленные протоколы, а также службы, которые задействованы в данном процессе. В данном разделе проводится краткий обзор следующих протоколов и служб, задействованных в процессах загрузки и входа в систему:

•	Протокол DHCP Средство назначения частных IP-адресов
•	Служба DNS
•	Протокол Kerberos
•	Протокол LDAP
•	Протокол SMB
•	Удаленный вызов процедур (MSRPC)
•	Служба времени

Более полную информацию о каждом протоколе или службе можно получить, воспользовавшись ссылками, представленными в каждом разделе.

Протокол DHCP

Первоначальной целью использования протокола DHCP было обеспечение каждого DHCP-клиента правильной настройкой TCP/IP.

В процессе получения настроек в основном используется восемь сообщений:

•	DHCPDiscover. DHCP-клиенты используют данное сообщение с целью обнаружения в сети, по крайней мере, одного DHCP-сервера.
•	DHCPOffer. Каждый DHCP-сервер, получив запрос от клиента, проверяет его возможность приема правильных настроек и предлагает их получить DHCP-клиенту.
•	DHCPRequest. DHCP-клиент отправляет запрос в ответ на первое предложение, полученное от DHCP-сервера.
•	DHCPAcknowledge. Выбранный DHCP-сервер использует это сообщение для подтверждения выделения настроек DHCP-клиенту.
•	DHCPNack. DHCP-сервер использует это сообщение для уведомления клиента о том, что запрашиваемые настройки TCP/IP недействительны.
•	DHCPDecline. DHCP-клиент использует это сообщение для уведомления сервера о том, что предложенные настройки TCP/IP недействительны.
•	DHCPRelease. DHCP-клиент использует это сообщение для уведомления сервера о том, что выданные конфигурационные настройки клиентом больше не используются.
•	DHCPInform. Этот тип сообщения является новым. Он определен в документе RFC 2131. В случае, если клиент уже получил IP-адрес (например, при настройке вручную), то он может использовать этот тип сообщения для получения дополнительных параметров настройки (относящихся к IP-адресу) от DHCP-сервера.

Возможности DHCP-сервера расширяются при наличии системы DDNS. В этом случае DHCP-сервер может использоваться для динамической регистрации IP-адресов и имени клиентов. При настройках, используемых по умолчанию, DHCP-сервер устанавливает соответствие для IP-адресов клиентов на DNS-сервере. Записи этого типа известны под названием Pointer Record (PTR RR).

Для получения дополнительной информации о DHCP, обратитесь к:

•	Документу RFC 1541
•	Документу RFC 2131
•	Разделу по принципам сетевого взаимодействия с помощью протоколов DHCP, TCP/IP документации Windows 2000 Server Resource Kit (Dynamic Host Configuration Protocol, TCP/IP Core Networking Guide, Windows 2000 Server Resource Kit) (EN)

Средство назначения частных IP-адресов

В Windows 2000 включено средство назначения частных IP-адресов (Automatic Private IP Addressing, APIPA), благодаря которому DHCP-клиентам будут назначены IP-адреса даже в том случае, если в сети нет ни одного доступного DHCP-сервера. Средство назначения адресов APIPA разрабатывалось для компьютеров, работающих в пределах одной подсети, в которой отсутствует DHCP-сервер. Средство APIPA автоматически назначает IP-адреса из зарезервированного для этого диапазона адресов (с 169.254.0.1 по 169.254.255.254). Это означает, что в том случае, если клиент во время загрузки не смог связаться с локальным DHCP-сервером для обновления арендованного адреса, то он будет использовать IP-адрес, назначенный ему APIPA, до тех пор, пока не будет восстановлена связь с DHCP-сервером. Такой алгоритм работы отличается от алгоритма, используемого в Windows NT 4.0, когда при отсутствии соединения с DHCP-сервером клиент продолжал использовать выданный ему ранее адрес, срок аренды которого еще не истек.

