Мережі доступу перевірки алгоритмів і приклади для Windows Server 2003, Windows XP та Windows 2000

Переклади статей Переклади статей
Номер статті: 103390 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Нижче наводиться спрощений алгоритм, який пояснює, як перевірка рахунку Windows спостерігається функції під Вільний час доступу до мережі за допомогою протоколу NTLM. Він використовує доступ через протокол блок (SMB) протокол IMAP сервера наприклад, але це відноситься до всіх інших серверні додатки, які підтримують автентифікацію NTLM. Ця дискусія не поширюється на внутрішні процеси, пов'язані з цього процесу. З цією інформацією ви можете передбачити Windows мережі для входу поведінка детермінованих умовах.
Коли Kerberos використовується для перевірки автентичності користувача і отримати доступ до ресурсів сервера, процес є сильно відрізняється від те, що робить NTLM. Для отримання додаткової інформації відвідайте Microsoft TechNet веб-вузлі:
http://technet2.Microsoft.com/WindowsServer/EN/Library/f5c70774-25cd-4481-8b7a-3d65c86e69b11033.mspx
Пам'ятайте, що локальна база даних домену база та єдине база на контролерах домену. Але на інші сервери і всі комп'ютери, локальна база даних відрізняється від контролера домену.

Довідкова інформація

Коли два Windows Server 2003, на, під керуванням Windows XP або Windows 2000, на основі обміну даними по мережі, вони використовують високого рівня протокол, який називається блоку повідомлень сервера (SMB). SMB команд вбудовані в транспортних протоколів, таких як Enhanced користувача Інтерфейс NetBIOS (NetBEUI) або TCP/IP. Наприклад, коли клієнтський комп’ютер-зразок виконує команду NET USE , "SMB сесії установки і X" кадр розіслав.

У Windows "Сесії установка" SMB включає обліковий запис А комп'ютера користувача, хеш-функція зашифрований пароль і домен входу. контролер домену буде вивчити всі ці відомості, щоб визначити, чи є клієнт має дозволи для завершення команду " NET USE ".

Алгоритми

Комп'ютера Windows клієнт надсилає таку команду на сервері:
   NET USE x: \\server\share
		
Комп'ютера Windows клієнт надсилає SMB "Сесії установки", що містить його Логін домену, обліковий запис А комп'ютера користувача та пароль.

Сервер аналізує ім'я домену або ім'я комп'ютера, який був визначений SMB. Якщо ім'я ім'я сервера власну, такі алгоритм виконується:
    It checks its own domain database or computer database for
        a matching account.
    If it finds a matching account then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches then
            The command completed successfully.
        If  the password does NOT match then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
        End
    If  it does NOT find the account in the domain Security Accounts Manager (SAM) database or computer SAM database then
        Guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            (* See Note a).
            The user is prompted for a password.
            System error 1326 has occurred. Logon failure:
                unknown user name or bad password.
        End
		
Якщо домен, зазначений у SMB на сервер довіряє, наступні алгоритм виконується:
    The server will do pass-through authentication. The
        network logon request will be sent to a server that has a domain controller role in the
        specified trusted domain.
		
Якщо захищеному каналу не настроєно, наступні алгоритм виконується:
The trusted domain controller checks its own domain database
        for a matching account.
    If the trusted domain controller finds a matching account, then
       NOT for Windows 2000 and later versions:
    It determines whether the account is a local or global account.
       If the account is local, then
           Guest permissions on the original server are tested.
           If the guest account is enabled
               The command completed successfully.
           If the guest account is disabled
               (* See Note a) The user is prompted for a password.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
        End
        If the account is global (the only option for Active Directory)
           The SMB password is compared to the domain database
               password.
           If  the password matches, then
               The command completed successfully.
               (* See Note b)
           If  the password does NOT match, then
               The user is prompted for a password.
                   The password is retested as above.
               System error 1326 has occurred. Logon failure:
               unknown user name or bad password.
       End
    If the trusted domain controller does NOT find the account in the trusted domain controller
           database, then
       Guest permissions are tested on the original server, not the trusted domain.  (* See Note c)
       If  the guest account is enabled
           The user will have original server guest access.
           The command completed successfully.
       If  the guest account is disabled
           (* See Note a) The user is prompted for a password.
           System error 1326 has occurred. Logon failure:
           unknown user name or bad password.
    End

ВАЖЛИВОЮ

Наступних випадках обговорити сценаріїв, де клієнт використовує іншого користувача домену, від того, що сервер має або знає про. Існує проблема з цю невідповідність, коли протоколу автентифікації NTLMv2 обговорюється. NTLM в v2 використовує сіль пароль і користувача домену використовується в цьому сіль клієнтом.

