Jaringan akses validasi algoritma dan contoh untuk Windows Server 2003, Windows XP dan Windows 2000

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 103390 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

Berikut adalah algoritma sederhana yang menjelaskan bagaimana validasi account Windows diamati berfungsi selama akses jaringan yang menggunakan protokol NTLM. Menggunakan akses melalui protokol server pesan blok (SMB) sebagai contoh, tapi ini berlaku untuk semua server aplikasi lain yang mendukung otentikasi NTLM. Diskusi ini tidak mencakup kerja internal proses ini. Dengan informasi ini, Anda dapat memprediksi perilaku log masuk Windows jaringan kondisi deterministik.
Ketika Kerberos digunakan untuk mengotentikasi pengguna dan mendapatkan akses ke sumber daya server, proses ini sangat berbeda dari apa NTLM. Untuk informasi lebih lanjut, kunjungi situs Microsoft TechNet Web berikut:
http://technet2.Microsoft.com/WindowsServer/en/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx
Ingat bahwa database lokal domain database dan database hanya pada pengendali domain. Tetapi pada server lainnya dan semua komputer, database lokal yang berbeda dari domain controller.

Informasi latar belakang

Ketika dua komputer berbasis Windows Server 2003, Windows XP berbasis atau berbasis Windows 2000 berkomunikasi melalui jaringan, mereka menggunakan protokol tingkat tinggi yang disebut server pesan blok (SMB). SMB perintah tertanam dalam protokol transport, seperti NetBIOS ditingkatkan User Interface (NetBEUI) atau TCP/IP. Misalnya, bila komputer klien melakukan perintah NET USE , kerangka "SMB sesi Setup dan X" akan dikirim.

Di Windows, UKM "Sesi Setup" termasuk account pengguna, sebuah fungsi hash sandi yang dienkripsi dan log masuk domain. pengendali domain akan memeriksa semua informasi ini untuk menentukan apakah klien memiliki izin untuk menyelesaikan perintah NET USE .

Algoritma

Windows komputer klien mengirimkan perintah berikut ke server:
   NET USE x: \\server\share
		
Windows komputer klien mengirimkan SMB "Sesi Setup" yang berisi login domain, account pengguna dan sandi.

Server memeriksa nama domain atau nama komputer yang ditentukan oleh UKM. Jika nama ini adalah nama server sendiri, algoritma berikut dijalankan:
    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End
		
Jika domain yang tercantum dalam UKM adalah salah satu yang percaya server, algoritma berikut dijalankan:
    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.
		
Jika saluran aman tidak diatur, algoritma berikut dijalankan:
The trusted domain controller checks its own domain database
        for a matching account.
    If the trusted domain controller finds a matching account, then
       NOT for Windows 2000 and later versions:
    It determines whether the account is a local or global account.
       If the account is local, then
           Guest permissions on the original server are tested.
           If the guest account is enabled
               The command completed successfully.
           If the guest account is disabled
               (* See Note a) The user is prompted for a password.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
        End
        If the account is global (the only option for Active Directory)
           The SMB password is compared to the domain database
               password.
           If  the password matches, then
               The command completed successfully.
               (* See Note b)
           If  the password does NOT match, then
               The user is prompted for a password.
                   The password is retested as above.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
       End
    If the trusted domain controller does NOT find the account in the trusted domain controller
           database, then
       Guest permissions are tested on the original server, not the trusted domain.  (* See Note c)
       If  the guest account is enabled
           The user will have original server guest access.
           The command completed successfully.
       If  the guest account is disabled
           (* See Note a) The user is prompted for a password.
           System error 1326 has occurred. Logon failure:
           unknown user name or bad password.
    End

PENTING

Kasus berikut ini membahas skenario di mana klien menggunakan domain pengguna yang berbeda dari apa yang server memiliki atau tahu. Ada masalah dengan ketidakcocokan ini ketika protokol otentikasi NTLMv2 dinegosiasikan. NTLM di v2 menggunakan garam sandi, dan domain pengguna digunakan dalam garam ini oleh klien.

Ketika server memperoleh informasi dan menemukan pengguna dalam database lokal, server menggunakan nama database lokal untuk menghitung garam dan hash. Oleh karena itu, jika "sumber domain" sebagai Dikirim oleh klien kosong atau domain yang tidak diketahui, garam dan karenanya password hash tidak akan cocok. Dalam kasus ini, upaya otentikasi akan gagal dengan "tidak diketahui Nama pengguna atau sandi buruk" kesalahan (STATUS_LOGON_FAILURE). Acara audit untuk upaya akan melaporkan "password salah," simbol STATUS_WRONG_PASSWORD.