Вы можете отключить средство назначения адресов APIPA, воспользовавшись редактором реестра для добавления в указанный ниже раздел реестра следующего ключа:

HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet

Services\Tcpip\Parameters\Interfaces\

Где - это адаптер, настроенный для использования протокола DHCP, и для которого необходимо отключить возможность назначения адресов с помощью средства APIPA.

Добавьте следующий ключ:

Имя ключа: IPAutoconfigurationEnabled

Тип ключа: REG_DWORD

Значение в шестнадцатеричной системе исчисления: 0 (значение 0 отключает поддержку механизма APIPA для этого адаптера).

Примечание. В случае, если даже ключ IPAutoconfigurationEnabled отсутствует, то по умолчанию считается, что он есть и имеет значение 1, что соответствует включенному состоянию средства APIPA.

Для того, чтобы изменения вступили в силу, необходимо перезагрузить компьютер. Это описано в статьях 244268 и 244268, которые Вы можете найти на веб-узле http://search.support.microsoft.com/ .

Служба DNS

Основным механизмом размещения служб и разрешения имен в ОС Windows 2000 является служба DNS (Domain Name System). В состав Windows 2000 входит служба DNS, тесно связанная с этой операционной системой, что обеспечивает интеграцию со службой каталогов Active Directory и обеспечивает поддержку обновлений DNS. Но, не смотря на это, любая другая служба DNS, совместимая с BIND 8.2.2, может использоваться совместно с Windows 2000. Поддержка DNS в Windows 2000 реализована в качестве стандартной замены службы WINS (Windows Internet Naming Service), использующей NetBIOS, которая ранее применялась для обеспечения динамической поддержки Windows–клиентов. Обе службы поддерживают возможность динамического обновления имен в своих базах данных, но WINS использует пространство плоских имен и не обладает такой возможностью расширения, как DNS. Переходя на использование DNS, Windows 2000 не только начинает соответствовать всем стандартам сети Интернет, но и предоставляет иерархическую структуру пространства имен, обеспечивающую возможность расширения для соответствия требованиям больших сетей.

Процессы загрузки и входа в систему Windows 2000 используют DNS для обнаружения таких служб, как LDAP и Kerberos, для получения адреса хотя бы одного контроллера и для регистрации его имени и IP-адреса в базе данных зоны DNS.

Информация о системе DNS Windows 2000 и требования к ней детально представлены в документации Windows 2000 Resource Kit, а также в книге серии «Полевые заметки» Организация служб предприятия Active Directory (Notes from the Field book Building Enterprise Active Directory Services) (EN).

Для получения дополнительной информации обратитесь к следующим материалам:

•	Руководствам «Разрешение имен в службе каталогов Active Directory» и «Распределенные системы» документации Windows 2000 Resource Kit (Windows 2000 Resource Kit: Name Resolution in Active Directory, Distributed Systems Guide) (EN).
•	Руководствам «Служба DNS ОС Windows 2000» и «Принципы сетевого взаимодействия с использованием протоколов TCP/IP» документации Windows 2000 Resource Kit (Windows 2000 Resource Kit: Windows 2000 DNS, TCP/IP Core Networking Guide) (EN).
•	Документам RFC 1035, RFC 1036.

Протокол Kerberos

Протокол Kerberos версии 5 по умолчанию используется в ОС Windows 2000 для проверки подлинности. Протокол Kerberos был разработан в Массачусетском технологическом институте (Massachusetts Institute of Technology, MIT) в конце 80-х для использования в проекте «Athena», сейчас же его версия 5 описана в документе IETF RFC 1510.

Kerberos версии 5 является протоколом аутентификации. Он позволяет компьютерам осуществлять взаимную аутентификацию. Другими словами, он позволяет компьютерам идентифицировать друг друга. Он также является основой для всех систем безопасности. До тех пор, пока сервер не будет полностью уверен в том, что Вы являетесь тем, за кого себя выдаете, как он не сможет обеспечить надежный доступ к своим ресурсам? Как только сервер идентифицирует Вас, он сможет определить, имеются ли у Вас соответствующие полномочия на доступ к его ресурсам.

