2008r2域内，客户端身份验证问题

全部回复

• 

  

  0

  登录进行投票

  Hi ,

  >>同一站点内，有3台dc，都是gc，客户端pc登录操作系统或访问域内资源连接服务器进行身份验证是在一台特定dc（fsmo所在dc)，还是3台dc随机连接进行身份验证？

  这涉及到DC locator的工作原理：
  
  1.当客户端在登陆时，会向DNS查询SRV记录和A记录，DNS会按照SRV设置的权重顺序来返回DC的IP地址。（您也可以通过设置SRV的权重和优先级来控制站点中DC的响应顺序）
  
  2.一旦知道了地址，客户端就会依次向DC发送一个LDAP“Ping”。在发送每个数据包之后，客户端等待响应，如果没有收到响应，则它将数据包发送到下一个域控制器。客户端继续此过程，直到它收到指定所请求服务或已尝试所有域控制器的有效响应。

  
  

  
  

  详细的信息可以参考以下的文章：

  The DC Locator Process, The Logon Process, Controlling Which DC Responds in an AD Site, and SRV Records

  https://blogs.msmvps.com/acefekay/2010/01/03/the-dc-locator-process-the-logon-process-controlling-which-dc-responds-in-an-ad-site-and-srv-records/

  Domain Controller Locator : an overview

  https://blogs.technet.microsoft.com/arnaud_jumelet/2010/07/05/domain-controller-locator-an-overview/

  >>ntlm/kerberos是否选择认证服务器的方式都是一致的？

  ntlm是一种基于challenge/response消息交互模式的认证过程，而kerberos是一种集中式的认证方式。

  NTLM和Kerberos之间的主要区别是需要连接到域控制器。在Kerberos中，客户端必须从密钥分发中心（KDC）请求Kerberos票证，这是一个驻留在域控制器上的进程。在NTLM中，服务器通过联系域控制器来验证客户端的NTLM凭据。

  请参考下图中NTLM和kerberos的认证过程：

  

  

  此致

  Candy

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

  
  
  

  • 已编辑 Candy LuoMicrosoft contingent staff, Moderator 2019年3月6日 8:18
  • 已标记为答案 nelson2004 2019年3月7日 2:45
  • 取消答案标记 nelson2004 2019年3月7日 2:47

  2019年3月6日 8:16

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  十分感谢您的解答

  请教域内访问共享文件服务器，共享打印机，是用ntlm还是kerberos?

  • 已编辑 nelson2004 2019年3月7日 2:50

  2019年3月7日 2:45

  回复

  |

  引用
• 

  

  0

  登录进行投票

  Hi ,

  如果是使用的FQDN的访问方式，比如说：\server1\share，使用的是kerberos的验证方式。

  如果是使用的IP地址进行访问，则使用的是NTLM的访问协议。

  此致

  Candy

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

  • 已标记为答案 nelson2004 2019年3月7日 8:08
  • 取消答案标记 nelson2004 2019年3月7日 8:14

  2019年3月7日 3:19

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  十分感谢您的回答

  1/是否有文档或官方说明，描述访问域内资源时会使用何种认证方式？

  2/如果其中一种方式不可用，是否会尝试使用另一种方式验证？

  • 已编辑 nelson2004 2019年3月7日 8:16

  2019年3月7日 8:09

  回复

  |

  引用
• 

  

  0

  登录进行投票

  Hi ,

  请参考以下的链接：

  SMB share access By IP

  https://social.technet.microsoft.com/Forums/en-US/200ad716-a1d3-4100-b9fb-7ac1ebc054c2/smb-share-access-by-ip?forum=w7itpronetworking

  Kerberos is not used when you connect to SMB shares by using IP address

  https://support.microsoft.com/en-ph/help/322979/kerberos-is-not-used-when-you-connect-to-smb-shares-by-using-ip-addres

  Network security: LAN Manager authentication level
  

  https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level

  

  AD中默认是使用kerberos的认证方式，在kerberos的认证方式出现问题的情况下，才会去尝试使用NTLM。另外在以IP地址进行访问域内共享资源的时候，使用的是NTLM的验证方式。
  

  此致

  Candy

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

  
  
  

  • 已编辑 Candy LuoMicrosoft contingent staff, Moderator 2019年3月7日 10:28
  • 已标记为答案 nelson2004 2019年3月8日 2:13

  2019年3月7日 10:27

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  十分感谢您的回答

  2019年3月8日 2:13

  回复

  |

  引用
• 

  

  0

  登录进行投票

  Hi ,

  很高兴回复对您所帮助，后续有任何问题您可以随时开贴咨询。

  PS：如果在已回复的消息中进行编辑，我们这边是收不到提示消息的，为了能够及时看到您的消息并且回复您的信息，建议您是另外回复。

  祝您工作愉快！

  此致

  Candy

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   

  2019年3月8日 2:19

  回复

  |

  引用

  版主