Обзор
После завершения процесса загрузки на экране отображается окно входа в систему. Пользователь может выполнить вход в домен с этого компьютера. Нажатие комбинации клавиш Ctrl-Alt-Delete и ввод действующих учетных данных пользователя (имени пользователя и пароля) для входа в домен приводит к началу процесса интерактивного входа клиента, который заканчивается загрузкой оболочки Windows NT, после чего пользователь может начать интерактивное взаимодействие с системой. Важно отметить, что процесс входа пользователя в систему фактически является сокращенной версией процесса загрузки компьютера, поскольку использует ряд процессов, описанных ранее. Ниже приведена диаграмма, описывающая работу этого процесса:
Идентификация пользователя
Во время входа в систему Windows 2000 пользователю предоставляется три различных способа ввода информации об учетной записи. Первым способом является использование имени учетной записи, имеющейся в диспетчере учетных записей безопасности (Security Accounts Manager, SAM), и выбора домена. Этот способ входа в систему используется по умолчанию. Вторым способом является использование полного имени, которое выглядит как: @. Третьим способом является использование основного имени пользователя (User Principle Name, UPN), которое определяется в документации Windows 2000 Resource Kit следующим образом:
«Основное имя пользователя (User principal name, UPN) – это имя, формат которого напоминает адрес электронной почты и которое однозначно определяет пользователя. UPN состоит из двух частей: части, идентифицирующей пользователя, и доменной части. Обе части разделены символом "@". UPN выглядит как @, например, liz@noam.reskit.com. Каждому пользователю автоматически назначается по умолчанию UPN, где часть будет такой же, как и имя пользователя, используемое для входа в систему, а часть - DNS-имя домена Active Directory, в котором расположена учетная запись пользователя. В случае, если для входа в систему используется UPN, то пользователь не сможет выбрать домен из списка в диалоговом окне.
Вы можете указать для UPN произвольное значение. Например, даже если учетная запись пользователя Liz принадлежит домену noam.reskit.com, ее UPN может иметь значение liz@reskit.com. Во время входа пользователя в систему учетная запись пользователя проверяется путем поиска в глобальном каталоге учетной записи с таким значением UPN. Благодаря тому, что UPN являются независимыми от имени доменов, администраторы могут переносить пользователей из одного домена в другой, не изменяя значения UPN, тем самым, делая перемещение пользователей в домене незаметным для самих пользователей».
Использование протокола Kerberos для проверки подлинности пользователя во время его входа в систему
Во время входа пользователя в систему генерируется запрос на выполнение проверки подлинности по протоколу Kerberos для получения билета сеанса. Затем процесс входа в систему запрашивает ключ сеанса для службы у центра KDC с помощью службы Ticket Granting Service.
Пакет | Источник | Получатель | Протокол | Описание |
1 | Клиент | Сервер | Kerberos | KRB_AS_REQ |
2 | Сервер | Клиент | Kerberos | KRB_AS_REP |
3 | Клиент | Сервер | Kerberos | KRB_TGS_REQ |
4 | Сервер | Клиент | Kerberos | KRB_TGS_REP |
Во время процесса входа пользователя в систему запрашиваются следующие билеты:
• | Kerberos: Server Name = $ |
• | Kerberos: Server Name =$ |
• | Kerberos: Server Name = krbtgt. |
• | Kerberos: Server Name = ldap.. |
Как было отмечено ранее, размер Kerberos-пакетов зависит от количества групп, членом которых является пользователь.
Загрузка групповой политики
Процесс получения данных групповой политики аналогичен тому, что был описан ранее в разделе, посвященному процессу загрузки компьютера. Клиент использует "DS API DSCrackNames" для выполнения преобразования имен и получения информации о политиках с последующей загрузкой их по протоколу LDAP.
Во время входа в систему процессом входа запрашиваются следующие билеты:
Увеличить рисунок Затем клиент устанавливает соединение с контроллером по протоколу SMB и загружает необходимые файлы политики.
Пакет | Источник | Получатель | Протокол | Описание |
1 | Клиент | Сервер | SMB | C согласование, Диалект = NT LM 0.12 |
2 | Сервер | Клиент | SMB | R согласование, Диалект # = 5 |
3 | Клиент | Сервер | SMB | C настройка сеанса & X |
4 | Сервер | Клиент | SMB | R настройка сеанса & X |
5 | Клиент | Сервер | SMB | C подключение дерева & X, Общий ресурс = \\DCCLAB22.MAIN.LOCAL\SYSVOL |
6 | Сервер | Клиент | SMB | R подключение дерева & X, Тип = _ |
7 | Клиент | Сервер | SMB | C NT создание & X, Файл = \main.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini |
8 | Сервер | Клиент | SMB | R NT создание & X |
9 | Клиент | Сервер | SMB | C чтение & X, FID = 0x8005, Read 0x1a at 0x00000000 |
10 | Сервер | Клиент | SMB | R чтение & X, Read 0x1a |
Приведенная последовательность обмена пакетами отображает процесс подключения клиента к системному разделу и загрузку политики пользователя. Информацию об общем объеме трафика, генерируемого при агрузке данных групповой политики можно получить из Главы 5 книги издательства Microsoft Press Организация служб предприятия Active Directory: заметки на полях (Chapter 5 of the Microsoft Press book Building Enterprise Active Directory Services, in the Notes from the Field series) (EN).
Завершение
Клиент разрывает соединение с контроллером домена. При этом используется порт 445. Обмен пакетами, происходящий при этом процессе, отображен ниже в таблице:
Пакет | Источник | Получатель | Протокол | Описание |
1 | Клиент | Сервер | SMB | SMB C отключение дерева |
2 | Сервер | Клиент | SMB | SMB R отключение дерева |
3 | Клиент | Сервер | SMB | SMB C выход & X |
4 | Сервер | Клиент | SMB | SMB R выход & X |
Теперь пользователь вошел в систему. Ниже в таблице указан общий объем трафика, затраченного в процессе входа в систе у.
Протокол | Количество пакетов | Необходимое количество байт |
SMB | 16 | 3070 |
ICMP | 4 | 114 |
UDP | 12 | 96 |
NBT | 17 | 1164 |
TCP | 86 | 6019 |
MSRPC | 16 | 3872 |
LDAP | 4 | 3226 |
Kerberos | 12 | 14229 |
Примечание. Примите во внимание то, что в предыдущей таблице указан общий объем затраченного трафика при условии, что пользователь являлся только членом групп, используемых по умолчанию, и при этом никакие особые групповые политики не использовались.
Наверх страницы
Мы детально рассмотрели процесс загрузки компьютера и входа в систему Windows 2000. Как уже было сказано во введении, понимание этих процессов поможет как при проектировании инфраструктуры сетей Windows 2000, так и при системном администрировании.
В данном документе представлен большой объем материала, который, вероятно, придется прочесть не один раз для полного понимания, и к которому иногда придется обращаться.
Для укрепления Вашего понимания концепций, описанных в данном документе, я бы порекомендовал настроить среду тестирования и использовать сетевой монитор для изучения процессов, происходящих в сети. Использование данного документа во время анализа процессов, происходящих в сети, позволит Вам понять, что происходит на каждой стадии.
Все свои вопросы и комментарии Вы можете направлять на этот адрес электронной почты: gmolnar@microsoft.com
Наверх страницы