Хотя в действительности протокол Kerberos и не предполагалось использовать для авторизации пользователей с целью доступа к ресурсам, тем не менее, реализация протокола Kerberos V5 Microsoft позволяет осуществлять безопасную передачу учетных данных пользователей. Для получения сведений о задействованных для этого полях данных, обратитесь к веб-узлу http://www.microsoft.com/technet/archive/interopmigration/mgmt/kerberos.mspx (EN).

Существует шесть первичных сообщений Kerberos. Эти шесть сообщений в действительности представляют собой три типа действия, каждое из которых содержит запрос клиента и ответ центра распространения ключей (Key Distribution Center, KDC). Первое действие заключается во вводе клиентом пароля. Клиент Kerberos рабочей станции отсылает запрос "AS" в службу проверки подлинности (Authentication Service) центра KDC, запрашивая у службы проверки подлинности билет в качестве ответа для того, чтобы подтвердить, что пользователи являются теми, за кого себя выдают. Служба проверки подлинности проверяет учетные данные пользователей и отсылает назад билет предоставления билета (Ticket Granting Ticket, TGT).

Второе действие заключается в том, что клиент запрашивает доступ к службе или ресурсу, отсылая TGS-запрос в службу Ticket Granting Service (TGS) центра KDC. Служба TGS возвращает клиенту индивидуальный билет, который он может использовать для получения доступа к запрашиваемой службе на любом сервере, на котором она работает.

Третье действие заключается в том, что клиент Kerberos предъявляет серверу билет на доступ к службе и запрашивает разрешение на доступ к необходимой ему службе или ресурсу. Эти сообщения называются «AP». В реализации Microsoft идентификаторы безопасности (Security ID, SID) содержатся в поле PAC, которое является частью билета, отсылаемого на сервер. Это третье действие не требует ответа от сервера, если только клиент не запросил выполнить взаимную аутентификацию. Если же клиент запросил взаимную аутентификацию, то сервер возвращает клиенту сообщение, содержащее метку времени аутентификации (authenticator timestamp). В случае обычного входа в домен все эти три действия происходят перед тем, как пользователь получит доступ к рабочей станции.

Для получения дополнительной информации по использованию Kerberos в Windows 2000 обратитесь к веб-узлу http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp (EN).

Протокол LDAP

Протокол LDAP (Lightweight Directory Access Protocol) является разновидностью протокола DAP (Directory Access Protocol). Он создан специально для того, чтобы клиенты могли подавать запросы, создавать, обновлять и удалять информацию, хранящуюся в каталоге. Изначально он применялся для доступа к каталогам X.500, но он также может использоваться для доступа к изолированным серверам каталогов. Windows 2000 поддерживает протокол LDAP как версии 3, так и версии 2.

Работа по протоколу LDAP

Принятая в LDAP общая модель предполагает, что все операции клиента, связанные с протоколом, выполняются на сервере. Клиент передает серверу запрос, в котором указана та операция, которую должен выполнить сервер. С этого момента вся ответственность за выполнение необходимых операций в каталоге ложится на сервер. По завершению выполнения необходимых операций сервер возвращает клиенту либо результат операции, либо сообщение об ошибке.

Информационная модель LDAP основана на записи, в которой содержится информация о каком-то объекте (например, человеке). Записи состоят из атрибутов, имеющих одно или несколько значений. Каждый атрибут имеет определенный синтаксис написания, определяющий допустимые значения атрибута и то, каким образом эти значения задействованы при выполнении операций с каталогом. Атрибутами могут выступать: строковые значения IA5 (ASCII), URL-ссылки и открытые ключи.

