Manipulasi saluran aman dengan TCP/IP

Ada beberapa proses pada Windows NT jaringan yang memerlukan workstation dan server untuk membangun saluran aman dengan domain controller. Salah satu proses ini adalah pengguna validasi. Umum kesalahpahaman adalah bahwa saluran ini aman akan terbentuk dengan terdekat kontroler domain. Pada kenyataannya, komputer yang menjalankan Windows NT Workstation atau Server akan membangun saluran aman dengan pengontrol domain pertama untuk menanggapi permintaan logon. Karena banyak faktor yang berkontribusi untuk kecepatan Respon--termasuk kecepatan jaringan, beban kerja, resolusi nama metode, dan menang pendaftaran order - sangat mungkin untuk aman saluran didirikan dengan pengontrol domain beberapa jaringan hop pergi. Ini jarang diinginkan, dan, oleh karena itu, menjadi perlu usaha untuk mengontrol pembentukan saluran aman.

Artikel ini akan mendokumentasikan lima metode untuk mengontrol kontroler domain yang saluran aman adalah setup untuk.

Metode 1: M-Node resolusi nama

Windows NT selalu akan menyiarkan pertama untuk mengatur saluran aman; Namun, kita tidak akan selalu menunggu waktu penuh keluar periode untuk respon. Oleh secara eksplisit menetapkan jenis Node untuk siaran pertama (m-node), kita akan menunggu lebih lama dan memberikan kontroler domain lokal lebih banyak waktu untuk menanggapi kami Aman saluran permintaan. Metode ini hanya akan bekerja jika ada domain controller pada subnet lokal kami. Jika tidak ada, kita akan masih query menang (jika ditetapkan) untuk daftar pengontrol domain.

H-simpul adalah jenis simpul default Windows NT klien jika alamat menang ditentukan. Tanpa menang mengatasi ditentukan, diubah b-simpul adalah default. H-node menggunakan server menang pertama dan kemudian akan menyiarkan untuk nama resolusi. M-simpul akan disiarkan pertama kali pada subnet lokal.

Peringatan: Menggunakan Peninjau Suntingan Registri dapat mengakibatkan masalah serius yang mengharuskan Anda untuk menginstal ulang Windows. Microsoft tidak dapat menjamin bahwa masalah yang dihasilkan dari penggunaan salah dari Peninjau Suntingan Registri dapat dipecahkan. Anda menanggung sendiri risiko penggunaan Penyunting Registri.

Untuk informasi tentang cara untuk mengedit registri, melihat "mengubah kunci dan Nilai-nilai"topik bantuan online di Registry Editor (Regedit.exe) atau" tambah dan Menghapus informasi di registri"dan"Edit registri Data"online membantu topik dalam Regedt32.exe. Perhatikan bahwa Anda harus membuat cadangan registri sebelum Anda mengeditnya.

1. Menjalankan Regedt32 dan navigasikan ke kunci berikut:
   
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters\DhcpNodeType
   
   
   Catatan: Kunci registri di atas adalah salah satu jalan; telah dibungkus untuk mudah dibaca.
2. Mengubahnya ke 0x00000004 untuk campuran node atau m-simpul.
   
   Nilai yang mungkin adalah:
   
   0x00000008 untuk hibrida node atau h-simpul 0x00000004 untuk campuran node atau m-simpul 0x00000002 untuk menang point-to-point atau p-node 0x00000001 untuk siaran node atau b-no

-atau-

Jika klien yang bersangkutan menggunakan DHCP, menggunakan DHCP untuk mengubah jenis node klien DHCP. Namun, ini akan mengubah jenis node pada semua komputer dilayani oleh lingkup itu.


Setelah Anda mengubah jenis node, restart komputer agar perubahan mengambil efek.

Metode 2: Berkas LMHOSTS

Ketika komputer yang menjalankan Windows NT set up saluran aman, itu akan menggunakan NetBIOS 1 C catatan untuk domain yang dibutuhkan untuk menghubungi. Untuk komputer yang menjalankan Windows NT Server atau Workstation, ini akan menjadi sendiri domain. Untuk pengontrol domain, itu akan perlu menghubungi semua terpercaya domain. Untuk menambahkan 1 C untuk kontroler domain pilihan, pastikan Properti TCP/IP mengaktifkan LMHOSTS Lookup dipilih. Mengedit atau membuat Berkas LMHOSTS di direktori %SystemRoot%\system32\drivers\etc. Tambahkan Catatan untuk domain yang Anda ingin mengontrol saluran aman. The entri akan terlihat seperti:

Nama domain harus diisi dengan karakter yang cukup untuk membuatnya 15 karakter. Harus ada persis 20 karakter dalam tanda kutip. Pada menghindari masalah yang mungkin timbul dari karakter non-ASCII dan tersembunyi ekstensi, penggunaan Notepad.exe kecewa. Edit.com adalah benar ASCII editor, dan penggunaannya sangat dianjurkan. Berkas LMHOSTS harus memiliki beberapa baris kosong di bagian bawah.

