Algoritmi de validare acces rețea și exemple pentru Windows Server 2003, Windows XP și Windows 2000

Traduceri articole Traduceri articole
ID articol: 103390 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

Următoarele este un algoritm simplificate, care explică cum se observă validarea de cont Windows să funcționeze în timpul de acces la re?ea utilizând protocolul NTLM. Este folosind accesului prin Protocolul de bloc (SMB) serverul mesaj ca exemplu, dar se aplică la toate celelalte aplicații de server care acceptă autentificare NTLM. Această discuție nu reglementează funcționarea internă a acestui proces. Cu aceste informații, se poate anticipa Windows rețea logon comportament în condiții deterministe.
Când Kerberos este folosit pentru autentificarea utilizatorului și de a obține acces la resurse de pe server, procesul este foarte diferit de ceea ce face NTLM. Pentru mai multe informații, vizitați următorul site Microsoft TechNet Web:
http://technet2.Microsoft.com/windowsserver/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx
Amintiți-vă că bază acoperire de date locală este un domeniu si singura baza acoperire de date pe controlerele de domeniu. Dar pe alte fermă de servere și toate computerele, bază acoperire de date locală este diferită de controlerul de domeniu.

Informații de fond

Atunci când două computere bazate pe Windows Server 2003, Windows XP-bază sau Ferestre 2000-bază comunica printr-o rețea, ei folosesc un protocol de nivel înalt numit bloc mesaj server (SMB). SMB comenzi sunt încorporate în protocoalele de transport, NetBIOS îmbunătățită interfață de utilizator (NetBEUI) sau TCP/IP. De exemplu, când un computer client efectuează un NET folos virgulă, un cadru de "SMB sesiune de configurare și X" este trimis.

În Windows, SMB "Sesiune Setup" cuprinde contul de utilizator, o funcție de hash parola criptată și domeniu de conecta. Un controler de domeniu va examina toate aceste informații pentru a stabili dacă clientul are permisiuni pentru a finaliza comanda NET folos .

Algoritmi

Un computer client Windows trimite următoarea comandă la un server:
   NET USE x: \\server\share
		
computer client Windows Trimite un SMB "Sesiune Setup", care conține sale login domeniului, contul de utilizator și parola.

Server analizează domain nume sau calculator nume care a fost specificat de SMB. Dacă nume de sign-in este nume de sign-in serverului propriu, este executați următorul algoritm:
    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End
		
Dacă domeniul specificat în SMB este una care are încredere în server, este executați următorul algoritm:
    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.
		
În cazul în care un canal securizat nu este configurat, este executați următorul algoritm:
The trusted domain controller checks its own domain database
        for a matching account.
    If the trusted domain controller finds a matching account, then
       NOT for Windows 2000 and later versions:
    It determines whether the account is a local or global account.
       If the account is local, then
           Guest permissions on the original server are tested.
           If the guest account is enabled
               The command completed successfully.
           If the guest account is disabled
               (* See Note a) The user is prompted for a password.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
        End
        If the account is global (the only option for Active Directory)
           The SMB password is compared to the domain database
               password.
           If  the password matches, then
               The command completed successfully.
               (* See Note b)
           If  the password does NOT match, then
               The user is prompted for a password.
                   The password is retested as above.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
       End
    If the trusted domain controller does NOT find the account in the trusted domain controller
           database, then
       Guest permissions are tested on the original server, not the trusted domain.  (* See Note c)
       If  the guest account is enabled
           The user will have original server guest access.
           The command completed successfully.
       If  the guest account is disabled
           (* See Note a) The user is prompted for a password.
           System error 1326 has occurred. Logon failure:
           unknown user name or bad password.
    End

IMPORTANTE

Următoarele cazuri discuta scenarii în cazul în care clientul foloseste un domeniu utilizator diferit de acela pe care serverul are sau stie de. Există o problemă cu această nepotrivire cand Protocolul de autentificare NTLMv2 este negociat. NTLM la v2 utilizează o parolă de sare, și domeniul de utilizator este folosit în această sare de client.

Când serverul obține informațiile și găsește utilizatorului în bază acoperire de date locală, server utilizează nume de sign-in bazei acoperire de date locale pentru a calcula sare și hașiș. Prin urmare, în cazul în care "sursa domain" ca trimis de client este gol sau este un domeniu necunoscut, sare și, prin urmare, parola hash nu se va potrivi. În aceste cazuri, încercare autentificare va eșua cu un "nume de utilizator necunoscut sau parolă rău" (STATUS_LOGON_FAILURE) eroare. Evenimentul de audit pentru încercarea va raporta "parolă incorectă", simbolul STATUS_WRONG_PASSWORD.

