Proteger a manipulação de canal com o TCP/IP

Existem vários processos numa rede Windows NT que necessitem de estações de trabalho e servidores para estabelecer um canal seguro com um controlador de domínio. Uma destes processos é validação de utilizador. Um misconception comum é que este canal protegido irá ser formado com o controlador de domínio mais próximo. Na realidade, um computador com o Windows NT Workstation ou Server irá estabelecer um canal seguro com o primeiro controlador de domínio para responder a um pedido de início de sessão. Uma vez que muitos factores contribuem para a velocidade de resposta--incluindo a velocidade de rede, carga de trabalho, métodos de resolução de nome e ordem de registo do WINS--é muito possível para um canal seguro seja estabelecida com um controlador de domínio que vários saltos fora de rede. Este é raramente desejável e, por conseguinte, se torna necessário tentar controlar a formação de canais seguros.

Este artigo documentará cinco métodos para controlar o controlador de domínio um canal seguro está configurado para.

Método 1: Resolução de nomes nó M

Windows NT irá sempre difusão primeiro para configurar um canal seguro; no entanto, a Microsoft não sempre aguardará o tempo inteiro sem período de uma resposta. Definindo explicitamente o tipo de nó para difusão primeiro (nó m), irá Aguarde já e atribuir o controlador de domínio local mais tempo a resposta ao pedido os nossos canal seguro. Este método só funcionará se existir um controlador de domínio no nosso sub-rede local. Se não existir, a Microsoft irá ainda consultam o WINS (se especificado) para obter uma lista de controladores de domínio.

Nó H é o tipo de nó predefinido de um cliente de Windows NT se for especificado um endereço de WINS. Sem um endereço de WINS especificado, o nó b modificada é a predefinição. Nó-H utiliza o servidor WINS primeiro e, em seguida, vai difundir para a resolução de nomes. Nó-M vai difundir primeiro na sub-rede local.

Aviso: A utilização incorrecta do Editor de registo pode provocar problemas graves que poderão forçar a reinstalação do Windows. Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo possam ser resolvidos. As suas próprias risco da utilização do Editor de registo.

Para obter informações sobre como editar o registo, consulte o tópico de ajuda online "Alterar chaves e valores" no Editor de registo (Regedit.exe) ou "Adicionar e eliminar informações no registo" e "Editar dados do registo" tópicos de ajuda online do Regedt32.exe. Nota efectuar uma que deve cópia de segurança do registo antes de o editar.

1. Execute o Regedt32 e navegue para a seguinte chave:
   
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters\DhcpNodeType
   
   
   NOTA: A chave de registo acima é um caminho; foi translineada por questões de legibilidade.
2. Altere-o para 0 x 00000004 para nó misto ou nó m.
   
   Os valores possíveis são:
   
   0x00000008 for hybrid node or h-node 0x00000004 for mixed node or m-node 0x00000002 for point-to-point WINS or p-node 0x00000001 for broadcast node or b-no

- ou -

Se os clientes em questão estiverem a utilizar DHCP, utilize o DHCP para alterar o tipo de nó de clientes DHCP. No entanto, isto irá alterar o tipo de nó todos os computadores servido por esse âmbito.


Depois de alterar o tipo de nó, reinicie o computador para que as alterações entrem em vigor.

Método 2: Ficheiro LMHOSTS

Quando um computador com o Windows NT configura um canal seguro, utilizará a entrada de NetBIOS 1C para o domínio que necessita de contactar. Para um computador a executar o Windows NT Server ou Workstation, este será seu próprio domínio. Para um controlador de domínio, é necessário contactar todos os domínios fidedignos. Para adicionar um C 1 para um controlador de domínio preferencial, verifique se a propriedade de TCP/IP Enable LMHOSTS Lookup está seleccionada. Editar ou criar o ficheiro LMHOSTS no directório %SystemRoot%\System32\Drivers\Etc. Adicione uma entrada para o domínio com o qual pretende controlar o canal seguro. A entrada deve aspecto:

O nome de domínio tem de ser preenchido com caracteres suficientes para facilitar 15 caracteres. Deverá existir exactamente 20 caracteres dentro as aspas. Para evitar problemas que podem surgir de caracteres não ASCII e extensões ocultas, a utilização do Notepad.exe não é aconselhada. Edit.com é um editor de ASCII true e respectiva utilização é vivamente recomendada. O ficheiro LMHOSTS tem de ter várias linhas em branco na parte inferior.

