Proteger manipulação de canal com o TCP/IP

Há vários processos em uma rede Windows NT que exigem estações de trabalho e servidores para estabelecer um canal seguro com um controlador de domínio. Um desses processos é validação de usuário. Uma concepção equivocada é que esse canal seguro será ser formado com o controlador de domínio mais próximo. Na realidade, um computador que esteja executando o Windows NT Workstation ou Server irá estabelecer um canal seguro com o primeiro controlador de domínio a responder a uma solicitação de logon. Porque muitos fatores contribuem para a velocidade de resposta--incluindo velocidade da rede, carga de trabalho, métodos de resolução de nome e ordem de registro WINS--é bem possível para um canal seguro seja estabelecida com um controlador de domínio que vários saltos fora da rede. Isso é desejável raramente e, portanto, se torna necessário tentar controlar a formação de canais seguros.

Este artigo documentará cinco métodos para controlar qual controlador de domínio um canal seguro está configurado para.

Método 1: Resolução de nome de nó M

Windows NT sempre serão difundidos primeiro para configurar um canal seguro; no entanto, não sempre esperará o tempo total fora do período de uma resposta. Definindo explicitamente o tipo de nó para transmissão primeiro (nó m), nós irá esperar mais e dar o controlador de domínio local mais tempo para resposta a nossa solicitação de canal seguro. Este método só funcionará se houver um controlador de domínio no nosso sub-rede local. Se não houver, será ainda consultam o WINS (se especificado) para obter uma lista de controladores de domínio.

Nó H é o tipo de nó padrão de um cliente do Windows NT se for especificado um endereço WINS. Sem um endereço WINS especificado, o nó b modificado é o padrão. Nó H usa primeiro o servidor WINS e, em seguida, serão difundidos para a resolução de nomes. Nó M serão difundidos primeiro na sub-rede local.

Aviso: Usar o Editor do Registro incorretamente pode causar problemas sérios que talvez exijam a reinstalação do Windows. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do registro por sua própria conta e risco.

Para obter informações sobre como editar o registro, consulte o tópico da Ajuda online "Alterando chaves e valores" no Editor do Registro (Regedit.exe) ou "Adicionar e excluir informações no Registro" e "Editar dados de registro" Tópicos da Ajuda online no Regedt32.exe. Observe que você deve fazer backup do registro antes de editá-lo.

1. Execute Regedt32 e vá para a seguinte chave:
   
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters\DhcpNodeType
   
   
   Observação: A chave do Registro acima é um caminho; foram quebrada para facilitar a leitura.
2. Mude para 0 x 00000004 para nó m ou nó misto.
   
   Os valores possíveis são:
   
   0x00000008 for hybrid node or h-node 0x00000004 for mixed node or m-node 0x00000002 for point-to-point WINS or p-node 0x00000001 for broadcast node or b-no

- ou -

Se os clientes em questão estiverem usando DHCP, use DHCP para alterar o tipo de nó de clientes DHCP. No entanto, isso irá alterar o tipo de nó em todos os computadores atendidos por esse escopo.


Depois de alterar o tipo de nó, reinicie o computador para que as alterações tenham efeito.

Método 2: Arquivo LMHOSTS

Quando um computador que esteja executando o Windows NT configura um canal seguro, será usado para o domínio que ele precisa entrar em contato com a entrada NetBIOS 1C. Para um computador executando o Windows NT Server ou Workstation, esse será seu próprio domínio. Para um controlador de domínio, será necessário entrar em contato com todos os domínios confiáveis. Para adicionar um C 1 para um controlador de domínio preferencial, verifique se a propriedade de TCP/IP Ativar exame de Lmhosts é selecionada. Edite ou crie o arquivo LMHOSTS no diretório %SystemRoot%\system32\drivers\etc. Adicione uma entrada para o domínio com o qual você deseja controlar o canal seguro. A entrada deve ter aparência:

O nome de domínio deve ser preenchido com caracteres suficientes para torná-lo 15 caracteres. Deve haver exatamente 20 caracteres dentro de cotações. Para evitar problemas que podem surgir de caracteres não ASCII e extensões ocultas, o uso de notepad.exe é desencorajado. Edit.com é um editor de ASCII true e seu uso é altamente recomendável. O arquivo LMHOSTS precisa ter várias linhas em branco na parte inferior.