Event contoh:
Nama login: keamanan
Sumber: Microsoft-Windows--audit keamanan
ID peristiwa: 4625
Tugas Kategori: log masuk
Tingkat: informasi
Kata kunci: Audit kegagalan
Komputer: server-computer1
Keterangan:
Account gagal masuk.

Perihal:

ID keamanan: NULL SID
Nama akun:-
Account Domain:-
log masuk ID: 0x0

log masuk tipe: 3

Account untuk log masuk yang gagal:

ID keamanan: NULL SID
Nama akun: ntadmin
Account Domain: klien-computer1

Kegagalan informasi:

Alasan kegagalan: Tidak diketahui Nama pengguna atau sandi buruk.
Status: 0xc000006d
Sub Status: 0xc000006a
...

Informasi rinci otentikasi:

log masuk proses: NtLmSsp
Paket otentikasi: NTLM
Transited Layanan:-
Paket nama (NTLM):-
bukti kunci panjang: 0

Untuk menghindari skenario ini, Anda harus menyertakan nama domain yang benar secara eksplisit pada klien. Untuk drive-pemetaan pada skenario workgroup, itu akan menjadi sebagai berikut:
Bersih menggunakan x: \\server-computer1\data /u:server-computer1\ntadmin *
Jika domain yang ditentukan dalam UKM tidak diketahui oleh server-misalnya, jika domain ditentukan tetapi tidak diakui oleh server sebagai domain terpercaya atau pengendali domain yang-algoritma berikut dijalankan:
    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		
Jika domain yang ditentukan dalam UKM NULL, yaitu tidak ada domain ditentukan, algoritma berikut dijalankan:
    The server will treat this as a local network logon. The server
        will test for a matching account in its own database.
    If  it finds a matching account, then
        The SMB password is compared to the SAM database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the local SAM database AND
      LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
        The server will simultaneously ask each domain that it trusts whether it has account that
            matches the SMB account.
        The first trusted domain to reply is sent a request to
            perform pass-through authentication of the client
            information.
        The trusted domain will look in its own database.
        If  an account that matches the SMB account is found, then
            The trusted domain determines whether the account is a local or global
                account.
           Not for Windows 2000 and later versions:
            If  the account is local then
                Guest permissions on the original server are tested.
                If  the guest account is enabled
                    The command completed successfully.
                If  the guest account is disabled
                The user will be prompted for a password.
                Regardless of what password is entered, the user will receive
                    "Error 5: Access has been denied."
            End
            If  the account is global (the only option for Active Directory)
                The password that was specified in the SMB is compared
                    to the SAM database password.
                If  the password matches, then
                    The command completed successfully.
                If  the password does NOT match, then
                    The user is prompted for a password.
                        The password is retested as above.
                    System error 1326 has occurred. Logon failure:
                    unknown user name or bad password.
            End
    If  no trusted domains respond to the request to identify the
        account, then
        Guest permissions are tested on the original server,
            not the trusted server.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		

Catatan

  1. Jika rekening tamu dinonaktifkan dan pengguna Apakah tidak havean akun, server masih akan meminta password. Meskipun ada willmeet password persyaratan mereka, server masih akan meminta password sebagai securitymeasure. Ini mengukur keamanan menjamin bahwa pengguna yang tidak sah tidak bisa tellthe perbedaan antara kasus mana ada account dan ketika ada warga rekening. Pengguna akan selalu diminta untuk sandi ofwhether terlepas account ada.
  2. Pada titik ini, informasi berikut kembali dari domain yang terpercaya di respon: Domain SID, User ID, Global GroupsMemberships, waktu masuk, waktu Logoff, KickOffTime, nama lengkap, Password LastSet, Password dapat mengubah bendera, Password harus mengubah bendera, naskah pengguna, profil jalan, Home Directory, dan buruk Password Count.
  3. Jika account tidak ditemukan pada domain terpercaya, theoperating sistem harus menggunakan rekening tamu lokal untuk menjamin behaviorfor konsisten otentikasi terhadap server.
  4. Untuk informasi lebih lanjut tentang cara untuk membatasi pencarian nama-nama yang terisolasi di luar domain yang terpercaya dengan menggunakan entri registri LsaLookupRestrictIsolatedNameLevel, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
    818024 Cara untuk membatasi pencarian nama-nama yang terisolasi di luar domain yang terpercaya dengan menggunakan entri registri LsaLookupRestrictIsolatedNameLevel
  • Semua account di domain yang terpercaya akan pernah beavailable.
  • Proses internal, sebenarnya lebih kompleks daripada thealgorithms yang dijelaskan di sini.
  • Algoritma ini tidak membahas mekanika sebenarnya ofpass-melalui otentikasi. Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Microsoft Knowledge Base:
    102716 NTLM otentikasi pengguna di Windows
  • Algoritma ini tidak membahas encryptionprocess password yang digunakan dalam Windows Server 2003, Windows XP dan Windows 2000. Biner besar objek (gumpalan) berasal dari aone-cara hash Katakunci dikirim sebagai bagian dari permintaan otentikasi. Thecontent gumpalan ini akan tergantung pada protokol otentikasi yang dipilih untuk thelogon.
  • Artikel ini tidak membahas tentang cara kerja internal theMicrosoft modul otentikasi.
  • Algoritma ini mengasumsikan bahwa semua account, whenenabled, memiliki tanpa password. secara asali, semua account tidak memiliki apassword di Windows Server 2003, Windows XP dan Windows 2000. Jika sandi guestaccount ditetapkan, password pengguna yang dikirim dalam SMB mustmatch bahwa tamu account password.

