Анализ трафика, генерируемого при загрузке и входе в систему Windows 2000

Анализ трафика, генерируемого при загрузке и входе в систему Windows 2000
Посетителей: 14858 \| Просмотров: 24585 (сегодня 0)	Шрифт:

Вход пользователя в систему

Обзор

После завершения процесса загрузки на экране отображается окно входа в систему. Пользователь может выполнить вход в домен с этого компьютера. Нажатие комбинации клавиш Ctrl-Alt-Delete и ввод действующих учетных данных пользователя (имени пользователя и пароля) для входа в домен приводит к началу процесса интерактивного входа клиента, который заканчивается загрузкой оболочки Windows NT, после чего пользователь может начать интерактивное взаимодействие с системой. Важно отметить, что процесс входа пользователя в систему фактически является сокращенной версией процесса загрузки компьютера, поскольку использует ряд процессов, описанных ранее. Ниже приведена диаграмма, описывающая работу этого процесса:

Идентификация пользователя

Во время входа в систему Windows 2000 пользователю предоставляется три различных способа ввода информации об учетной записи. Первым способом является использование имени учетной записи, имеющейся в диспетчере учетных записей безопасности (Security Accounts Manager, SAM), и выбора домена. Этот способ входа в систему используется по умолчанию. Вторым способом является использование полного имени, которое выглядит как: @. Третьим способом является использование основного имени пользователя (User Principle Name, UPN), которое определяется в документации Windows 2000 Resource Kit следующим образом:

«Основное имя пользователя (User principal name, UPN) – это имя, формат которого напоминает адрес электронной почты и которое однозначно определяет пользователя. UPN состоит из двух частей: части, идентифицирующей пользователя, и доменной части. Обе части разделены символом "@". UPN выглядит как @, например, liz@noam.reskit.com. Каждому пользователю автоматически назначается по умолчанию UPN, где часть будет такой же, как и имя пользователя, используемое для входа в систему, а часть - DNS-имя домена Active Directory, в котором расположена учетная запись пользователя. В случае, если для входа в систему используется UPN, то пользователь не сможет выбрать домен из списка в диалоговом окне.

Вы можете указать для UPN произвольное значение. Например, даже если учетная запись пользователя Liz принадлежит домену noam.reskit.com, ее UPN может иметь значение liz@reskit.com. Во время входа пользователя в систему учетная запись пользователя проверяется путем поиска в глобальном каталоге учетной записи с таким значением UPN. Благодаря тому, что UPN являются независимыми от имени доменов, администраторы могут переносить пользователей из одного домена в другой, не изменяя значения UPN, тем самым, делая перемещение пользователей в домене незаметным для самих пользователей».

Использование протокола Kerberos для проверки подлинности пользователя во время его входа в систему

Во время входа пользователя в систему генерируется запрос на выполнение проверки подлинности по протоколу Kerberos для получения билета сеанса. Затем процесс входа в систему запрашивает ключ сеанса для службы у центра KDC с помощью службы Ticket Granting Service.

Пакет	Источник	Получатель	Протокол	Описание
1	Клиент	Сервер	Kerberos	KRB_AS_REQ
2	Сервер	Клиент	Kerberos	KRB_AS_REP
3	Клиент	Сервер	Kerberos	KRB_TGS_REQ
4	Сервер	Клиент	Kerberos	KRB_TGS_REP

Во время процесса входа пользователя в систему запрашиваются следующие билеты:

•	Kerberos: Server Name = $
•	Kerberos: Server Name =$
•	Kerberos: Server Name = krbtgt.
•	Kerberos: Server Name = ldap..

Как было отмечено ранее, размер Kerberos-пакетов зависит от количества групп, членом которых является пользователь.

Загрузка групповой политики

Процесс получения данных групповой политики аналогичен тому, что был описан ранее в разделе, посвященному процессу загрузки компьютера. Клиент использует "DS API DSCrackNames" для выполнения преобразования имен и получения информации о политиках с последующей загрузкой их по протоколу LDAP.

Во время входа в систему процессом входа запрашиваются следующие билеты:

Увеличить рисунок

Затем клиент устанавливает соединение с контроллером по протоколу SMB и загружает необходимые файлы политики.

Пакет	Источник	Получатель	Протокол	Описание
1	Клиент	Сервер	SMB	C согласование, Диалект = NT LM 0.12
2	Сервер	Клиент	SMB	R согласование, Диалект # = 5
3	Клиент	Сервер	SMB	C настройка сеанса & X
4	Сервер	Клиент	SMB	R настройка сеанса & X
5	Клиент	Сервер	SMB	C подключение дерева & X, Общий ресурс = \\DCCLAB22.MAIN.LOCAL\SYSVOL
6	Сервер	Клиент	SMB	R подключение дерева & X, Тип = _
7	Клиент	Сервер	SMB	C NT создание & X, Файл = \main.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini
8	Сервер	Клиент	SMB	R NT создание & X
9	Клиент	Сервер	SMB	C чтение & X, FID = 0x8005, Read 0x1a at 0x00000000
10	Сервер	Клиент	SMB	R чтение & X, Read 0x1a

Приведенная последовательность обмена пакетами отображает процесс подключения клиента к системному разделу и загрузку политики пользователя. Информацию об общем объеме трафика, генерируемого при агрузке данных групповой политики можно получить из Главы 5 книги издательства Microsoft Press Организация служб предприятия Active Directory: заметки на полях (Chapter 5 of the Microsoft Press book Building Enterprise Active Directory Services, in the Notes from the Field series) (EN).

Завершение

Клиент разрывает соединение с контроллером домена. При этом используется порт 445. Обмен пакетами, происходящий при этом процессе, отображен ниже в таблице:

Пакет	Источник	Получатель	Протокол	Описание
1	Клиент	Сервер	SMB	SMB C отключение дерева
2	Сервер	Клиент	SMB	SMB R отключение дерева
3	Клиент	Сервер	SMB	SMB C выход & X
4	Сервер	Клиент	SMB	SMB R выход & X

Теперь пользователь вошел в систему. Ниже в таблице указан общий объем трафика, затраченного в процессе входа в систе у.

Протокол	Количество пакетов	Необходимое количество байт
SMB	16	3070
ICMP	4	114
UDP	12	96
NBT	17	1164
TCP	86	6019
MSRPC	16	3872
LDAP	4	3226
Kerberos	12	14229

Примечание. Примите во внимание то, что в предыдущей таблице указан общий объем затраченного трафика при условии, что пользователь являлся только членом групп, используемых по умолчанию, и при этом никакие особые групповые политики не использовались.

Наверх страницы

Заключение

Мы детально рассмотрели процесс загрузки компьютера и входа в систему Windows 2000. Как уже было сказано во введении, понимание этих процессов поможет как при проектировании инфраструктуры сетей Windows 2000, так и при системном администрировании.

В данном документе представлен большой объем материала, который, вероятно, придется прочесть не один раз для полного понимания, и к которому иногда придется обращаться.

Для укрепления Вашего понимания концепций, описанных в данном документе, я бы порекомендовал настроить среду тестирования и использовать сетевой монитор для изучения процессов, происходящих в сети. Использование данного документа во время анализа процессов, происходящих в сети, позволит Вам понять, что происходит на каждой стадии.

Все свои вопросы и комментарии Вы можете направлять на этот адрес электронной почты: gmolnar@microsoft.com

Наверх страницы

Страницы: < 1 2 3 4 >

Автор: Александр Пришляк aka Alexander_Grig • Иcточник: (переведено с англ.) Microsoft Technet • Опубликована: 22.10.2006

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Теги:

Оценить статью: