Описание процесса загрузки и входа в систему Windows 2000
Проверка подлинности Kerberos и установление сеанса
После установления безопасного канала клиент получает все билеты, необходимые для установления IPC$-сеанса с контроллером. Поскольку все контроллеры домена Windows 2000 также являются центрами KDC, клиент попытается обнаружить наиболее близкий к нему центр KDC тем же способом, какой он использовал для обнаружения LDAP-служб.
Первое, что необходимо сделать клиенту – это осуществить проверку подлинности в виде обмена билетами AS. В случае успешного завершения проверки он запрашивает билет для контроллера (имя компьютера$ (computer name$)) и службы Kerberos (krbtgt), запущенной на контроллере. Обмен пакетами генерирует трафик общим объемом приблизительно в 8 килобайт. В действительности объем может быть другим в зависимости от количества глобальных (Global) и универсальных (Universal) групп, членами которых является клиент. На каждую такую дополнительную группу приходится приблизительно еще по 28 байтов.
| Пакет | Источник | Получатель | Протокол | Описание |
|---|---|---|---|---|
| 1 | Клиент | Сервер | SMB | DNS 0x3:Std Qry for _kerberos._tcp.Default-First-Site- Name._sites.dc._msdcs.DCCLAB.LOCAL. of type Srv Loc on class INET |
| 2 | Сервер | Клиент | SMB | DNS 0x3:Std Qry Resp .for _kerberos._tcp.Default-First-Site- Name._sites.dc._msdcs.DCCLAB.LOCAL. of type Srv Loc on class |
| 3 | Клиент | Сервер | LDAP | LDAP ProtocolOp: SearchRequest (3) |
| 4 | Сервер | Сервер | LDAP | LDAP ProtocolOp: SearchResponse (4) |
| 5 | Клиент | Сервер | Kerberos | Kerberos KRB_AS_REQ (запрос TGT) |
| 6 | Сервер | Клиент | Kerberos | Kerberos KRB_AS_REP |
| 7 | Клиент | Сервер | Kerberos | Kerberos KRB_TGS_REQ (запрос DC$) |
| 8 | Сервер | Клиент | Kerberos | Kerberos KRB_TGS_REP |
| 9 | Клиент | Сервер | R_LOGON | Kerberos KRB_TGS_REQ (запрос Kerberos Service) |
| 10 | Сервер | Клиент | R_LOGON | Kerberos KRB_TGS_REP |
Все билеты, получаемые клиентом, можно просмотреть с помощью утилиты Kerbtray из пакета Microsoft Resource Kit.
В итоге клиент может подключиться к общему ресурсу IPC$ контроллера, при этом будет сгенерированно приблизительно 3.600 байтов трафика.
| Пакет | Источник | Получатель | Протокол | Описание |
|---|---|---|---|---|
| 1 | Клиент | Сервер | SMB | SMB C настройка сеанса & X |
| 2 | Сервер | Клиент | SMB | SMB R настройка сеанса & X |
| 3 | Клиент | Сервер | SMB | SMB C подключение дерева & X, Общий ресурс = \\DCCLAB22.DCCLAB.LOCAL\IPC$ |
| 4 | Сервер | Клиент | SMB | SMB R подключение дерева & X, Тип = IPC$ |