百利工頭 - Powered by Discuz! Board

標題: 看不到 "不同網段,但為相同 AD 網域" 的電腦 [打印本頁]

作者: chun 時間: 2008-6-30 13:58 標題: 看不到 "不同網段,但為相同 AD 網域" 的電腦

http://www.pczone.com.tw/vbb3/archive/t-118566.html

原始網頁我找不到 = ="

●Computer Browser 機制

　常常有學生在問：
　1. 為什麼明明電腦已經開了，別人卻無法在網路芳鄰中看到？
　2. 或者明明電腦已經關閉，別人卻還可以在網路芳鄰中看到？
　3. 為什麼打開網路芳鄰時，會等粉久？(一支手電筒在那裡照來照去)

聖哥就在此詳細說明一下什麼叫做 Computer Browser 機制：

A.在一個子網路 (subnet) 中，有以下幾種不同角色的 Browser，
　1.Domain Master Browser
　　當網路中有 Windows 網域 (domain) 時，每個網域中都會有唯一部的
　　Domain Master Browser，在 NT 網域中是由 PDC (Primary Domain
　　Controller) 擔任、在 2000 網域中則是由具有 PDC Emulator 這個
　　Operation Master Role 的 DC 擔任。Domain Master Browser 會記錄
　　一份 Browse List (內含網域中所有的線上伺服器)、以及其它網域或
　　工作群組的名稱，這一份清單會複製給其它子網路 (subnet) 的 Master
　　Browser，並合併至它們的 Browse List 中。
　2.Master Browser:
　　一個子網路中只會有一部開機的電腦是 Master Browser，在這部電腦
　　的記憶中有一份 Backup Browsers List，用來記錄這個子網路中有那
　　些電腦正扮演 Backup Browser 的角色；另外還有一份 Browse List，
　　用來記錄這個子網路中有那些電腦正在線上，並會將這份清單複製給
　　Backup Browsers。
　3.Backup Browser
　　一個子網路中可以有一部以上的 Backup Browser，在這些 Backup
　　Browser 電腦的記憶體中有一份 Browse List，記錄了這個子網路
　　中有那些電腦正在線上 (已開機)。
　4.Potential Browser
　　一個子網路中可以有一部以上的 Potential Browser，這些電腦平時並
　　沒有什麼作用，但是當 Backup Browser 掛掉時，可以昇級為 Backup
　　Browser。

B.當一部電腦開機完成時:
　1.廣播自己的電腦名稱、群組名稱或網域名稱、IP。
　2.Master Browser 收到這廣播之後，會將該電腦的資料加入 Browse
　　List 中，供其它電腦查詢，並且會將這份清單複製給 Backup Browsers。
　3.開機後每隔 12 分鐘，還會再再行廣播註冊一次。

C.當一部電腦關機時:
　1.廣播自己的電腦名稱、群組名稱或網域名稱、IP。
　2.Master Browser 收到這廣播之後，會將該電腦的資料從 Browse
　　List 中移除，表示該電腦已經不在線上了，
　　並且會將這份清單複製給 Backup Browsers。

D.當一部 client 端電腦打開網路芳鄰時:
　1.該電腦會發出廣播，尋找該子網路中的 Master Browser。
　2.Master Browser 收到廣播後，會回應 client 端。
　3.client 端電腦向 Master Browser 發出「取得 Backup Browsers List」的要求。
　4.Master Browser 收到要求後，將 Backup Browsers List 送給 client 端。
　5.client 端從 Backup Browsers List 中選取一部 Backup Browser。
　6.client 端電腦向 Backup Browser 發出「取得 Browse List」的要求。
　7.Backup Browser 收到要求後，將 Browse List 送給 client 端。
　8.client 端收到 Browse List 之後，畫面上就出現一堆電腦的圖示與名稱。

E.當一部 client 端電腦在網路芳鄰中打開某一個電腦圖示時:
　1.client 端向該電腦發出「取得 Shares List」的要求。
　2.該電腦到到要求之後，將 Shares List 回傳給 client 端，這 Shares List 中
　　包含了所有分享的資料夾。
　3.client 端收到 shares List 之後，畫面上就出現一堆分享的資料夾圖示與名稱了。