Un eveniment de probă:
Jurnal nume: securitate
Sursa: Microsoft-Windows--audit de securitate
ID eveniment: 4625
Categoria de activitate: Logon
Nivel: informații
Cuvinte cheie: Audit eșec
Calculator: serverul computer1
Descriere:
Un cont nu a reușit să faceți conecta.

Subiect:

ID de securitate: SID nul
Nume cont:-
Domeniu de cont:-
conecta ID: 0x0

conecta de tip: 3

Contul pentru care conecta nu a reu?it:

ID de securitate: SID nul
Nume cont: ntadmin
Domeniu de cont: client-computer1

Eșecul de informații:

Motiv de nereușită: Nume de utilizator necunoscut sau parolă rău.
Stare: 0xc000006d
Sub stare: 0xc000006a
...

Informații detaliate de autentificare:

conecta proces: NtLmSsp
Pachet de autentificare: NTLM
Tranzitat servicii:-
Pachet nume (numai NTLM):-
Lungime cheie: 0

Pentru a evita acest scenariu, trebuie să includeți nume de sign-in corect domeniu explicit pe client. Pentru o unitate-mapping pe un scenariu de grup de lucru, care ar fi următoarele:
Net utilizarea x: \\server-computer1\data /u:server-computer1\ntadmin *
Dacă domeniul specificat în SMB este necunoscut de server — de exemplu, dacă un domeniu s-a specificat, dar nu a fost recunoscută de către server ca un domeniu de încredere sau sa controler de domeniu-rula următorul algoritm:
    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		
În cazul în care domeniul specificat în SMB este NULL, care este, nu se specifică nici un domeniu, următorul algoritm este administrat:
    The server will treat this as a local network logon. The server
        will test for a matching account in its own database.
    If  it finds a matching account, then
        The SMB password is compared to the SAM database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the local SAM database AND
      LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
        The server will simultaneously ask each domain that it trusts whether it has account that
            matches the SMB account.
        The first trusted domain to reply is sent a request to
            perform pass-through authentication of the client
            information.
        The trusted domain will look in its own database.
        If  an account that matches the SMB account is found, then
            The trusted domain determines whether the account is a local or global
                account.
           Not for Windows 2000 and later versions:
            If  the account is local then
                Guest permissions on the original server are tested.
                If  the guest account is enabled
                    The command completed successfully.
                If  the guest account is disabled
                The user will be prompted for a password.
                Regardless of what password is entered, the user will receive
                    "Error 5: Access has been denied."
            End
            If  the account is global (the only option for Active Directory)
                The password that was specified in the SMB is compared
                    to the SAM database password.
                If  the password matches, then
                    The command completed successfully.
                If  the password does NOT match, then
                    The user is prompted for a password.
                        The password is retested as above.
                    System error 1326 has occurred. Logon failure:
                    unknown user name or bad password.
            End
    If  no trusted domains respond to the request to identify the
        account, then
        Guest permissions are tested on the original server,
            not the trusted server.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		

Note

  1. Dacă este dezactivat contul clienți și utilizatorul nu nu havean de cont, server încă va cere o parola. Deși nu willmeet parola cerin?ele sale, serverul încă va cere o parola ca un securitymeasure. Această măsură de securitate asigură că un utilizator neautorizată nu poate tellthe diferența dintre un caz, în cazul în care există un cont și când contului doesnot există. Utilizatorul se va solicita întotdeauna pentru o parola ofwhether indiferent există cont.
  2. În acest moment, următoarele informații este returnat din domeniul încredere în răspuns: domeniu SID, ID-ul utilizatorului, Global GroupsMemberships, Logon marcă de timp, Logoff marcă de timp, KickOffTime, nume de sign-in complet, parola LastSet, parola pot schimba steagul, parola trebuie să schimbare steag, User Script, profil calea, Home Director și Bad Password conta.
  3. Dacă nu este găsit pe domeniu de încredere, theoperating sistem trebuie să utilizați contul clienți locali pentru a garanta consecvent behaviorfor autentificare împotriva server.
  4. Pentru mai multe informații despre cum să limiteze căutare numelor izolate din domenii externe de încredere utilizând intrarea de registry LsaLookupRestrictIsolatedNameLevel, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
    818024 Cum pentru a restricționa căutare numelor izolate din domenii externe de încredere utilizând intrarea de registry LsaLookupRestrictIsolatedNameLevel
  • Oaspete conturi pe domenii de încredere nu va beavailable.
  • Procesul real, intern este mult mai complex decât thealgorithms care sunt descrise aici.
  • Ace?ti algoritmi nu discuta reale mecanica ofpass-prin autentificare. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
    102716 Autentificarea NTLM în Windows
  • Ace?ti algoritmi nu discuta encryptionprocess parola, care este folosit în Windows Server 2003, Windows XP și Windows 2000. Un obiect mare binar (BLOB) derivat din aone-mod parola hash este trimis ca parte din cererea de autentificare. Thecontent de acest BLOB va depinde de Protocolul de autentificare pentru thelogon ales.
  • Acest articol nu discuta despre funcționarea internă a theMicrosoft modulul de autentificare.
  • Ace?ti algoritmi presupune că contul clienți, whenenabled, are nici o parolă. implicit, la contul invitat nu trebuie apassword în Windows Server 2003, Windows XP și Windows 2000. În cazul în care este specificat un guestaccount parola, parola de utilizator care este trimis în SMB mustmatch că Comentariile cont parola.