Возможности протокола LDAP

Windows 2000 обеспечивает поддержку протокола LDAPv3 в соответствии с тем, как это описано в документе RFC 2251. Ключевой особенностью протокола является то, что:

•	Поддерживаются все элементы протокола LDAPv2 (протокол описан в документе RFC 1777).
•	Протокол работает прямо поверх TCP или другого транспортного протокола, обходя большинство задержек, связанных с необходимостью преобразований на сеансовом уровне/уровне представления данных, которые использовались в DAP X.500.
•	Большинство элементов данных протокола могут быть представлены в виде обычных строковых записей (например, различающихся имен).
•	Могут быть возвращены ссылки на другие серверы (это описывается в следующем разделе).
•	Можно использовать механизм SASL (Simple Authentication and Security Layer) совместно с протоколом LDAP для предоставления зависимых служб безопасности.
•	Теперь можно использовать национальные символы для значений атрибутов и различающихся имен, поскольку был использован набор символов ISO (International Standards Organization) 10646.
•	В протокол могут быть добавлены расширения для поддержки новых операций, а также могут использоваться средства управления, расширяющие возможности имеющихся операций.

Ссылка LDAP

Ссылка LDAP – это один из механизмов, которыми пользуется контроллер домена для уведомления клиентского приложения о том, что у него нет копии запрашиваемого объекта (или, что более точно, что у него нет того раздела дерева каталога, в котором этот объект мог бы находиться, т.е. фактически существовать). Эта ссылка указывает клиенту наиболее вероятное место расположения объекта, которое клиент принимает в качестве исходных параметров поиска контроллера домена в DNS. В идеальном варианте ссылки всегда указывают на тот контроллер домена, в котором действительно находится объект. Тем не менее, не исключена ситуация, при которой тот контроллер, на который была дана ссылка, даст еще одну ссылку. Обычно контроллеру не требуется много времени для того, чтобы определить отсутствие объекта и проинформировать об этом клиента. Служба каталогов Active Directory возвращает ссылки в соответствии с тем, как это определено в документе RFC 2251.

RootDSE

RootDSE является вершиной логического пространства имен и, к тому же, вершиной дерева, по которому осуществляется поиск с помощью LDAP. Атрибуты rootDSE определяют оба раздела каталога (домен, схему и настройки разделов каталога), которые являются особыми для отдельно взятого контроллера домена и для леса раздела каталога корневого домена.

RootDSE публикует информацию о сервере LDAP, включая информацию о том, какую версию LDAP он поддерживает, поддерживаемые механизмы SASL и механизмы управления, точно так же, как и различающееся имя для его записи подсхемы.

Клиенты подсоединяются к rootDSE, в начале работы по LDAP.

LDAP поверх TCP

Сообщения протокола LDAP PDU (Protocol Data Units) включаются непосредственно в поток данных, передаваемый по протоколу TCP. В документе RFC 2251 определена рекомендация, согласно которой на сервере устанавливается служба, прослушивающая назначенный порт 389. Служба каталогов Active Directory по умолчанию использует порт 389 для связи с контроллерами домена. Кроме этого служба каталогов Active Directory поддерживает порт 636 для защищенной связи по протоколу LDAP с применением SSL (Secure Sockets Layer). Контроллер домена Windows 2000, выступающий в роли сервера глобального каталога (Global Catalog, GC) будет использовать порт 3268 для связи по протоколу LDAP и порт 3269 - для защищенной связи по протоколу LDAP с использованием SSL.

Использование протокола LDAP при загрузке и входе в систему

Протокол LDAP широко используется во время процесса загрузки Windows 2000 и входа в систему. Клиент использует LDAP во время процесса поиска контроллера домена, необходимого для определения того контроллера домена, который он будет использовать. Протокол LDAP также используется для поиска применимых к компьютеру или пользователю объектов групповой политики. Наконец, протокол LDAP используется во время процесса автоматической подачи заявки для обнаружения подходящих сертификатов для клиента.