F.為什麼明明電腦已經開了，別人卻無法在網路芳鄰中看到？
　那是因為電腦開機時的廣播，Master Browser 沒處理，所以在 Browse List 中
　自然就不會有該部電腦的資料，clinet 端自然查不到了。

G.或者明明電腦已經關閉，別人卻還可以在網路芳鄰中看到？
　那是因為電腦關機時的廣播，Master Browser 沒處理，所以在 Browse List 中
　該部電腦的資料沒移除，clinet 端自然還會看到。

H.為什麼打開網路芳鄰時，會等粉久？(一支手電筒在那裡照來照去)
　那是因為 Master Browser 或 Backup Browser 掛掉了，所以在 client 廣播尋找
　Master Browser 時，或者向 Backup Browser 要求資料時，得不到回應，這時候
　client 端會發出 vote (投票) 廣播，要求由 Backup Browsers 中選出一個擔任
　新任的 Master Browser，並且從 Protential Browsers 中選出一個擔任新任的
　Backup Browser，所以會等很久，選舉的規則如下：
　1.新的作業系統優先，例如 Windows 2000 比 Windows NT 優先當選。
　2.如果作業系統相同，則比較版本，例如 NT 4.0 > NT 3.51。
　3.如果版本相同，則比較修正版，例如 SP2 > SP1。
　4.如果修正版也相同，就比較誰比較先開機。

相關文章:
　如何讓電腦不要出現在網路芳鄰上？
　如何自訂 Browser 角色
　如果 Browser 剛好是 router

作者: 巨匠電腦顧問講師曹祖聖

●Kerberos V5 使用者驗證過程

　聖哥來談一談當 client 端登入網域、並存取網域中某個伺服器的服務時，整個Kerberos V5 使用者驗證過程 :

1. client 端將使用者帳戶密碼或 smart card 資訊送給 KDC (Key Distribution Center) 做身份驗證。
2. 身份驗證無誤後，KDC 會發給 client 一個 ticket-granting ticket (TGT)，這個 TGT 主要是用來允許 client 端存取 DC 上的 ticket-granting service (TGS)。
3. client 端將 TGT 送給 TGS，由 TGS 發出 service ticket 給 client 端，這個 service ticket 主要是用來允許 client 端存取所需要的網路服務，裡面包含了使用者的識別資訊和服務的識別資訊。
4. client 將 service tocket 送給所要存取的伺服器上的服務，進行存取。

這個 TGT 的 life time 預設是 10 小時，可以透過 Group Policy 來設定 (小時)：
Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy\Maximum lifetime for user ticket

TGT 的 renew 時間預設是 7 天一次，也可以透過 Group Policy 來設定 (天)：
Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy\Maximum lifetime for user ticket renewal

另外 service ticket 的 life time 預設是 10 小時，也可以透過 Group Policy 來設定 (分鐘)：
Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy\Maximum lifetime for service ticket
這個值一定要小於等於 Maximum lifetime for user ticket 的值。

相關文章 :
session ticket 的檢驗
Kerberos 時間同步問題

作者: 巨匠電腦顧問講師曹祖聖

●Kerberos 時間同步問題

　大家一定都遇過一件事，那就是只要 client 只要時間和 DC (domain controller) 不一樣，那麼不管要做什麼事，只要是有關安全性的，例如登入、AD 系統管理、...等等，都會有問題，聖哥先談談為什麼會這樣。

因為如果時間不同步，那麼就可以使用 "replay attacks" 這種網路攻擊，例如我從網路上截取到對 AD 的管理 request，那麼我就可以重覆發送這個 request，因為這個 request 是合法且經過驗證無誤的，所以 DC 就必須處理，如此最少就可以癱瘓 DC，因此在 Kerberos V5 通訊協定定義中，就包含了 time stamps ，以避免 "replay attacks"，就算 DC 收到兩個一模一樣的 request，但是從 time stamps 上就可以得知真假了。

不過 client 的時間往往無法非常精確的和 DC (是跟 PDC Emulator 做時間同步) 進行同步，尤其是網路不穩定時，為了解決這個問題，我們可以將可容許的時間誤差加大，設定方法：只要設定以下的 Group Policy 選項即可：

Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy\Maximum tolerance for computer clock synchronization