Exemple

Următoarele sunt exemple de aceste algoritmi în acțiune.

Exemplul 1

Sunteți conectat la computer utilizând același nume de cont și parola pe care este în zero-domeniu domeniu cont date. Când executați comanda NET folos \\SCRATCH pentru controlerul de domeniu pentru domeniul zero-domeniu, comanda este finalizat cu succes. Când executați comanda NET folos \\NET pentru controlerul de domeniu care are încredere în domeniul zero-domeniu, primiți următorul mesaj de eroare:
Sistem 1326 eroare. conecta nereu?it: nume de utilizator necunoscut sau parolă rău.
În contul de \SCRATCH-DOMAIN\USER1 are permisiuni pe \\NET.

Notă Acest exemplu își asumă următoarele configurații.

Configurațiile

Computer care are o autoritate de securitate locale:
  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1
		
Activ Director controler de domeniu:
  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).
		
Domeniul NET-domeniu:
  • Domeniu contul bazei acoperire de date pentru NET-domeniu domeniu doesnot conțin un cont pentru USER1.
  • Contul clienți este dezactivat.
Windows Server 2003:
  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1
		
În acest exemplu, computerul este conectat la domeniul său local, nu zero-domeniu domeniu unde se află contul de domeniu pe computer.

Exemplul 2

Când executați comanda NET folos x: \\NET\share , apar următoarele etape:
  1. Thecomputer trimite următoarele în "Sesiune de instalare" SMB:
    cont = "USER1"
    parola = "PSW1"
    domeniu = "LOCAL1"
  2. \\NET serverul primește SMB și se uită la accountname.
  3. Server analizează sale domeniu local contul bazei acoperire de date anddoes nu găsi un meci.
  4. Server analizează apoi nume de sign-in de domeniu SMB.
  5. Server de încredere "LOCAL1", astfel încât serverul nu notcheck sale domenii de încredere.
  6. Server verifică apoi contul său de comentarii.
  7. Contul clienți este dezactivat atât de "sistem de eroare 1326 hasoccurred. conecta nereu?it: nume de utilizator necunoscut sau parolă rău. "isgenerated de mesaj de eroare.

Exemplul 3

Când executați comanda NET folos x: \\SCRATCH\share, apar următoarele etape:
  1. Thecomputer trimite următoarele în "Sesiune de instalare" SMB:
    cont = "USER1"
    parola = "PSW1"
    domeniu = "LOCAL1"
  2. Serverul de \\SCRATCH primește SMB și analizează nume de theaccount.
  3. Server analizează sale domeniu local socoteală bază acoperire de date andfinds un meci.
  4. Serverul compară SMB parola la parola domainaccount.
  5. Meci de parole. Prin urmare, este generat mesajul "Comanda CompletesSuccessfully".
În exemplu 2 și 3 de exemplu, relație de încredere este indisponibil. În cazul în care computerul a fost conectat la zero-domeniu domeniu, comanda NET folos x: \\NET\share ar fi fost de succes.

Solutia ideala este de a avea toate computerele jurnal pe un domeniu. Pentru a face conecta, utilizatorul trebuie să specifice domeniului, contul și parola. După aceasta, toate NET folos-tip comenzi va transmite informații corecte de domeniului, contul și parola. Administratorii ar trebui să încerce să evite duplicat conturi pe ambele calculatoare și mai multe domenii. Windows Server 2003-based, bazate pe Windows XP, și Ferestre 2000-bază calculator ajutor evita această configurație folosind trusturi între domenii și utilizând membri care pot utiliza domeniu de baze acoperire de date.

