Обзор компонентов Windows 2000
Служба времени
В состав Windows 2000 входит служба времени W32Time (Windows Time), предоставляющая механизм синхронизации системного времени в домене между клиентами Windows 2000. Синхронизация времени происходит во время процесса загрузки компьютера.
Для выполнения синхронизации используется следующая иерархия систем в домене:
- Все клиентские настольные компьютеры используют в качестве источника времени свой контроллер домена.
- Все рядовые серверы используют тот же источник, что и клиентские настольные компьютеры.
- Все контроллеры домена используют Хозяев операций (Operations Masters) первичного контроллера домена (Primary domain controller, PDC) в качестве источника синхронизации.
- При выборе источника синхронизации хозяева операций первичного контроллера домена руководствуются иерархией доменов.
Примечание
Хозяева операций описываются в Главе "Руководство по распределенным системам" документации Windows 2000 Server Resource Kit (Distributed Systems Guide Windows 2000 Server Resource Kit) (EN).
Для получения дополнительной информации обратитесь к следующим материалам:
- Статья 216734, в которой описывается процесс синхронизации времени, а также выбор авторизованного источника времени.
- Документы RFC: 1769, 2030.
Методы проверки подлинности в домене Windows 2000
В ОС Windows 2000 поддерживаются два разных метода проверки подлинности при входе в домен: Kerberos и NTLM. Использование Kerberos в качестве протокола аутентификации в ОС Windows 2000 изменяет используемый по умолчанию Windows протокол NTLM на протокол, использующий стандарты сети Интернет.
Протокол проверки подлинности, используемый по умолчанию в ОС Windows 2000, основан на протоколе Kerberos версии 5. Этот протокол разработан Массачусетским технологическим институтом (Massachusetts Institute of Technology, MIT) и описан в документе RFC 1510. Использование протокола Kerberos при проверке подлинности полностью изменяет способ обмена данными безопасности между клиентами, серверами и контроллерами домена в сети Windows.
При использовании протокола Kerberos клиенты запрашивают у центра распространения ключей (Key Distribution Center, KDC) так называемые билеты сеанса. Билеты сеанса содержат информацию, которую может использовать сервер для проверки того, может ли клиент пройти проверку подлинности на данном сервере. Затем клиент использует эти билеты при проверке подлинности для получения доступа к необходимым ему ресурсам. Kerberos обеспечивает только перенос необходимой для проверки подлинности информации от клиента к тому ресурсу, к которому он пытается получить доступ. Kerberos не обеспечивает авторизацию для получения доступа к ресурсам. Он только осуществляет перенос информации, необходимой для авторизации, к системам.
В целях обеспечения совместимости со старыми системами в ОС Windows 2000 оставлена возможность использования NTLM-аутентификации. Клиенты Windows 2000 будут использовать протокол NTLM для проверки подлинности в том случае, если они работают в домене, основанном не на ОС Windows 2000, в качестве члена домена NT 4 или рабочей группы, а также в том случае, если необходимо работать со старыми приложениями, использующими протокол NTLM при проверке подлинности.
Далее более подробно будет рассмотрен протокол проверки подлинности Kerberos, а также будет рассмотрено его использование во время загрузки и входа в систему. Протокол NTLM, используемый при запуске и входе в систему, остался таким же, как и в Windows NT 4.0. Он подробно описан в книге Организация служб предприятия Active Directory: полевые заметки (Notes from the Field series book Building Enterprise Active Directory Services) (EN).
Для получения дополнительной информации обратитесь к следующему документу "Руководство по распределенным системам" документации Windows 2000 Resource Kit (Windows 2000 Resource Kit: Authentication; Distributed Systems Guide).