Sieťový prístup validácie algoritmy a príklady pre Windows Server 2003, Windows XP a Windows 2000

Preklady článku Preklady článku
ID článku: 103390 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

Toto je zjednodušený algoritmus, ktorý vysvetľuje, ako sa pozoruje overenie účtu Windows funkciu počas prístupu k sieti pomocou protokolu NTLM. Prístup cez server správu block (SMB) protokol používa ako príklad, ale to platí pre všetky iné serverové aplikácie, podporujúce overenie pomocou štandardu NTLM. Táto diskusia sa nevzťahuje fungovanie tohto procesu. Pomocou týchto informácií môžete predpovedať Windows sieť prihlásenie správanie nepredv??date??n?? podmienkach.
Pri použití protokolu Kerberos na overenie používateľa a získať prístup k prostriedkom serveru proces je veľmi odlišné od čo robí NTLM. Pre viac informácií, navštívte nasledujúce webovej lokalite Microsoft TechNet:
http://technet2.Microsoft.com/WindowsServer/en/library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx
Pamätajte, že lokálnej databáze je domény databázy a databázy len na radičoch domény. Ale na iné servery a všetky počítače, lokálnej databáze sa líši od radiča domény.

Základné informácie

Pri komunikácii dvoch počítačov so systémom Windows Server 2003, Windows XP-based, alebo Windows 2000-založené v sieti, využívajú na vysokej úrovni protokol nazývaný blok hlásení servera (SMB). SMB príkazy sú zakotvené v prenosových protokolov, vylepšené užívateľské rozhranie NetBIOS (protokol NetBEUI) alebo TCP/IP. Napríklad, ak klientsky počítač vykoná príkaz NET USE , "SMB relácie nastavenia a X" rám je rozposlané.

V systéme Windows "Relácie nastavenia" SMB obsahuje používateľské konto, funkciou hash zašifrovanej heslo a Prihlasovacia doména. Radič domény bude skúmať všetky tieto informácie na určenie, či klient má povolenia na dokončenie príkazu NET USE .

Algoritmy

Windows klientsky počítač odošle príkaz na server:
   NET USE x: \\server\share
		
Windows klientsky počítač odošle "Relácie nastavenia" SMB, ktorá obsahuje jeho prihlasovacie meno domény, používateľské konto a heslo.

Server skúma názov domény alebo názov počítača, ktorý bol určený SMB. Ak je názov servera vlastné meno, je spustiť nasledujúci algoritmus:
    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End
		
Ak je doména zadaná v SMB je ten, ktorý server verí, je spustiť nasledujúci algoritmus:
    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.
		
Ak zabezpečený kanál nie je nastavený, je spustiť nasledujúci algoritmus:
The trusted domain controller checks its own domain database
        for a matching account.
    If the trusted domain controller finds a matching account, then
       NOT for Windows 2000 and later versions:
    It determines whether the account is a local or global account.
       If the account is local, then
           Guest permissions on the original server are tested.
           If the guest account is enabled
               The command completed successfully.
           If the guest account is disabled
               (* See Note a) The user is prompted for a password.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
        End
        If the account is global (the only option for Active Directory)
           The SMB password is compared to the domain database
               password.
           If  the password matches, then
               The command completed successfully.
               (* See Note b)
           If  the password does NOT match, then
               The user is prompted for a password.
                   The password is retested as above.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
       End
    If the trusted domain controller does NOT find the account in the trusted domain controller
           database, then
       Guest permissions are tested on the original server, not the trusted domain.  (* See Note c)
       If  the guest account is enabled
           The user will have original server guest access.
           The command completed successfully.
       If  the guest account is disabled
           (* See Note a) The user is prompted for a password.
           System error 1326 has occurred. Logon failure:
           unknown user name or bad password.
    End

DÔLEŽITÉ

Týchto prípadoch diskutovať scenáre kde klient používa iný používateľ domény od tej, ktorú server má alebo pozná. Tam je problém s nesúladu pri vyjednaním overovací protokol NTLM, verzia 2. NTLM v v2 používa heslo soľ a používateľa domény sa používa v tejto soli zo strany klienta.

Keď server získava informácie a nájde používateľ v lokálnej databáze, server používa názov lokálnej databáze výpo soľou a hash. Preto, ak "zdroj domény" ako poslal klient je prázdny alebo je neznámy Domain, soľ a preto heslo hash sa nezhoduje. V týchto prípadoch sa overovanie pokus zlyhá s "neznáme užívateľské meno alebo zlé heslo" (STATUS_LOGON_FAILURE) chyba. Udalosťou pre pokus bude správa "neplatné heslo" symbolom STATUS_WRONG_PASSWORD.