Для получения дополнительной информации обратитесь к следующим материалам:

•	Документация Windows 2000 Resource Kit.
•	Техническое руководство по Active Directory ОС Windows 2000 (Windows 2000 Active Directory Technical Reference) (EN)
•	Документы RFC: 1777, 1778, 1779, 1959, 1960, 1823.
•	Документы RFC: 2251-2256.

Протокол SMB

Протокол SMB (Server Message Block) – это протокол, обеспечивающий совместное использование ресурсов в сетях MS-Net, LAN Manager и Windows. Также имеются соответствующие решения для OS/2, Netware, VMS и Unix-систем, разработанные такими производителями, как AT&T, HP, SCO, а при использовании Samba – свыше 33 других. Протокол SMB используется в среде клиент-сервер для обеспечения доступа к файлам, принтерам, почтовым ячейкам (mail slots), именованным каналам (named pipes) и интерфейсам прикладного программирования (Application programming interface, API). Он был совместно разработан компаниями Microsoft, IBM и Intel в середине 80-х годов. Как показано ниже на рисунке, SMB может использоваться поверх нескольких сетевых протоколов:

Увеличить рисунок

При установлении SMB-соединения с сервером клиент сначала согласовывает диалект (разновидность протокола SMB, которую они будут использовать). После того, как клиент установил соединение, он может отсылать серверу SMB-команды, позволяющие ему получить доступ к ресурсам.

В основном все SMB-команды можно отнести к четырем категориям:

•	Команды для управления сессией.
•	Команды для работы с файлами.
•	Команды управления печатью.
•	Команды для работы с сообщениями.

Безопасность протокола SMB развивалась параллельно с развитием тех платформ, которые использовали данный протокол. В базовой модели протокола SMB определены два уровня безопасности:

•

Уровень общих ресурсов. В данном случае защита осуществляется на уровне общих ресурсов сервера. Для получения доступа к каждому общему ресурсу необходим пароль. При этом только тот клиент, которому он известен, сможет получить доступ ко всем файлам, доступным на этом общем ресурсе. Эта модель безопасности была первой, которая применялась в протоколе SMB, и она же являлась единственной моделью безопасности доступной в протоколах Core и CorePlus. В Windows для рабочих групп (Windows for Workgroups) vserver.exe по умолчанию применяла этот уровень безопасности, точно так же его использовала ОС Windows 95.

•

Пользовательский уровень. В данном случае защита применяется отдельно для каждого файла каждого общего ресурса и основана на правах доступа пользователей. Каждый пользователь (клиент) должен войти на сервер под своей учетной записью и пройти аутентификацию. После завершения проверки подлинности клиент получает соответствующий идентификатор пользователя (user ID), который он должен предъявлять для получения доступа к ресурсам сервера. Такая модель безопасности была впервые реализована в протоколе LAN Manager 1.0.

Протокол SMB неоднократно изменялся. Самой последней версией протокола SMB является протокол CIFS (Common Internet File System) ОС Windows 2000, который является незначительно измененным вариантом протокола NT LM 0.12, использовавшимся ранее. В следующем разделе детально описывается последняя реализация протокола SMB.

Поддержка протокола SMB через протокол CIFS в Windows 2000

Протокол CIFS является стандартным решением, с помощью которого пользователи сети Windows могут совместно использовать файлы в корпоративных интрасетях и сети Интернет. CIFS является расширенной версией протокола SMB. Протокол CIFS является открытой, кроссплатформенной реализацией протокола SMB, который в настоящее время является черновым вариантом интернет-стандарта. Впервые протокол CIFS был представлен в пакете обновлений SP3 для ОС Windows NT 4.0 и является „родным” протоколом совместного использования файлов для ОС Windows 2000. CIFS является одним из вариантов протокола NTLM 0.12.