Коли сервер отримує інформацію і знаходить користувача в базі даних локальних, сервер використовує ім'я локальна база даних для обчислення сіль і хеш. Таким чином, якщо "вихідний домен" як відправленого клієнтом порожній або невідомих домену, сіль і, отже, пароль хеш не відповідатиме. У цих випадках спробу автентифікації не вдасться з "невідоме ім'я користувача або пароль погано" помилка (STATUS_LOGON_FAILURE). Аудит подією для спроба буде звітувати "неправильний пароль", символ STATUS_WRONG_PASSWORD.

Подія приклади:
увійти ім'я: безпеки
Джерело: Microsoft-Windows--аудиту безпеки
Код події: 4625
Завдання Категорія: вхід до системи
Рівень: інформація
Ключові слова: Аудит провал
Комп'ютер: сервер computer1
Опис/контроль:
обліковий запис А комп'ютера не вдалося увійти.

Тема:

Ідентифікатор безпеки: NULL SID
обліковий запис А комп'ютера ім'я:-
Облікового запису домену:-
Вхід до системи ID: 0x0

Вхід до системи типу: 3

обліковий запис А комп'ютера для входу, які не вдалося:

Ідентифікатор безпеки: NULL SID
обліковий запис А комп'ютера ім'я: ntadmin
Облікового запису домену: клієнт computer1

Провал інформації:

Причина помилки: Невідоме ім'я користувача або пароль погано.
Статус: 0xc000006d
Sub статус: 0xc000006a
...

Детальний облікові дані:

Процес входу: NtLmSsp
Автентифікація пакет: NTLM
Транзитом послуги:-
Пакет ім'я (тільки NTLM):-
Довжина ключа: 0

Щоб уникнути цього сценарію, ви повинні включати правильне ім'я домену явно на клієнті. Для дисків відображення на сценарій робочої групи, що буде нижче:
Net за допомогою х: \\server-computer1\data /u:server-computer1\ntadmin *
Якщо домен, який вказано у SMB Невідомий сервер — наприклад, якщо домен було вказано, але не було визнано сервером довірений домен або його контролера домену — наступні алгоритм виконується:
    It  will check its own account database for
        a matching account
    If  the server finds a matching account, then
        The SMB password is compared to the domain database password or the computer database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the domain database then
        guest permissions are tested.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		
Якщо домен, який вказано у SMB NULL, тобто, немає домену не вказано, наступні алгоритм виконується:
    The server will treat this as a local network logon. The server
        will test for a matching account in its own database.
    If  it finds a matching account, then
        The SMB password is compared to the SAM database password.
        If  the password matches, then
            The command completed successfully.
        If  the password does NOT match, then
            The user is prompted for a password.
                The password is retested as above.
            System error 1326 has occurred. Logon failure: unknown
            user name or bad password.
    End
    If  it does NOT find the account in the local SAM database AND
      LsaLookupRestrictIsolatedNameLevel=0, then (* See Note d)
        The server will simultaneously ask each domain that it trusts whether it has account that
            matches the SMB account.
        The first trusted domain to reply is sent a request to
            perform pass-through authentication of the client
            information.
        The trusted domain will look in its own database.
        If  an account that matches the SMB account is found, then
            The trusted domain determines whether the account is a local or global
                account.
           Not for Windows 2000 and later versions:
            If  the account is local then
                Guest permissions on the original server are tested.
                If  the guest account is enabled
                    The command completed successfully.
                If  the guest account is disabled
                The user will be prompted for a password.
                Regardless of what password is entered, the user will receive
                    "Error 5: Access has been denied."
            End
            If  the account is global (the only option for Active Directory)
                The password that was specified in the SMB is compared
                    to the SAM database password.
                If  the password matches, then
                    The command completed successfully.
                If  the password does NOT match, then
                    The user is prompted for a password.
                        The password is retested as above.
                    System error 1326 has occurred. Logon failure:
                    unknown user name or bad password.
            End
    If  no trusted domains respond to the request to identify the
        account, then
        Guest permissions are tested on the original server,
            not the trusted server.
        If  the guest account is enabled
            The command completed successfully.
        If  the guest account is disabled
            System error 1326 has occurred. Logon failure:
            unknown user name or bad password.
    End
		