Ukážka udalostí:
Názov denníka: bezpečnosť
Zdroj: Microsoft-Windows-Security-audit
Identifikácia udalosti: 4625
Kategória úlohy: prihlásenie
Úroveň: informácie
Kľúčové slová: Zlyhanie pri audite
Počítač: server-Počítač1
Popis/kontrol:
Konto sa nepodarilo prihlásiť.

Predmet:

Identifikácia zabezpečenia: PRÁZDNY identifikátor SID
Názov účtu:-
Konto domény:-
Prihlasovacie ID: 0x0

Prihlásenie typu: 3

Účet pre ktoré prihlásenie zlyhalo:

Identifikácia zabezpečenia: PRÁZDNY identifikátor SID
Názov účtu: ntadmin
Doména konta: klient-Počítač1

Informácie o zlyhaní:

Dôvod zlyhania: Neznáme užívateľské meno alebo zlé heslo.
Stav: 0xc000006d
Čiastkové Status: 0xc000006a
...

Podrobné overovacích informácií:

Prihlásenie proces: NtLmSsp
Overovací balík: NTLM
Prechádzali služby:-
Balík meno (NTLM):-
Dĺžka kľúča: 0

Aby sa predišlo tejto situácii, musíte zahrnúť názov domény správne výslovne na strane klienta. Pre pohon-mapovanie na scenári pracovnej skupiny, ktorá bude nasledovný:
Net používajú x: \\server-computer1\data /u:server-computer1\ntadmin *
Ak je neznámy server domény, ktorá je zadaná v SMB – napríklad ak doména bola zadaná ale nebol rozpoznaný servera ako dôveryhodnej domény alebo jeho radič domény – je spustiť nasledujúci algoritmus:
    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		
Ak doménu, ktorá je zadaná v SMB hodnotu NULL, to znamená žiadne domény je určená, je spustiť nasledujúci algoritmus:
    The server will treat this as a local network logon. The server
        will test for a matching account in its own database.
    If  it finds a matching account, then
        The SMB password is compared to the SAM database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the local SAM database AND
      LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
        The server will simultaneously ask each domain that it trusts whether it has account that
            matches the SMB account.
        The first trusted domain to reply is sent a request to
            perform pass-through authentication of the client
            information.
        The trusted domain will look in its own database.
        If  an account that matches the SMB account is found, then
            The trusted domain determines whether the account is a local or global
                account.
           Not for Windows 2000 and later versions:
            If  the account is local then
                Guest permissions on the original server are tested.
                If  the guest account is enabled
                    The command completed successfully.
                If  the guest account is disabled
                The user will be prompted for a password.
                Regardless of what password is entered, the user will receive
                    "Error 5: Access has been denied."
            End
            If  the account is global (the only option for Active Directory)
                The password that was specified in the SMB is compared
                    to the SAM database password.
                If  the password matches, then
                    The command completed successfully.
                If  the password does NOT match, then
                    The user is prompted for a password.
                        The password is retested as above.
                    System error 1326 has occurred. Logon failure:
                    unknown user name or bad password.
            End
    If  no trusted domains respond to the request to identify the
        account, then
        Guest permissions are tested on the original server,
            not the trusted server.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		

Poznámky

  1. Ak konto guest je zakázaný, a používateľ nemá nie havean účet server stále požadovať heslo. Hoci žiadne heslo willmeet svoje požiadavky, server ešte požiadať o heslo ako securitymeasure. Toto bezpečnostné opatrenie zaručuje, že neoprávnený používateľ nemôže tellthe rozdiel medzi prípad, kde konto existuje a ak účet doesnot existujú. Užívateľ bude vyzvaný vždy pre heslo bez ohľadu na ofwhether konto existuje.
  2. Na tomto mieste, tieto informácie sa vrátil z dôveryhodnej domény v reakcii: SID domény ID užívateľa, globálne GroupsMemberships, čas prihlásenia, odhlásenie čas, KickOffTime, priezvisko, heslo LastSet, heslo môžete zmeniť príznak, heslo musíte zmeniť vlajku, užívateľský skript, cestu k profilu, domovský adresár a zlé heslo počítať.
  3. Ak žiadne konto nachádza v dôveryhodnej doméne, theoperating systém musí použiť miestne hosťovské konto zaručiť dôsledné behaviorfor autentifikáciu voči serveru.
  4. Ďalšie informácie o tom, ako obmedziť vyhľadávanie izolované názvy externých dôveryhodných domén pomocou LsaLookupRestrictIsolatedNameLevel položka databázy registry, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
    818024 Ako obmedziť vyhľadávanie izolované názvy externých dôveryhodných domén pomocou položka databázy registry LsaLookupRestrictIsolatedNameLevel
  • Hosť účty na dôveryhodných domén sa nikdy beavailable.
  • Skutočný, vnútorný proces je zložitejší ako thealgorithms, ktoré sú tu popísané.
  • Týmito algoritmami diskutovať o skutočnej mechaniky ofpass-prostredníctvom overovania. Ďalšie informácie získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
    102716 Overenie pomocou štandardu NTLM používateľa v systéme Windows
  • Týmito algoritmami diskutovať heslo encryptionprocess, ktorá sa používa v systéme Windows Server 2003, Windows XP a Windows 2000. Binárne veľký objekt (BLOB) odvodené od aone-cesta hash hesla je odoslaná ako súčasť žiadosti o overenie. Obsah tohto blob bude závisieť na overovací protokol vybraný pre thelogon.
  • Tento článok nemá diskutovať fungovanie v overovania modulu.
  • Tieto algoritmy predpokladať že hosťovské konto, whenenabled, žiadne heslo. V predvolenom nastavení hosťovské konto nemá apassword v systéme Windows Server 2003, Windows XP a Windows 2000. Ak je zadané heslo guestaccount, heslo k účtu heslo používateľa odosielané v SMB mustmatch že hodnotenie.