Workaround

Există o soluție care pot fi utilizate în aceste cazuri. De pe computer, puteți executa următoarea comandă:
NET USE X: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1
În această comandă, urmați este adevărată:
  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.
		
Pentru mai multe informații despre această comandă, tastați următoarele la promptul de comandă:
UTILIZARE NETĂ /?

nume de domeniu de NULL

Clientul Microsoft SMB care este inclus în Windows Server 2003, Windows XP și Windows 2000 trimite nume de sign-in de domeniu NULL în "Setup de sesiune SMB [x 73]" SMB. Clientul Microsoft SMB se ocupă de nume de sign-in de domeniu specificând nume de sign-in de domeniu de conecta și trimițând un caracter nul dacă nume de sign-in de domeniu nu este specificat în comanda NET folos . Clientul Microsoft SMB va expune, de asemenea, comportamentul descris în exemplul 1.

Note

  • nume de sign-in de domeniu implicit este specificat în LANMAN.INI fileon "DOMAIN =" linia Către. Acest lucru poate fi reinterpretată prin /DOMAIN: trece cu comanda NET conecta .
  • Există de obicei două reprezentări pentru "NULL" în theSMB: un nume de domeniu de lungime zero și un nume de domeniu unul-octet este format din thequestion marca personaj (?). SMB server capturile semnul de întrebare și traduce itto nul înainte de a trece-l la autoritatea de securitate locale (LSA).

Depanarea

Un sfat bun pentru depanarea problemelor de acces la rețea este să activați auditarea efectuând următoarele.

Windows 2000 și versiunile ulterioare de controlere de domeniu Windows 2000

  1. La instrumentele Administrative pe un controler de domeniu, startActive Directory Users and Computers.
  2. Faceți clic dreapta pe OU de controlerele de domeniu, andthen faceți clic pe Proprietăți.
  3. Fila de Politică de grup , faceți dublu clic peImplicit politica de controler de domeniu.
  4. În editorul de politică, faceți clic pe ComputerSettings, faceți clic pe Setări Windows, faceți clic peSetările de securitate, faceți clic pe Politicilor locale, andthen faceți clic pe politică de audit.
  5. Selectați opțiunea de conecta și de succes de Logon contși opțiunea de eșec .

Setările de domeniu pentru fermă de servere Windows 2000 și membri

  1. La instrumentele Administrative pe un controler de domeniu, startActive Directory Users and Computers.
  2. nume de sign-in de domeniu, și apoi atunci pocniturăProperties.
  3. Fila de Politică de grup , faceți dublu clic peImplicit politică domeniu.
  4. În editorul de politică, faceți clic pe ComputerSettings, faceți clic pe Setări din Windows, faceți clic peSetările de securitate, faceți clic pe Politicilor locale, andthen faceți clic pe politică de audit.
  5. Selectați opțiunea de conecta și de succes de Logon contși opțiunea de eșec .

Setările locale pentru fermă de servere Windows 2000 și membri

  1. De instrumente de administrare, începe SecurityPolicy locale.
  2. politică de audit deschise.
  3. Selectați opțiunea de conecta și de succes de Logon contși opțiunea de eșec .
Acum, orice moment că un utilizator de rețea accesează acest server la distanță, o pistă de audit va fi înregistrat în Event Viewer. Pentru a vedea aceste evenimente în Vizualizator evenimente, faceți clic pe securitate în meniul Log .

Pentru mai multe informații despre relații de încredere, autentificarea directă, permisiuni utilizator ?i domeniu datele de conectare, consultați "Tehnică generală a serviciilor de securitate Server 2003 Windows." Pentru aceasta, vizitați următorul site Web Microsoft:
http://www.Microsoft.com/WindowsServer2003/techinfo/Overview/Security.mspx

Informații suplimentare

În esență, același acces rețea validarea algoritmi sunt se aplică la Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2.

Aceste OS are mai multe caracteristici noi în SMB.

Windows Server 2008

http://technet.Microsoft.com/en-us/library/ff625695 (v=ws.10).aspx

http://technet.Microsoft.com/en-us/library/cc770740 (v=ws.10).aspx


Windows Server 2012

http://technet.Microsoft.com/en-us/library/hh831795.aspx

Proprietă?i

ID articol: 103390 - Ultima examinare: 15 martie 2014 - Revizie: 2.0
Se aplică la:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Cuvinte cheie: 
kbnetwork kbmt KB103390 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 103390

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com