活動目錄驗證過程原理。我想了解AD內(nèi)，一臺電腦向DC提交驗證的具體過程。從client pc啟動到發(fā)現(xiàn)DC,然后向DC提交驗證數(shù)據(jù)，***完成驗證。期間使用那些端口，那些協(xié)議，怎樣的驗證過程？麻煩提供一個詳細(xì)點的文章，謝謝！

回答：根據(jù)您的描述，我對這個問題的理解是：您想了解一臺電腦向DC提交驗證的具體過程。

如果您所用的客戶操作系統(tǒng)不是Windows 3.1, Windows 95, Windows98, Windows NT, 也即您的客戶機系統(tǒng)是Windows 2000及以上，并且DC也是Windows 2000及以上，那么驗證過程使用的是Kerberos協(xié)議。如果您的客戶機或者DC之一是Windows 2000以下，則驗證使用的是NTLM協(xié)議。在Windows 2000及以上的域環(huán)境中，默認(rèn)的驗證協(xié)議是Kerberos v5。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1

我們假設(shè)現(xiàn)在用戶是在一個Windows 2003的域環(huán)境。當(dāng)一臺客戶機登錄域時，客戶按下CTRL+ALT+DEL, 機器的 Winlogon 服務(wù)在轉(zhuǎn)到登錄的界面前，會觸發(fā) Winlogon的組件之一GINA DLL。GINA會顯示登錄界面，同時 GINA 也負(fù)責(zé)收集用戶登錄的數(shù)據(jù)，打包成數(shù)據(jù)單位，然后送給LSA認(rèn)證。用戶輸入用戶名及密碼，選定域。當(dāng)按下確定時， GINA 把用戶信息傳給Winlogon。 Winlogon 把信息傳給 LSA。 LSA 使用LsaLogonUser進(jìn)行驗證. 就在此時，LSA開始使用Kerberos V5驗證協(xié)議開始驗證。

LSA收到用戶密碼后，使用DES-CBC-MD5加密方法加密生成一個Key。（所以Kerberos version 5驗證協(xié)議必須支持DES-CBC-MD5）。這個Key就是用戶密鑰。LSA 與Kerberos SSP 互動，得到TGT Ticket和service ticket. 使用這些ticket, LSA就可以和KDC（Key Distribution Center密鑰分發(fā)中心）交換信息。（客戶機通過DNS查詢來定位KDC，每臺DC都是在DNS注冊過的KDC）。通過和KDC的互動，客戶機使用 Kerberos發(fā)送消息 KRB_AS_REQ 給KDC。該消息包括用戶名，域以及生成的密鑰。KDC 從其數(shù)據(jù)庫中找到用戶及用戶密鑰，對比結(jié)果，如果用戶及密鑰都相同，則該用戶被允許登錄。但此時用戶僅僅是能登錄，如果要做其余的動作，比如瀏覽共享文件夾等，則用戶要先與KDC做近一步的互動。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1

以上所提到的具體信息，請參考http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true

從上我們可以看到，用戶登錄域，必須先通過DNS定位KDC，然后使用Kerberos驗證協(xié)議。這2步是必須的。DNS使用的是TCP和UDP的53端口，Kerberos使用的是TCP和UDP的88端口。所以對于您的問題，可以看到，登錄使用的協(xié)議是Kerberos V5,端口是TCP和UDP的53和88。

http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true

本文出自 gnaw0725 的BLOG 詳情請參閱博客

【編輯推薦】

1. 《Windows運維月刊》第二期：活動目錄的災(zāi)備與恢復(fù)
2. 什么是活動目錄ActiveDirectory？
3. 讓活動目錄環(huán)境更省錢、更精簡的五個提示
4. 活動目錄的域控制器中如何創(chuàng)建漫游用戶？
5. 使用ADMT進(jìn)行活動目錄遷移的準(zhǔn)備工作