Contoh

Berikut ini adalah contoh dari algoritma ini dalam tindakan.

Contoh 1

Anda masuk ke komputer dengan menggunakan nama akun sama dan password yang ada di awal-DOMAIN domain account database. Ketika Anda menjalankan perintah NET menggunakan \\SCRATCH untuk pengendali domain untuk domain DOMAIN-awal, perintah berhasil diselesaikan. Ketika Anda menjalankan perintah NET menggunakan \\NET untuk pengendali domain yang percaya awal-DOMAIN domain, Anda menerima pesan galat berikut:
Terjadi kesalahan sistem 1326. log masuk kegagalan: tidak diketahui Nama pengguna atau sandi buruk.
\SCRATCH-DOMAIN\USER1 account memiliki izin pada \\NET.

Catatan: Contoh ini mengasumsikan konfigurasi berikut.

Konfigurasi

Komputer yang memiliki otoritas keamanan lokal:
  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1
		
pengendali domain Direktori Aktif:
  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).
		
NET-DOMAIN domain:
  • Database domain akun untuk NET-DOMAIN domain sehingga berisi account untuk USER1.
  • Rekening tamu akan dinonaktifkan.
Windows Server 2003:
  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1
		
Dalam contoh ini, komputer login ke domain yang lokal, bukan nol-DOMAIN domain mana domain akun komputer berada.

Contoh 2

Ketika Anda menjalankan perintah NET USE x: \\NET\share , langkah-langkah berikut terjadi:
  1. Thecomputer mengirimkan berikut di UKM "Sesi Setup":
    rekening = "USER1"
    password = "PSW1"
    domain = "LOCAL1"
  2. \\NET server menerima UKM dan memandang accountname.
  3. Server memeriksa dengan domain lokal account database anddoes tidak menemukan kecocokan.
  4. Server kemudian meneliti nama domain SMB.
  5. Server tidak mempercayai "LOCAL1," sehingga server tidak notcheck dengan domain yang terpercaya.
  6. Server akan kemudian memeriksa rekeningnya tamu.
  7. Rekening tamu dinonaktifkan sehingga "sistem kesalahan 1326 hasoccurred. log masuk kegagalan: tidak diketahui Nama pengguna atau sandi buruk. "kesalahan pesan isgenerated.

Contoh 3

Ketika Anda menjalankan perintah NET USE x: \\SCRATCH\share, langkah-langkah berikut terjadi:
  1. Thecomputer mengirimkan berikut di UKM "Sesi Setup":
    rekening = "USER1"
    password = "PSW1"
    domain = "LOCAL1"
  2. \\SCRATCH server menerima UKM dan meneliti nama theaccount.
  3. Server memeriksa dengan domain lokal account database andfinds pertandingan.
  4. Server kemudian membandingkan SMB password untuk domainaccount password.
  5. Password cocok. Oleh karena itu, "Perintah CompletesSuccessfully" pesan yang dihasilkan.
Contoh 2 dan 3 contoh, hubungan kepercayaan ini tidak tersedia. Jika komputer telah telah masuk ke domain DOMAIN-awal, perintah NET USE x: \\NET\share akan menjadi sukses.

Solusi yang ideal adalah untuk memiliki semua komputer login ke domain. Untuk log masuk, pengguna harus menentukan domain, account, dan sandi. Setelah Anda melakukan ini, Semua Menggunakan NET-tipe perintah akan melewati informasi domain dan sandi account yang benar. Administrator harus mencoba untuk menghindari duplikat account pada komputer dan beberapa domain. Komputer berbasis Windows 2000 dan Windows berbasis Server 2003, Windows XP berbasis membantu menghindari konfigurasi ini dengan menggunakan Trust antara domain dan dengan menggunakan anggota yang dapat menggunakan domain database.