Príklady

Nižšie sú uvedené príklady týchto algoritmov v akcii.

Príklad 1

Ste prihlásení do počítača pomocou rovnaký názov konta a heslo, ktoré je v databáze NULY domény domény konta. Pri spustení príkazu NET USE \\SCRATCH pre radič domény NULY domény, príkaz je úspešne dokončená. Pri spustení čisté využitie \\NET príkaz pre radič domény, ktorý dôveruje doméne NULY domény, zobrazí sa nasledovné chybové hlásenie:
Vyskytla sa systémová chyba 1326. Prihlásenie zlyhalo: neznáme užívateľské meno alebo zlé heslo.
\SCRATCH-DOMAIN\USER1 konto má povolenia na \\NET.

Poznámka: Tento príklad predpokladá nasledujúcich konfigurácií.

Konfigurácia

Počítač, ktorý má miestny bezpečnostný orgán:
  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1
		
Radič domény:
  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).
		
NET-domény doména:
  • Databázy domény účet pre siete-domény domény doesnot obsahujú účet pre USER1.
  • Hosťovské konto je vypnuté.
Windows Server 2003:
  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1
		
V tomto príklade, počítač je prihlásený na svojej lokálnej domény, nie je v doméne NULY domény bydliska kontom domény.

Príklad 2

Po spustení príkazu NET USE x: \\NET\share , sa vyskytnú nasledovné kroky:
  1. Thecomputer odošle v "Relácie nastavenia" SMB nasledovné:
    úvahy = "Používateľ1"
    heslo = "PSW1"
    doménu = "LOCAL1"
  2. \\NET server dostane SMB a pozrel na vlastnosť accountname.
  3. Server skúma jej lokálnej domény konta databázy anddoes nie nájsť zhodu.
  4. Server potom skúma SMB doménové meno.
  5. Server nedôveruje "LOCAL1," tak server nemá notcheck jeho dôveryhodných domén.
  6. Server potom skontroluje svoje konto guest.
  7. Konto guest je zakázaný tak "systém chyba 1326 hasoccurred. Prihlásenie zlyhalo: neznáme užívateľské meno alebo zlé heslo. "chybové hlásenie isgenerated.

Príklad č. 3

Po spustení príkazu NET USE x: \\SCRATCH\share, sa vyskytnú nasledovné kroky:
  1. Thecomputer odošle v "Relácie nastavenia" SMB nasledovné:
    úvahy = "Používateľ1"
    heslo = "PSW1"
    doménu = "LOCAL1"
  2. \\SCRATCH server dostane SMB a skúma theaccount meno.
  3. Server skúma jej lokálnej domény konta databázy andfinds zápas.
  4. Server potom porovná SMB heslo na domainaccount heslo.
  5. Heslá sú zhodné. Preto "Príkaz CompletesSuccessfully" správa je generovaná.
Príklad 2 a príklad 3, vzťah dôvery nie je k dispozícii. Ak počítač mal bol prihlásený k doméne NULY domény, by príkaz NET USE x: \\NET\share boli úspešné.

Ideálnym riešením je mať všetky počítače prihlásiť do domény. Na prihlásenie, užívateľ musí určiť domény, účet a heslo. Po urobíte, všetky NET USE-typ príkazov bude informáciu správnej domény, účet a heslo. Správcovia mali snažiť vyhnúť sa duplicitné kontá na oboch počítačoch a viac domén. Okná systémom Server 2003, Windows XP-bázy, a Windows 2000-založené počítača pomôcť vyhnúť sa tejto konfigurácie pomocou vz ahy dôveryhodnosti medzi doménami a pomocou členov, ktorí môžu používať domény databáz.