Реализация протокола SMB/CIFS в Windows 2000

В протоколе CIFS определен ряд команд, используемых для обеспечения передачи данных между компьютерами, работающими в сети. Система переадресации формирует запросы к удаленным компьютерам в соответствии со стандартами протокола CIFS. CIFS-команды можно пересылать по сети к удаленным устройствам. Система переадресации также использует CIFS для обращения к стеку протокола локального компьютера. CIFS-сообщения можно классифицировать следующим образом:

•	Сообщения установления соединения (Connection establishment messages) состоят из команд, которыми начинается и заканчивается соединение системы перенаправление с общим ресурсом на сервере.
•	Сообщения пространства имен (Namespace messages) и сообщения манипулирования файлами (File Manipulation messages) используются системой переадресации для получения доступа к файлам на сервере, а также открытия их для чтения и записи.
•	Сообщения принтера (Printer messages) используется системой переадресации для отправки данных в очередь печати на сервере, а также для получения информации о состоянии очереди печати.
•	Различные сообщения (Miscellaneous messages) используются системой переадресации для записи в почтовые ячейки (mail slots) и именованные каналы (named pipes).

В ОС Windows 2000 протокол CIFS поддерживает распределенные реплицируемые виртуальные тома (например, распределенную файловую систему (Distributed File System, DFS)), блокировку файлов и записей, уведомление об изменении фалов, операции чтения с опережением и записи после выполнения операции. CIFS-соединения устанавливаются поверх стандартной SMB-сессии и механизма разрешения адресов.

Работа по протоколам SMB/CIFS в Windows 2000

Когда приходит запрос на открытие общего файла, система ввода/вывода запрашивает систему переадресации, которая, в свою очередь, запрашивает систему переадресации о выборе подходящего транспортного протокола. Для запросов NetBIOS эти пакеты инкапсулируются в пакеты IP-протокола и доставляются через сеть соответствующему серверу. Сервер получает запрос и отсылает в ответ на него данные.

В ОС Windows NT 4.0 при разрешении имен с помощью службы WINS (Windows Internet Name Service) и службы DNS (Domain Name System) использовался порт 134 протокола TCP. Благодаря расширениям, внесенным в CIFS и NetBT, теперь имеется возможность устанавливать прямые соединения поверх протокола TCP/IP, используя порт 445 протокола TCP. При этом все еще можно использовать оба механизма разрешения адресов в ОС Windows 2000. Имеется также возможность отключить одну из этих служб или обе, путем внесения соответствующих изменений в реестр.

Использование протокола SMB во время загрузки и входа в систему

Протокол SMB используется клиентом ОС Windows 2000 во время загрузки и входа в систему для загрузки объектов групповой политики, соответствующих этой рабочей станции или пользователю. Основной SMB-операцией, которая будет рассмотрена для процессов запуска и входа в систему, будет согласование SMB-диалекта. Этот процесс представляет собой обмен данными между клиентом и сервером с целью определения того, какой из SMB-диалектов они будут использовать. Протокол SMB также используется при создании ссылок DFS на общие ресурсы, к которым предоставляется доступ. Основной составляющей SMB-трафика, генерируемого во время процесса загрузки и входа в систему, будут объекты групповой политики, загружаемые клиентом.

Для получения дополнительной информации обратитесь к:

•	Техническому руководству: Протоколы стека TCP/IP и службы Windows 2000 (Windows 2000 TCP/IP Protocols and Services Technical Reference) (EN).

Удаленный вызов процедур MSRPC

В качестве самого простого примера того, что такое RPC, можно привести ситуацию, когда один компьютер запрашивает другой компьютер о возможности использования его вычислительной мощности. Протокол RPC позволяет одному процессу запрашивать другой процесс, запущенный на другом компьютере в сети, о возможности им выполнения инструкций первого процесса.

В процессе RPC задействованы:

•	Клиентское приложение. Подает запрос на удаленное выполнение.
•	Клиентский суррогат (Client stub). Преобразует вызовы в/из стандартного формата NDR.
•	Client RPC Runtime Library. Преобразует NDR в сетевые сообщения. Транспортный протокол управляет соединениями в сети.
•	Server RPC Runtime Library. Преобразует NDR в сетевое сообщение.
•	Серверный суррогат (Server stub). Преобразует вызовы в/из стандартного формата NDR.
•	Серверное приложение. Выполняет требуемые инструкции.