Quando tiver terminado, utilize NBTSTAT -R (deve estar em maiúsculas) e, em seguida, NBTSTAT - c para verificar que o movimento está agora na cache de NetBIOS.

Para:

Quando utilizado sozinho, terá de reiniciar o computador para estabelecer um canal seguro novo; no entanto, pode ser um ficheiro LMHOSTS com os seguintes métodos para apontar o canal seguro para um servidor pretendido.

NOTA: Se que pré-carregar a entrada 1c e não é possível ligar a esse servidor, em seguida, não possamos ligar a qualquer controlador de domínio. Isto pode resultar em 5719 erros e/ou ter sessão iniciada com credenciais em cache.

Método 3: NLTEST

NLTEST (incluído no Windows NT Server 4.0 Resource Kit) irá permitir-nos para determinar que os nossos canais protegidos é configurado com e também para forçá-lo para restabelecer o canal seguro. Para determinar que o canal seguro é configurado com, escreva o seguinte numa linha de comandos:

NLTEST /SC_QUERY: <DOMAIN_NAME_TO_CHECK>

Para restabelecer o canal seguro, utilize o parâmetro:

NLTEST /SC_RESET: <DOMAIN_NAME_TO_RESET>

A primeira coisa que nltest faz para restabelecer o canal seguro é consultar a rede para a lista de C 1 para o domínio. Utilizando NLTEST e um ficheiro LMHOSTS para pre-load uma entrada de C 1 para o controlador de domínio preferencial, é possível controlar que Microsoft resolverá a entrada 1C. NLTEST também pode ser utilizado se a rede foi alterada e o controlador de domínio distante ou lenta não seria possível escolher novamente.

Não é necessário reiniciar o computador quando utiliza o NLTEST.

Método 4: SETPRFDC

Setprfdc.exe está incluído no Windows NT 4.0 Service Pack 4. SETPRFDC utiliza adições ao ficheiro Netlogon.dll para indicar que deve tentar configurar o canal seguro com. Utilização:



SETPRFDC permite-lhe fornece uma lista de controladores de domínio pela ordem em que pretende que eles tentado.

Não é necessário reiniciar o computador quando utiliza SETPRFDC.

Tem de copiar manualmente Setprfdc.exe para a pasta % Windir%\System32 a partir do CD-ROM Service Pack para o 4. Se tiver transferido o Service Pack 4, tem de extrair os ficheiros SP4 com o parâmetro "/ x" e, em seguida, copie manualmente Setprfdc.exe para a pasta % Windir%\System32.

Nota : Setprfdc.exe está disponível apenas na versão de transferência completo Service Pack 4, não na versão de transferência padrão Service Pack 4.

Método 5: NETDOM

NETDOM (incluído no Windows NT Server 4.0 Resource Kit) permite-nos controlar várias funções de domínio ou conta na linha de comandos. Apenas as referentes a canais seguros vão ser abordadas aqui.

Escreva o seguinte para repor um estação de trabalho ou servidor membro:

NETDOM /Domain:mydomain membro omeucomputador /JoinDomain

Escreva o seguinte para repor um controlador de domínio de cópia de segurança:

NETDOM BDC mybdc /RESET

Escreva o seguinte para repor uma relação de fidedignidade:

NETDOM /Domain:MyResourceDomain /User:MyResourceDomain\AUser /Password:apassword MASTER MyMasterDomain MinhaPalavraPasse /TRUST

NETDOM também irá consultar a lista 1C quando restabelecer o canal seguro novo. Se é pré-instalar o controlador de domínio preferencial um ficheiro LMHOSTS, pode controlar a localização do canal protegido.

Para obter mais informações sobre o NETDOM, consulte o ficheiro Netdom.hlp no Resource Kit.

Para obter informações adicionais, consulte os seguintes artigos na base de dados de conhecimento da Microsoft:

Tipos de nó TCP/IP:


Ficheiros LMHOSTS:


NLTEST:


NETDOM: