返回
ad域认证问题的日常定位方法

ad域认证问题的日常定位方法

ID:8913350

大小:88.00 KB

页数:7页

时间:2018-04-12

ad域认证问题的日常定位方法_第1页
ad域认证问题的日常定位方法_第2页
ad域认证问题的日常定位方法_第3页
ad域认证问题的日常定位方法_第4页
ad域认证问题的日常定位方法_第5页
资源描述:

《ad域认证问题的日常定位方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、AD域认证问题日常定位方法1引子目前TSM的AD域认证过程中经常出现问题,由于AD系统庞大而且终端代理使用第三方库执行主要认证业务,所以AD域认证过程中的问题很难定位和解决。鉴于此,特将之前用于定位AD域认证问题的一些经验总结一下,方便今后开发和测试的同事在现场定位问题。2AD域认证过程介绍TSM系统的AD域认证过程主要涉及到三个角色,分别是:TSM服务器、AD域控、终端代理。TSM和AD的联动认证是基于标准的Kerberos协议,标准的Kerberos认证流程如下:TSM在此基础上做了一些调整,主要是第5步和第6步的交互,

2、其交互信息是通过SSL来加密的。具体交互流程图如下所示:从上面的交互流程图可以看出来,整个交互过程分为3个阶段分别是:AS(AuthenticationServiceExchange)、TGS(TicketGranting ServiceExchange)、AP(Client/ServerExchange)。在AS阶段,主要验证的是当前用于进行AD域认证的用户是当前AD域控上的合法用户。所以一般如果用户名或者密码错误时将会在这个阶段得到AD返回的错误信息。此外如果出现TSM服务器和AD上的时间偏差较大的时候也会在这个阶段出错

3、。在TGS阶段,主要是终端代理获取其要请求的认证服务的票证的过程,如果这个时候请求的认证服务不存在,则在第4步返回的错误信息中指示KDC_ERR_S_PRINCIPAL_UNKNOWN,表明当前请求的服务不存在。之前在大足的AD域联动测试中就出现了这个问题。在AP阶段,服务器将会验证终端代理发送的TGS,来决定当前认证用户是否具有访问当前请求的认证服务的权限。1基本问题定位方法1.1验证网络是否可达在定位AD域认证相关的问题时,首先第一点是验证网络是否可达即,是否能够访问你当前AD域控。在这种情况下首先在系统的命令行提示下p

4、ing目标主机(AD域控所在的机器)的IP地址,如果能够ping通目标主机则证明网络链路是可达的,如果ping不通此时请首先检查网络链路。在上面网络链路可达的基础上需要验证域名解析是否正确,此时在系统命令提示下pingAD域名,如果能够ping通则证明域名解析是没有问题的。相反如果无法ping通目标域名,此时首先请检查当前激活链接的网卡上的DNS配置确保其配置指向的是AD所对应的DNS服务器的地址,并且同时要检查一下当前系统的53端口是否被防火墙或者主动防御软件给禁止掉,确保53端口是开放的。对于上一步或者在终端上使用nsl

5、ookup也可以达到相同作用。1.1验证本地是否可以正确的和AD域控进行通信在网络可达的基础上,如果还是出现AD域认证不通过的问题时,需要验证终端系统能否和AD域控进行通信。首先验证一下本地的TCP/UDP的88端口是否是开放的,需要查看本地防火墙配置是否禁止了88端口,88端口是用于Kerberos认证的。在终端利用微软提供的工具ldp.exe来连接AD域控的389端口,如果连接失败请查看AD域控上的配置。1.2检查认证报文在上面两步后如果还是出现AD认证不通过的问题后,此时需要进行抓包操作。通过报文来分析问题。抓包过程描

6、述如下:1.找一台未加入域的PC机作为测试机;2.将这台测试机的DNS服务器设为本地的域控(除本地域控外,请不要设置其他的DNS服务器);3.重启测试机(这一步用来清除LSA中缓存的kerberosticket);4.从下面的连接下载NetworkMonitor3.1工具,并安装到测试机上:http://www.microsoft.com/downloads/details.aspx?FamilyID=18b1d59d-f4d8-4213-8d17-2f6dde7d7aac&DisplayLang=en5.运行Netmon3

7、.1工具,并选择“File->New->Capture”;6.如果该计算机上有多个网络连接,在”SelectNetworks”中,选择我们所关心的封包所流经的连接(比如LocalAreaConnection);1.在菜单中,选择Tools->Options->Capture,并将临时捕捉文件的大小调整为20Megabytes;2.在菜单中,选择“Capture->Start”,开始抓包;3.尝试进行AD域认证;4.在Netmon工具界面中选择“Capture->Stop”停止抓包;5.选择“File->Saveas”,将网络

8、抓包保存为joindomain.cap文件;具体分析请参考上面的AD认证流程和下面的错误信息表:KerberosErrorNumberKerberosErrorCodeDescription0x3KDC_ERR_BAD_PVNORequestedprotocolversionnumbern

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。