Примітки

  1. Якщо обліковий запис А комп'ютера гостя вимкнуто, і користувач не не havean рахунок, сервер ще запросити пароль. Хоча немає пароля willmeet свої вимоги, сервер ще запросити пароль як на securitymeasure. Цей захід безпеки гарантує, що неавторизований користувач не може tellthe різницю між випадку обліковий запис А комп'ютера, де існує, і коли обліковий запис А комп'ютера існує. Користувач завжди буде запропоновано ввести пароль незалежно ofwhether рахунок існує.
  2. На даний момент, такі відомості повернувся з надійного домену у відповідь: домен SID, Ідентифікатор користувача, Global GroupsMemberships, Вільний час входу до системи, вихід із системи Вільний час, KickOffTime, повне ім'я, пароль LastSet, пароль можна змінити прапор, пароль потрібно змінити прапор, користувацький скрипт, профіль шлях, домашнього каталогу і погано пароль графа.
  3. Якщо немає облікового запису можна знайти на надійний домен, theoperating система для потрібно використовувати обліковий запис А комп'ютера гостя місцевих гарантуємо послідовну behaviorfor автентифікації на сервері.
  4. Для отримання додаткової інформації про те, як обмежити підстановки ізольованих імен у зовнішніх надійних доменів за допомогою на LsaLookupRestrictIsolatedNameLevel запис А а реєстру, клацніть цей номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    818024 Як обмежити підстановки ізольованих імен у зовнішніх надійних доменів за допомогою запис А реєстру LsaLookupRestrictIsolatedNameLevel
  • Гостьові облікові запис А бізнес-партнера на надійних доменів ніколи не beavailable.
  • Фактичні, внутрішній процес є більш складною, ніж thealgorithms, описані тут.
  • Ці алгоритми не обговорюйте фактичного механіки ofpass через автентифікації. Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:
    102716 Перевірка автентичності NTLM користувача в Windows
  • Ці алгоритми не обговорюйте encryptionprocess пароль, який використовується у Windows Server 2003, Windows XP та Windows 2000. На великий двійковий об'єкт (BLOB-ОБ'ЄКТА), отриманих від aone шлях гешу пароль буде надіслано як частина запит автентифікації. Thecontent цей BLOB буде залежати від протоколу автентифікації, обрані для thelogon.
  • Ця стаття не обговорювати внутрішні процеси, пов'язані з theMicrosoft Модуль аутентифікації.
  • Ці алгоритми припустити, що на обліковий запис А комп'ютера гостя, whenenabled, не має пароля. За промовчанням обліковий запис А комп'ютера гостя має apassword у Windows Server 2003, Windows XP та Windows 2000. Якщо вказано guestaccount пароль, пароль користувача, що надсилається в SMB mustmatch що Відгуки рахунку пароля.

Приклади

Нижче наведено приклади цих алгоритмів у інтерактивні елементи.

Приклад 1

Ви ввійшли до комп'ютера за допомогою ж ім'я облікового запису та пароль, які з НУЛЯ-домен домен облікового запису бази даних. Коли ви виконайте команду NET сценарій виконання \\SCRATCH для контролера домену для СКРЕТЧ-домен домен, команду завершено успішно. Коли ви виконайте команду NET сценарій виконання \\NET для контролера домену, який довіряє СКРЕТЧ-домен домен, з'являється таке протокол IMAP про помилку:
Система 1326 сталася помилка. Помилка входу в систему: невідоме ім'я користувача або пароль погано.
\SCRATCH-DOMAIN\USER1 обліковий запис А комп'ютера має права на \\NET.

Примітка. У цьому прикладі припускається наступні конфігурації.