Solusi

Ada satu solusi yang dapat digunakan dalam kasus ini. Dari komputer, Anda dapat menjalankan perintah berikut:
BERSIH MENGGUNAKAN X: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1
Dalam perintah ini, mengikuti benar:
  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.
		
Untuk informasi lebih lanjut tentang perintah ini, ketik berikut pada prompt perintah:
BERSIH MENGGUNAKAN /?

Nama NULL domain

Klien Microsoft SMB yang disertakan dalam Windows Server 2003, Windows XP dan Windows 2000 mengirimkan NULL nama domain di "Sesi Setup SMB [x 73]" SMB. Klien Microsoft SMB menangani nama domain dengan menentukan nama domain log masuk dan dengan mengirimkan karakter NULL jika nama domain tidak ditetapkan dalam perintah NET USE . Microsoft SMB klien juga akan menunjukkan perilaku yang dijelaskan dalam contoh 1.

Catatan

  • Nama domain bawaan ditentukan dalam LANMAN.INI fileon "DOMAIN =" baris. Ini dapat dikalahkan oleh /DOMAIN: beralih dengan perintah NET log masuk .
  • Biasanya ada dua representasi "NULL" di theSMB: nama nol-panjang domain dan nama domain satu-byte yang terdiri dari thequestion tanda karakter (?). SMB server menangkap tanda tanya dan menterjemahkan itto NULL sebelum menyerahkannya kepada otoritas keamanan lokal (LSA).

Pemecahan Masalah

Tip yang baik untuk pemecahan masalah masalah akses jaringan adalah untuk mengaktifkan audit dengan melakukan hal berikut.

Windows 2000 dan versi pengendali domain berbasis Windows 2000

  1. Dari alat administratif pada pengendali domain, startActive direktori pengguna dan komputer.
  2. Klik kanan-atas Domain controller OU, andthen klik properti.
  3. Pada tab Kebijakan Grup , klik gandaKebijakan Default Domain Controller.
  4. Pada Editor kebijakan, klik ComputerSettings, klik Windows pengaturan, klikPengaturan keamanan, klik Kebijakan lokal, andthen klik Audit kebijakan.
  5. Pilih opsi log masuk dan Account log masuk keberhasilandan kegagalan pilihan.

Pengaturan domain untuk Windows 2000 Server dan anggota

  1. Dari alat administratif pada pengendali domain, startActive direktori pengguna dan komputer.
  2. Klik kanan-atas nama domain, dan kemudian klikproperti.
  3. Pada tab Kebijakan Grup , klik gandaKebijakan Default Domain.
  4. Pada Editor kebijakan, klik ComputerSettings, klik Windows pengaturan, klikPengaturan keamanan, klik Kebijakan lokal, andthen klik Audit kebijakan.
  5. Pilih opsi log masuk dan Account log masuk keberhasilandan kegagalan pilihan.

Pengaturan lokal untuk Windows 2000 Server dan anggota

  1. Dari alat-alat administratif, mulai SecurityPolicy lokal.
  2. Buka Audit kebijakan.
  3. Pilih opsi log masuk dan Account log masuk keberhasilandan kegagalan pilihan.
Sekarang, setiap saat bahwa pengguna jaringan mengakses server ini dari jarak jauh, audit trail akan mulai bisa login di penampil aktivitas. Untuk melihat peristiwa ini di penampil aktivitas, klik keamanan di Log menu.

Untuk informasi lebih lanjut tentang hubungan kepercayaan, pass-through otentikasi, izin pengguna, dan login domain, lihat "Ikhtisar teknis Windows keamanan Server 2003 layanan." Untuk melakukannya, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/WindowsServer2003/techinfo/Overview/Security.mspx

Informasi lebih lanjut

Pada dasarnya, sama jaringan akses validasi algoritma berlaku untuk Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 Windows Server 2012 R2.

OS ini memiliki beberapa fitur baru di UKM.

Windows Server 2008

http://technet.Microsoft.com/en-US/Library/ff625695 (v=ws.10).aspx

http://technet.Microsoft.com/en-US/Library/cc770740 (v=ws.10).aspx


Windows Server 2012

http://technet.Microsoft.com/en-US/Library/hh831795.aspx

Properti

ID Artikel: 103390 - Kajian Terakhir: 15 Maret 2014 - Revisi: 4.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kata kunci: 
kbnetwork kbmt KB103390 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 103390

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com