Quando tiver terminado, use NBTSTAT -R (deve estar em letras maiúsculas) e, em seguida, NBTSTAT - c para verificar que a entrada é agora no cache NetBIOS.

Para:

Quando utilizado sozinho, teremos que reiniciar o computador para estabelecer um novo canal seguro; no entanto, um arquivo LMHOSTS pode estar com os seguintes métodos para apontar o canal seguro para um servidor desejado.

Observação: Se é pré-carregar a entrada 1C e não é possível conectar ao servidor, em seguida, nós não poderá se conectar a qualquer controlador de domínio. Isso pode resultar em 5719 erros e/ou que está sendo conectado com credenciais armazenadas em cache.

Método 3: NLTEST

NLTEST (incluído com o Windows NT Server 4.0 Resource Kit) permitirá que nós para determinar que nosso canal seguro é configurado com e também para forçá-lo a restabelecer o canal seguro. Para determinar que o canal seguro é configurado com, digite o seguinte em um prompt de comando:

NLTEST /SC_QUERY: <DOMAIN_NAME_TO_CHECK>

Para restabelecer um canal seguro, use o parâmetro:

NLTEST /SC_RESET: <DOMAIN_NAME_TO_RESET>

A primeira coisa que NLTEST faz para restabelecer um canal seguro é consultar a rede para a lista de C 1 para o domínio. Usando NLTEST e um arquivo LMHOSTS para pré-carregar uma entrada 1C para nosso controlador de domínio preferencial, pode controlar que nós resolverá a entrada 1C. NLTEST também pode ser usado se a rede foi alterada e o controlador de domínio lentas ou distantes não deve ser escolhido novamente.

Você não precisa reiniciar o computador quando você usa NLTEST.

Método 4: SETPRFDC

Setprfdc.exe está incluído no Windows NT 4.0 Service Pack 4. SETPRFDC usa adições no arquivo Netlogon.dll dizer que ele deve tentar configurar o canal seguro com. Uso:



SETPRFDC permite que você fornecer uma lista de controladores de domínio a ordem que você deseja que eles tentado.

Você não precisa reiniciar o computador quando você usa SETPRFDC.

Você deve copiar manualmente Setprfdc.exe para a pasta % Windir%\System32 partir CD-ROM do Service Pack 4. Se você baixou o Service Pack 4, você deve extrair os arquivos SP4 com a opção "/ x" e copie manualmente Setprfdc.exe para a pasta % Windir%\System32.

Observação : Setprfdc.exe está disponível somente na versão de download completo do Service Pack 4, não na versão de download padrão Service Pack 4.

Método 5: NETDOM

NETDOM (incluído com o Windows NT Server 4.0 Resource Kit) permite controlar várias funções de domínio ou conta a partir da linha de comando. Apenas aquelas relacionadas a canais seguros serão discutidas aqui.

Digite o seguinte para redefinir um servidor membro ou estação de trabalho:

NETDOM /Domain:mydomain MEMBER meucomputador /JOINDOMAIN

Digite o seguinte para redefinir um controlador de domínio de backup:

BDC NETDOM mybdc /RESET

Digite o seguinte para redefinir uma relação de confiança:

NETDOM /Domain:MyResourceDomain /Password:apassword /User:MyResourceDomain\AUser MASTER MyMasterDomain minhasenha /TRUST

NETDOM também irá consultar a lista 1C quando restabelecer o novo canal seguro. Se é pré-carregar nosso controlador de domínio preferencial em um arquivo LMHOSTS, pode controlar o local do canal seguro.

Para obter mais informações sobre NETDOM, consulte o arquivo Netdom.hlp no Resource Kit.

Para obter informações adicionais, leia os seguintes artigos na Base de dados de Conhecimento da Microsoft:

Tipos de nó TCP/IP:


Arquivos LMHOSTS:


NLTEST:


NETDOM: