Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows 2000/NT Администрирование Анализ трафика, генерируемого при загрузке и входе в систему Windows 2000 RSS

Анализ трафика, генерируемого при загрузке и входе в систему Windows 2000

Текущий рейтинг: 4.11 (проголосовало 9)
 Посетителей: 14858 | Просмотров: 24585 (сегодня 0)  Шрифт: - +

Вход пользователя в систему

Обзор

После завершения процесса загрузки на экране отображается окно входа в систему. Пользователь может выполнить вход в домен с этого компьютера. Нажатие комбинации клавиш Ctrl-Alt-Delete и ввод действующих учетных данных пользователя (имени пользователя и пароля) для входа в домен приводит к началу процесса интерактивного входа клиента, который заканчивается загрузкой оболочки Windows NT, после чего пользователь может начать интерактивное взаимодействие с системой. Важно отметить, что процесс входа пользователя в систему фактически является сокращенной версией процесса загрузки компьютера, поскольку использует ряд процессов, описанных ранее. Ниже приведена диаграмма, описывающая работу этого процесса:

Идентификация пользователя

Во время входа в систему Windows 2000 пользователю предоставляется три различных способа ввода информации об учетной записи. Первым способом является использование имени учетной записи, имеющейся в диспетчере учетных записей безопасности (Security Accounts Manager, SAM), и выбора домена. Этот способ входа в систему используется по умолчанию. Вторым способом является использование полного имени, которое выглядит как: @. Третьим способом является использование основного имени пользователя (User Principle Name, UPN), которое определяется в документации Windows 2000 Resource Kit следующим образом:

«Основное имя пользователя (User principal name, UPN) – это имя, формат которого напоминает адрес электронной почты и которое однозначно определяет пользователя. UPN состоит из двух частей: части, идентифицирующей пользователя, и доменной части. Обе части разделены символом "@". UPN выглядит как @, например, liz@noam.reskit.com. Каждому пользователю автоматически назначается по умолчанию UPN, где часть будет такой же, как и имя пользователя, используемое для входа в систему, а часть - DNS-имя домена Active Directory, в котором расположена учетная запись пользователя. В случае, если для входа в систему используется UPN, то пользователь не сможет выбрать домен из списка в диалоговом окне.

Вы можете указать для UPN произвольное значение. Например, даже если учетная запись пользователя Liz принадлежит домену noam.reskit.com, ее UPN может иметь значение liz@reskit.com. Во время входа пользователя в систему учетная запись пользователя проверяется путем поиска в глобальном каталоге учетной записи с таким значением UPN. Благодаря тому, что UPN являются независимыми от имени доменов, администраторы могут переносить пользователей из одного домена в другой, не изменяя значения UPN, тем самым, делая перемещение пользователей в домене незаметным для самих пользователей».

Использование протокола Kerberos для проверки подлинности пользователя во время его входа в систему

Во время входа пользователя в систему генерируется запрос на выполнение проверки подлинности по протоколу Kerberos для получения билета сеанса. Затем процесс входа в систему запрашивает ключ сеанса для службы у центра KDC с помощью службы Ticket Granting Service.

Пакет

Источник

Получатель

Протокол

Описание

1

Клиент

Сервер

Kerberos

KRB_AS_REQ

2

Сервер

Клиент

Kerberos

KRB_AS_REP

3

Клиент

Сервер

Kerberos

KRB_TGS_REQ

4

Сервер

Клиент

Kerberos

KRB_TGS_REP

Во время процесса входа пользователя в систему запрашиваются следующие билеты:

Kerberos: Server Name = $

Kerberos: Server Name =$

Kerberos: Server Name = krbtgt.

Kerberos: Server Name = ldap..

Как было отмечено ранее, размер Kerberos-пакетов зависит от количества групп, членом которых является пользователь.

Загрузка групповой политики

Процесс получения данных групповой политики аналогичен тому, что был описан ранее в разделе, посвященному процессу загрузки компьютера. Клиент использует "DS API DSCrackNames" для выполнения преобразования имен и получения информации о политиках с последующей загрузкой их по протоколу LDAP.

Во время входа в систему процессом входа запрашиваются следующие билеты:


Увеличить рисунок

Затем клиент устанавливает соединение с контроллером по протоколу SMB и загружает необходимые файлы политики.

Пакет

Источник

Получатель

Протокол

Описание

1

Клиент

Сервер

SMB

C согласование, Диалект = NT LM 0.12

2

Сервер

Клиент

SMB

R согласование, Диалект # = 5

3

Клиент

Сервер

SMB

C настройка сеанса & X

4

Сервер

Клиент

SMB

R настройка сеанса & X

5

Клиент

Сервер

SMB

C подключение дерева & X, Общий ресурс = \\DCCLAB22.MAIN.LOCAL\SYSVOL

6

Сервер

Клиент

SMB

R подключение дерева & X, Тип = _

7

Клиент

Сервер

SMB

C NT создание & X, Файл = \main.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini

8

Сервер

Клиент

SMB

R NT создание & X

9

Клиент

Сервер

SMB

C чтение & X, FID = 0x8005, Read 0x1a at 0x00000000

10

Сервер

Клиент

SMB

R чтение & X, Read 0x1a

Приведенная последовательность обмена пакетами отображает процесс подключения клиента к системному разделу и загрузку политики пользователя. Информацию об общем объеме трафика, генерируемого при агрузке данных групповой политики можно получить из Главы 5 книги издательства Microsoft Press Организация служб предприятия Active Directory: заметки на полях (Chapter 5 of the Microsoft Press book Building Enterprise Active Directory Services, in the Notes from the Field series) (EN).

Завершение

Клиент разрывает соединение с контроллером домена. При этом используется порт 445. Обмен пакетами, происходящий при этом процессе, отображен ниже в таблице:

Пакет

Источник

Получатель

Протокол

Описание

1

Клиент

Сервер

SMB

SMB C отключение дерева

2

Сервер

Клиент

SMB

SMB R отключение дерева

3

Клиент

Сервер

SMB

SMB C выход & X

4

Сервер

Клиент

SMB

SMB R выход & X

Теперь пользователь вошел в систему. Ниже в таблице указан общий объем трафика, затраченного в процессе входа в систе у.

Протокол

Количество пакетов

Необходимое количество байт

SMB

16

3070

ICMP

4

114

UDP

12

96

NBT

17

1164

TCP

86

6019

MSRPC

16

3872

LDAP

4

3226

Kerberos

12

14229

Примечание. Примите во внимание то, что в предыдущей таблице указан общий объем затраченного трафика при условии, что пользователь являлся только членом групп, используемых по умолчанию, и при этом никакие особые групповые политики не использовались.

Наверх страницы

Заключение

Мы детально рассмотрели процесс загрузки компьютера и входа в систему Windows 2000. Как уже было сказано во введении, понимание этих процессов поможет как при проектировании инфраструктуры сетей Windows 2000, так и при системном администрировании.

В данном документе представлен большой объем материала, который, вероятно, придется прочесть не один раз для полного понимания, и к которому иногда придется обращаться.

Для укрепления Вашего понимания концепций, описанных в данном документе, я бы порекомендовал настроить среду тестирования и использовать сетевой монитор для изучения процессов, происходящих в сети. Использование данного документа во время анализа процессов, происходящих в сети, позволит Вам понять, что происходит на каждой стадии.

Все свои вопросы и комментарии Вы можете направлять на этот адрес электронной почты: gmolnar@microsoft.com

Наверх страницы

Автор: Александр Пришляк aka Alexander_Grig  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 22.10.2006
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.