Конфігурації

комп’ютер-зразок, який має повноваження місцевих безпеки:
  -Login account: USER1
  -Password:      PSW1
  -Login Domain:  LOCAL1
		
служба Active Directory контролера домену:
  -Server Name: NET</WWITEM>
  -Domain:      NET-DOMAIN</WWITEM>
  -Trust:       NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore,
                accounts on SCRATCH-DOMAIN can be granted permissions 
                in the NET- DOMAIN).
		
NET домен домен:
  • Бази даних облікових записів домену для NET домен домен містять обліковий запис А комп'ютера для Користувач1.
  • обліковий запис А комп'ютера гостя вимкнуто.
Windows Server 2003:
  -Server Name:                       SCRATCH
  -Domain:                            SCRATCH-DOMAIN
  -Domain Database contains account:  USER1
  -Domain Database contains password: PSW1
		
У цьому прикладі комп’ютер-зразок увійшов до його локального домену, не СКРЕТЧ-домен домен, де проживає на комп'ютері обліковий запис А комп'ютера домену.

Приклад 2

Коли ви виконайте команду NET сценарій виконання x: \\NET\share , відбуваються такі дії:
  1. Thecomputer посилає такі інтерактивні елементи у SMB "Сесії установка":
    рахунок = "Користувач1"
    пароль = "PSW1"
    домен = "LOCAL1"
  2. На \\NET сервер отримує SMB і дивився на accountname.
  3. Сервер аналізує його локального домену облікового запису бази даних anddoes не знайти матчі.
  4. Сервер потім аналізує SMB ім'я домену.
  5. Сервер не довіряє "LOCAL1", так що сервер робить notcheck надійних доменів.
  6. Сервер перевіряє свою обліковий запис А комп'ютера гостя.
  7. обліковий запис А комп'ютера гостя вимкнуто так що "система помилка 1326 hasoccurred. Помилка входу в систему: невідоме ім'я користувача або пароль погано. "isgenerated протокол IMAP про помилку.

Приклад 3

Коли ви виконайте команду NET сценарій виконання x: \\SCRATCH\share, відбуваються такі дії:
  1. Thecomputer посилає такі інтерактивні елементи у SMB "Сесії установка":
    рахунок = "Користувач1"
    пароль = "PSW1"
    домен = "LOCAL1"
  2. На \\SCRATCH сервер отримує SMB та аналізує theaccount ім'я.
  3. Сервер аналізує його локального домену облікового запису бази даних andfinds матчу.
  4. Сервер потім порівнює SMB пароль на domainaccount пароль.
  5. Паролі співпадають. Таким чином, протокол IMAP «Команда CompletesSuccessfully» генерується.
Приклад 2 і 3 приклад довірчий зв'язок недоступний. Якщо комп’ютер-зразок була увійти СКРЕТЧ-домен домен, команду NET сценарій виконання x: \\NET\share б були успішними.

Ідеальним варіантом було б мати всі комп'ютери журналу до домену. Для того, щоб увійти, користувач повинен вказати домен, облікового запису та пароль. Після цього, під Вільний час сценарій виконання NET-тип команди буде проходити правильних даних домену, обліковий запис А комп'ютера та пароль. Адміністратори повинні намагатися уникнути дублювання облікові запис А бізнес-партнера на комп'ютерах і кілька доменів. Windows Server 2003, на, під керуванням Windows XP, комп'ютерах під керуванням Windows 2000 за допомогою та уникнути цієї конфігурації за допомогою трасти між домени і за допомогою членів, які можуть використовувати баз даних домену.

Тимчасове рішення

Існує одне тимчасове рішення, які можуть бути використані в цих випадках. На комп'ютері може виконайте таку команду:
NET USE Х: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1
У цій команді вірна слідувати:
  - \\NET = The computer name of the domain controller being accessed.
  - \SHARE = The share name.
  - /USER: command line parameter that lets you specify the domain,
    account and password that should be specified in the "Session Setup"
    SMB.
  - SCRATCH-DOMAIN = Domain name of the domain where the user
    account resides.
  - \USER1 = account to be validated against.
  - PSW1 = password that matches account on the domain.
		