Ketika Anda selesai, menggunakan NBTSTAT -R (harus dikapitalisasi) dan kemudian NBTSTAT -c untuk memverifikasi bahwa entri sekarang dalam NetBIOS cache.

Untuk:

Ketika digunakan dengan sendirinya, kita akan harus me-restart komputer untuk mendirikan saluran aman baru; Namun, berkas LMHOSTS dapat dengan berikut metode untuk menunjuk saluran aman ke server yang diinginkan.

Catatan: Jika kita preload Catatan 1 C, dan tidak dapat tersambung ke server kemudian kita mungkin tidak dapat terhubung ke kontroler domain. Hal ini 5719 kesalahan dan/atau menjadi logon dengan kredensial cache.

Metode 3: NLTEST

NLTEST (disertakan dengan Kit sumber daya Windows NT Server 4.0) akan memungkinkan kita untuk menentukan yang saluran aman kami diatur dengan dan juga untuk memaksa untuk membangun kembali saluran aman. Untuk menentukan yang saluran aman diatur sampai dengan, ketik berikut ini pada prompt perintah:

NLTEST /SC_QUERY:<domain_name_to_check> </domain_name_to_check>

Untuk membangun kembali saluran aman, gunakan parameter:

NLTEST /SC_RESET:<domain_name_to_reset> </domain_name_to_reset>

Hal pertama yang NLTEST tidak untuk membangun kembali saluran aman adalah permintaan jaringan untuk daftar 1 C untuk domain. Dengan menggunakan NLTEST dan berkas LMHOSTS untuk pre-load 1 C catatan untuk kontroler domain pilihan kita, kita dapat mengontrol yang kita akan menyelesaikan 1 C masuk ke. NLTEST juga dapat digunakan jika jaringan telah diubah dan kontroler domain jauh atau lambat tidak akan dipilih lagi.

Anda tidak perlu me-restart komputer Anda ketika Anda menggunakan NLTEST.

Metode 4: SETPRFDC

Setprfdc.exe disertakan dengan Windows NT 4.0 Service Pack 4. SETPRFDC menggunakan tambahan untuk berkas Netlogon.dll untuk mengatakan itu yang harus mencoba untuk mengatur saluran yang aman dengan. Penggunaan:



SETPRFDC memungkinkan Anda untuk menyediakan daftar pengontrol domain agar Anda akan seperti mereka mencoba.

Anda tidak perlu me-restart komputer Anda ketika Anda menggunakan SETPRFDC.

Anda harus secara manual menyalin Setprfdc.exe ke folder %windir%\System32 dari Service Pack 4 CD-ROM. Jika Anda men-download paket layanan 4, Anda harus mengekstrak file SP4 dengan switch "/ x" dan kemudian secara manual menyalin Setprfdc.exe ke map %windir%\System32.

CATATAN: Setprfdc.exe tersedia hanya dalam versi penuh download paket layanan 4, tidak dalam versi standar download paket layanan 4.

Metode 5: NETDOM

NETDOM (disertakan dengan Kit sumber daya Windows NT Server 4.0) memungkinkan kita untuk mengendalikan banyak fungsi domain atau rekening dari baris perintah. Hanya orang-orang mengenai saluran aman akan dibahas di sini.

Ketik berikut untuk me-reset workstation atau anggota server:

NETDOM /Domain:mydomain anggota mycomputer /JOINDOMAIN

Ketik berikut untuk me-reset kontroler backup domain:

NETDOM BDC mybdc /RESET

Ketik berikut untuk me-reset hubungan kepercayaan:

NETDOM /Domain:MyResourceDomain /User:MyResourceDomain\AUser /Password:apassword MASTER MyMasterDomain MyPassword /TRUST

NETDOM akan juga dapat mencari daftar 1 C ketika menggunakan baru aman saluran. Jika kita preload kontroler domain pilihan kami di berkas LMHOSTS, kita dapat mengontrol lokasi saluran aman.

Untuk informasi lebih lanjut tentang NETDOM, lihat berkas Netdom.hlp di Kit sumber daya.

Untuk informasi tambahan, silakan lihat artikel berikut di Basis Pengetahuan Microsoft:

TCP/IP Node jenis:


Berkas LMHOSTS:


NLTEST:


NETDOM: