Описание процесса загрузки и входа в систему Windows 2000
Автоматическая подача заявок на сертификаты клиента
Каждый раз после применения объектов групповой политики происходит автоматическая подача заявок на сертификаты. Во время этого процесса происходит следующее:
- Выполняется проверка статуса сертификатов компьютера. Если имеются проблемы с сертификатами, то выполняется автоматическая подача заявки.
- Выполняется загрузка сертификатов центра сертификации предприятия из корневого хранилища предприятия в Active Directory (процесс известен так же, как доверительная привязка инфраструктуры открытых ключей (PKI trust anchor)).
- Выполняется загрузка сертификатов центра сертификации, способного выдавать сертификаты смарт-карт из Active Directory.
Клиент подает запрос для получения информации LDAP RootDSE (ниже в таблице приведен обмен пакетами), а затем использует LDAP для завершения процесса автоматической подачи заявки.
| Пакет | Источник | Получатель | Протокол | Описание |
|---|---|---|---|---|
| 1 | Клиент | Сервер | DNS | DNS 0x3:Std Qry for _ldap._tcp.Site2._sites.dc._msdcs |
| 2 | Сервер | Клиент | DNS | DNS 0x3:Std Qry Resp. Auth. NS is dcclab.local. |
| 3 | Клиент | Сервер | DNS | DNS 0x4:Std Qry for _ldap._tcp.dc._msdcs.dcclab22.dcc |
| 4 | Сервер | Клиент | DNS | DNS 0x4:Std Qry Resp. Auth. NS is dcclab.local .of |
| 5 | Клиент | Сервер | LDAP | ProtocolOp: BindRequest (0) |
| 6 | Сервер | Клиент | LDAP | ProtocolOp: BindResponse (1) |
| 7 | Клиент | Сервер | LDAP | ProtocolOp: BindRequest (0) |
| 8 | Сервер | Клиент | LDAP | ProtocolOp: BindResponse (1) |
| 9 | Клиент | Сервер | LDAP | ProtocolOp: SearchRequest (3) |
| 10 | Сервер | Клиент | LDAP | ProtocolOp: SearchResponse (simple) (5) |
| 11 | Клиент | Сервер | LDAP | ProtocolOp: UnbindRequest (2) |
| 12 | Клиент | Сервер | LDAP | ProtocolOp: BindRequest (0) |
| 13 | Сервер | Клиент | LDAP | ProtocolOp: BindResponse (1) |
| 14 | Клиент | Сервер | LDAP | ProtocolOp: SearchRequest (3) |
| 15 | Сервер | Клиент | LDAP | ProtocolOp: SearchResponse (simple) (5) |
| 16 | Клиент | Сервер | LDAP | ProtocolOp: UnbindRequest (2) |
| 17 | Клиент | Сервер | LDAP | ProtocolOp: UnbindRequest (2) |
Более подробное рассмотрение третьего пакета показывает, что этот пакет является запросом на получение информации о конфигурации служб открытых ключей, используемых в домене. Ниже показано содержимое одного из пакетов:
LDAP: ProtocolOp: SearchRequest (3) LDAP: ProtocolOp = SearchRequest LDAP: Base Object = CN=Public Key Services,CN=Services,CN=Configuration,DC=dcclab,DC LDAP: Scope = Single Level LDAP: Deref Aliases = Never Deref Aliases LDAP: Size Limit = No Limit LDAP: Time Limit = 0x00002710 LDAP: Attrs Only = 0 (0x0) LDAP: Filter Type = Equality Match LDAP: Attribute Type = cn LDAP: Attribute Value = NTAuthCertificates LDAP: Attribute Value = cACertificate
Синхронизация времени
Затем происходит обновление времени на клиентском компьютере, путем синхронизации с контроллером домена, выполняющим проверку подлинности. Ниже представлен обмен пакетами, соответствующий этому процессу синхронизации. Примите во внимание то, что при этом используется порт 123. Общий объем сетевого трафика, генерируемого при этом, равен 220 байтов.
| Пакет | Источник | Получатель | Протокол | Описание |
|---|---|---|---|---|
| 1 | Клиент | Сервер | NTP | Src порт: неизвестен, (1051); Dst порт: протокол NTP (Network Time Protocol) (123); длина = 76 (0x4C) |
| 2 | Сервер | Клиент | NTP | Src порт: протокол NTP (Network Time Protocol), (123); Dst порт: Неизвестен (1051); длина = 76 (0x4C) |