Riešenie

Je tu jedno riešenie, ktoré môžu byť použité v týchto prípadoch. Z počítača, mohol spustiť nasledujúci príkaz:
NET USE X: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1
V tomto príkaze nasledovať platí:
  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.
		
Ďalšie informácie o tomto príkaze, zadajte nasledujúce príkazového riadka:
NET USE /?

NULL doménových mien

Klient Microsoft SMB, ktorý je zahrnutý v systéme Windows Server 2003, Windows XP a Windows 2000 pošle NULL doménové mená v "Relácie nastavenia SMB [x 73]" SMB. Klient Microsoft SMB spracováva názov domény sa uvedie názov prihlasovacej domény a zaslaním znak NULL, ak nie je zadaný názov domény v príkazu NET USE . Klient Microsoft SMB bude vystavovať na správanie opísané v príklade 1.

Poznámky

  • Predvolený názov domény je zadaný v súbore LANMAN.INI fileon "domény =" riadku. To môže byť prepísané do domain: prepínať pomocou príkazu NET LOGON .
  • Tam sú zvyčajne dva reprezentácie "Null" v theSMB: nula-dĺžka doménového mena a jedného bajtu doménové meno, ktoré sa skladá z thequestion značky znak (?). Serverom SMB úlovky otáznik a prekladá itto NULL pred průchodem na lokálny úrad zabezpečenia (LSA).

Riešenie problémov

Dobrý tip pre riešenie problémov sieťového prístupu je povoliť auditovanie nasledujúcim spôsobom.

Windows 2000 a novšie verzie radičov domény so systémom Windows 2000

  1. Z administratívne nástroje na radiči domény, startActive Directory Users a počítače.
  2. Kliknite pravým tlačidlom myši OU radiče domény, andthen kliknite na položku Vlastnosti.
  3. Na Skupinová politika karte, dvakrát kliknite na ikonuPredvolenej politiky radiča domény.
  4. V editore politiky kliknite na ComputerSettings, kliknite na položku Nastavenie systému Windows, kliknite na tlačidloNastavenia zabezpečenia, kliknite na položku Lokálne politiky, andthen kliknite na položku Politika auditu.
  5. Vyberte možnosti prihlásenia a prihlásenie úspech účeta možnosť zlyhania .

Nastavenia domény pre servery Windows 2000 Server a členov

  1. Z administratívne nástroje na radiči domény, startActive Directory Users a počítače.
  2. Kliknite pravým tlačidlom myši na názov domény, a potom kliknite na položkuVlastnosti.
  3. Na Skupinová politika karte, dvakrát kliknite na ikonuPredvolenej politiky domény.
  4. V editore politiky, ComputerSettings, kliknite na položku Nastavenie systému Windows, kliknite na tlačidloNastavenia zabezpečenia, kliknite na položku Lokálne politiky, andthen kliknite na položku Politika auditu.
  5. Vyberte možnosti prihlásenia a prihlásenie úspech účeta možnosť zlyhania .

Miestne nastavenia pre servery Windows 2000 Server a členov

  1. Z administratívne nástroje, spustiť lokálne SecurityPolicy.
  2. Politika otvorených auditu.
  3. Vyberte možnosti prihlásenia a prihlásenie úspech účeta možnosť zlyhania .
Teraz, kedykoľvek, že užívateľ siete pristupuje k tomuto serveru vzdialene, revízny záznam bude prihlásený v programe Zobrazovač udalostí. Ak chcete zobraziť tieto udalosti v nástroji Zobrazovač udalostí, kliknite na tlačidlo zabezpečenie v menu Denník .

Ďalšie informácie o vzťahy dôvery, overovanie, povolenia používateľov a prihlásenia do domény, pozri "prehľad služieb systému Windows Server 2003 Security." Ak to chcete urobiť, navštívte nasledujúcu webovú lokalitu spoločnosti Microsoft:
http://www.Microsoft.com/WindowsServer2003/techinfo/Overview/Security.mspx

Ďalšie informácie

V podstate rovnaký sieťový prístup validácie algoritmy sú platí pre systém Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 Windows Server 2012 R2.

Tieto OS má niekoľko nových funkcií v SMB.

Windows Server 2008

http://technet.Microsoft.com/en-us/library/ff625695 (v=ws.10).aspx

http://technet.Microsoft.com/en-us/library/cc770740 (v=ws.10).aspx


Windows Server 2012

http://technet.Microsoft.com/en-us/library/hh831795.aspx

Vlastnosti

ID článku: 103390 - Posledná kontrola: 15. marca 2014 - Revízia: 4.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Kľúčové slová: 
kbnetwork kbmt KB103390 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 103390

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com