RPC однозначно определяются по номеру интерфейса (UUID), номеру операции (opnum) и номеру версии. Номер интерфейса определяет группу связанных удаленных процедур. Примером интерфейса может выступить служба сетевого входа, у которой UUID имеет значение 12345678-1234-ABCD-EF00-01234567CFFB.

Пример вызова RPC:

MSRPC: c/o RPC Bind: UUID 12345678-1234-ABCD-EF00-01234567CFFB call 0x1
assoc grp 0x0 xmit 0x16D0 recv 0x16D0
MSRPC: Version = 5 (0x5)
MSRPC: Version (Minor) = 0 (0x0)
MSRPC: Packet Type = Bind
+ MSRPC: Flags 1 = 3 (0x3)
MSRPC: Packed Data Representation
MSRPC: Fragment Length = 72 (0x48)
MSRPC: Authentication Length = 0 (0x0)
MSRPC: Call Identifier = 1 (0x1)
MSRPC: Max Trans Frag Size = 5840 (0x16D0)
MSRPC: Max Recv Frag Size = 5840 (0x16D0)
MSRPC: Assoc Group Identifier = 0 (0x0)
+ MSRPC: Presentation Context List

RPC не зависит от низкоуровневых транспортных протоколов. Microsoft RPC (MSRPC) может использовать несколько различных транспортных протоколов, таких как TCP/IP, IPX/SPX или NetBEUI.

Большинство интерфейсов RPC используют динамические порты для связи в сети. В этом случае возникает необходимость использовать особый интерфейс, называемый сопоставителем конечных точек (End Point Mapper). Этот интерфейс всегда прослушивает порт 135 для TCP/IP-соединений и имеет номер UUID E1AF8308-5D1F-11C9-91A4- 08002B14A0FA.

Прежде чем клиент сможет вызвать процедуры, он должен осуществить привязку к интерфейсу. В том случае, если удалось установить привязку, он может выслать запрос к сопоставителю конечных точек (End Point Mapper), в котором будет указан UUID необходимого интерфейса. Сопоставитель конечных точек возвращает номер порта, который клиент может использовать для соединения.

В следующей таблице указана последовательность пакетов, которыми обмениваются стороны, участвующие в этом процессе:

Пакет	Источник	Получатель	Протокол	Описание
1	Клиент	Сервер	MSRPC	c/o RPC-привязка: UUID E1AF8308- 5D1F-11C9-91A4-08002B14A0FA l
2	Сервер	Клиент	MSRPC	c/o RPC-привязка Ack: call 0x1 assoc grp 0xC85D xmit 0x16D0 recv
3	Клиент	Сервер	MSRPC	c/o RPC-запрос: call 0x1 opnum 0x3 context 0x0 hint 0x84
4	Сервер	Клиент	MSRPC	c/o RPC-ответ: call 0x1 context 0x0 hint 0x80 cancels 0x0

Также можно инкапсулировать пакеты MSRPC в SMB. В данном случае клиент и сервер для обмена данными используют дескриптор ранее открытого файла.

Процессы загрузки и входа в систему Windows 2000 используют интерфейсы сетевого входа в систему (Netlogon) и службы репликации каталога (Directory Replication Service, DRS). Интерфейс Netlogon используется в домене для установления защищенного канала между клиентом и контроллером домена. Служба DRS в первую очередь используется для связи контроллеров домена с серверами глобального каталога. Тем не менее, она также предоставляет интерфейс, который используется во время процесса входа в систему. Служба DRS обеспечивает преобразование имен к формату, который может использоваться в протоколе LDAP.