Щоб отримати додаткові відомості про цю команду введіть у командному рядку таке:
NET USE /?

NULL доменних імен

Microsoft SMB-клієнт, який входить до складу Windows Server 2003, Windows XP та Windows 2000 посилає NULL доменні імена в "Сесії установки SMB [x 73]" SMB. Клієнт Microsoft SMB ручки ім'я домену, вказавши ім'я домену для входу та надсилаючи НУЛЬОВОЮ символ, якщо ім'я домену не вказано в команду " NET USE ". Microsoft SMB-клієнт буде також демонструють поведінку описано в приклад 1.

Примітки

  • ім'я домену за промовчанням задається у на LANMAN.INI fileon на "домен =" лінії. Це може бути відключена за на /DOMAIN: перемикання з командою NET входу до системи .
  • Там, як правило, два заяв на "NULL" в theSMB: нульовий ім'я домену і один байт ім'я домену, яке складається з thequestion марки символів (?). Сервер SMB ловить знака питання і перекладає itto NULL перед подає його до органу місцевого безпеки (LSA).

Виправлення неполадок

Хороший відгук для усунення неполадок мережі доступу є увімкнути аудит, виконавши такі інтерактивні елементи.

Windows 2000 і пізніших версій контролерах домену під керуванням Windows 2000

  1. Від «адміністрування» на контролері домену, startActive Directory – користувачі й комп'ютери.
  2. Клацніть правою кнопкою миші OU контролерів домену, andthen натисніть кнопку Властивості.
  3. На вкладці Групової політики двічі клацнітьПолітика за промовчанням контролера домену.
  4. В редактор політики, натисніть кнопку ComputerSettingsнатисніть Налаштування WindowsклацнітьНастройки безпеки, виберіть пункт локальний політики, натисніть andthen Політику аудита.
  5. Виберіть варіант вхід до системи та обліковий запис А комп'ютера для входу успіхуі невдача варіант.

Параметри домену для Windows 2000 сервери та членів

  1. Від «адміністрування» на контролері домену, startActive Directory – користувачі й комп'ютери.
  2. Клацніть правою кнопкою миші ім'я домену а потім натисніть кнопкуВластивості.
  3. На вкладці Групової політики двічі клацнітьПолітику за промовчанням домен.
  4. У редакторі політики, натисніть ComputerSettings, клацніть Налаштування Windows, натисніть кнопкуПараметри безпеки, виберіть пункт локальний політики, натисніть andthen Політику аудита.
  5. Виберіть варіант вхід до системи та обліковий запис А комп'ютера для входу успіхуі невдача варіант.

локальний настройки для Windows 2000 сервери та членів

  1. Від «адміністрування» почати місцевих SecurityPolicy.
  2. Політика відкритого аудиту.
  3. Виберіть варіант вхід до системи та обліковий запис А комп'ютера для входу успіхуі невдача варіант.
Тепер будь-який Вільний час, що глобальна мережа користувач отримує доступ до цього сервера віддалено, контрольний журнал будуть записуватися в переглядачі подій. Щоб побачити ці події в переглядачі подій, виберіть Безпека в меню журналу .

Щоб отримати додаткові відомості про довірчих відносин, до сервера аутентифікації, дозволів користувачів та логіни доменів див "Технічний огляд Windows Server 2003 охоронних послуг". Для цього відвідайте такий веб-сайт корпорації Майкрософт:
http://www.Microsoft.com/windowsserver2003/techinfo/Overview/Security.mspx

Додаткові відомості

В основному, же мережі доступу перевірки алгоритмів застосовуються до Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2.

Ці операційна система (ОС) має декілька нових можливостей у SMB.

Windows Server 2008

http://TechNet.Microsoft.com/EN-US/Library/ff625695 (v=ws.10).aspx

http://TechNet.Microsoft.com/EN-US/Library/cc770740 (v=ws.10).aspx


Windows Server 2012

http://TechNet.Microsoft.com/EN-US/Library/hh831795.aspx

Властивості

Номер статті: 103390 - Востаннє переглянуто: 15 березня 2014 р. - Редакція: 2.0
Застосовується до:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключові слова: 
kbnetwork kbmt KB103390 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 103390

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com