Для получения дополнительной информации обратитесь к следующим материалам:

•	Раздел «Сетевой трафик, генерируемый клиентом в Active Directory» книги Организация служб предприятия Active Directory: заметки на полях ("Active Directory Client Network Traffic," Notes from the Field BuildingEnterprise Active Directory Services) (EN)
•	Статья 159298 раздела TechNet: Анализ RPC-трафика TCP/IP ("Analyzing Exchange RPC Traffic Over TCP/IP [159298]" on TechNet) (EN)

Служба времени

В состав Windows 2000 входит служба времени W32Time (Windows Time), предоставляющая механизм синхронизации системного времени в домене между клиентами Windows 2000. Синхронизация времени происходит во время процесса загрузки компьютера.

Для выполнения синхронизации используется следующая иерархия систем в домене:

•	Все клиентские настольные компьютеры используют в качестве источника времени свой контроллер домена.
•	Все рядовые серверы используют тот же источник, что и клиентские настольные компьютеры.
•	Все контроллеры домена используют Хозяев операций (Operations Masters) первичного контроллера домена (Primary domain controller, PDC) в качестве источника синхронизации.
•	При выборе источника синхронизации хозяева операций первичного контроллера домена руководствуются иерархией доменов.

Примечание. Хозяева операций описываются в Главе 7 «Руководство по распределенным системам» документации Windows 2000 Server Resource Kit (Distributed Systems Guide Windows 2000 Server Resource Kit) (EN).

Для получения дополнительной информации обратитесь к следующим материалам:

•	Статья 216734, в которой описывается процесс синхронизации времени, а также выбор авторизованного источника времени.
•	Документы RFC: 1769, 2030.

Методы проверки подлинности в домене Windows 2000

В ОС Windows 2000 поддерживаются два разных метода проверки подлинности при входе в домен: Kerberos и NTLM. Использование Kerberos в качестве протокола аутентификации в ОС Windows 2000 изменяет используемый по умолчанию Windows протокол NTLM на протокол, использующий стандарты сети Интернет.

Протокол проверки подлинности, используемый по умолчанию в ОС Windows 2000, основан на протоколе Kerberos версии 5. Этот протокол разработан Массачусетским технологическим институтом (Massachusetts Institute of Technology, MIT) и описан в документе RFC 1510. Использование протокола Kerberos при проверке подлинности полностью изменяет способ обмена данными безопасности между клиентами, серверами и контроллерами домена в сети Windows.

При использовании протокола Kerberos клиенты запрашивают у центра распространения ключей (Key Distribution Center, KDC) так называемые билеты сеанса. Билеты сеанса содержат информацию, которую может использовать сервер для проверки того, может ли клиент пройти проверку подлинности на данном сервере. Затем клиент использует эти билеты при проверке подлинности для получения доступа к необходимым ему ресурсам. Kerberos обеспечивает только перенос необходимой для проверки подлинности информации от клиента к тому ресурсу, к которому он пытается получить доступ. Kerberos не обеспечивает авторизацию для получения доступа к ресурсам. Он только осуществляет перенос информации, необходимой для авторизации, к системам.

В целях обеспечения совместимости со старыми системами в ОС Windows 2000 оставлена возможность использования NTLM-аутентификации. Клиенты Windows 2000 будут использовать протокол NTLM для проверки подлинности в том случае, если они работают в домене, основанном не на ОС Windows 2000, в качестве члена домена NT 4 или рабочей группы, а также в том случае, если необходимо работать со старыми приложениями, использующими протокол NTLM при проверке подлинности.

Далее более подробно будет рассмотрен протокол проверки подлинности Kerberos, а также будет рассмотрено его использование во время загрузки и входа в систему. Протокол NTLM, используемый при запуске и входе в систему, остался таким же, как и в Windows NT 4.0. Он подробно описан в книге Организация служб предприятия Active Directory: полевые заметки (Notes from the Field series book Building Enterprise Active Directory Services) (EN).

Для получения дополнительной информации обратитесь к следующему документу:

•	«Руководство по распределенным системам» документации Windows 2000 Resource Kit (Windows 2000 Resource Kit: Authentication; Distributed Systems Guide).

Наверх страницы