凡是小於這個值的時間差，都視為時間一樣，不過要小心，別設定太大了，否則會危及 AD 安全性。

相關文章:
Kerberos V5 使用者驗證過程
session ticket 的檢驗

作者: 巨匠電腦顧問講師曹祖聖

●session ticket 的檢驗

　之前我們在北認做 MCT 研討時，大家一直有一個爭議就是，使用者的 access token 是不是會在 client 端與 server 端之間傳輸，經聖哥查證後，證實 access token 是不會在網路上傳輸的，因為 access token 是由 security sub system 所產生，只是用來做 local 端的 ACL (Access Control List) 比對 ... 等 permissions 與 rights 檢驗用，但是代表使用者的 session ticket 則會隨著每一個 client 端的 request 送到 server 上。

那麼這個 session ticket 是第一次連上來 server 時由 KDC (Kerberos V5 Key Distribution Center) 才檢查，還是每次 request 都檢查呢？答案是每次，這樣可以提昇安全性，但是相對的也就降低系統的效能了，所以我們可以停用以下的 Group Policy 選項：

Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy\Enforce user logon restrictions

這樣就只檢驗第一次，往後只要在同一個連線中，不管是多少 request ，就都不必再每次跟 KDC 做檢查了，這樣可以提昇系統效能，不過卻降低了安全性。

相關文章:
Kerberos V5 使用者驗證過程
Kerberos 時間同步問題

作者: 巨匠電腦顧問講師曹祖聖

●VPN 通道通訊協定

　聖哥來解釋一下 VPN 所用的兩種通道通訊協定，
以下摘錄自我寫的「Windows XP網路解決方案」一書，請勿轉載。

VPN 要達成安全通訊的要求，最基本的就是要有一套完整的通道通訊協定 (Tunneling Protocol)，通道通訊協定主要是用來進行 VPN 通道的建立 (通道安全性的驗證) 與資料的傳輸 (通道的加密)，目前應用在 VPN 的通道通訊協定有下列兩種：

1. PPTP (Point to Point Tunneling Protocol)
　　PPTP (點對點通道通訊協定) 是最常見的一種通道通訊協定，只能用在以 TCP/IP 為連線基礎的網路上 (例如 Internet)，它所使用的加密技術是 MPPE (Microsoft Point to Point Encryption) 加密法，在 MPPE 中可以使用 40 bits 或 128 bits 的密碼來進行資料的加密 (加密 PPP 封包，如下圖 PPTP.jpg 灰色部份)，除此之外PPTP也會針對封包資料加以壓縮。
　　由於同一台電腦可以同連接到多部 VPN 伺服器，因此在 PPTP 封包中必須註明該封包是來自那一個通道，因此每一個 VPN 封包上都必須有一個「通道識別碼」，用來識別這個封包是來自那一個通道，在 PPTP 中「通道識別碼」是存放在GRE (General Routing Encryption) 表頭中。
　　至於連接埠的使用方面，PPTP 和 GRE 則是分別使用 1723 和 47 兩個連接埠，如果 VPN 伺服器是位於防火牆內部，則防火牆外部 VPN 用戶端如果要與 VPN 伺服器建立 VPN 通道，在防火牆的設定上要特別注意。

2. L2TP (Layer 2 Tunneling Protocol)
　　L2TP (第二層通道通訊協定) 可以應用在不同的網路系統上，包含 TCP/IP、X.25、ATM、… 等網路都可以使用L2TP來建立VPN通道，因此應用範圍要比 PPTP 廣泛得多。L2TP 使用 IPSec (IP Security) 加密機制 (有 DES 和 3DES 兩種加密等級可供選用) 來加密資料 (加密 L2TP 封包，如下圖 L2TP.jpg 灰色部份)，除此之外，L2TP 和 IPSec 兩者都內建壓縮機制。
　　由於是使用 IPSec 加密機制，因此除了加密之外，在整個封包的結尾上也附加了 IPSec 驗證資訊，用來進行 VPN 通道的驗證，安全性又比 PPTP 高上一層。
至於連接埠的使用方面，由於 L2TP 是使用 UDP 做為「通道識別碼」的儲存位置，因此直接使用 UDP 1701 連接埠，不需要如同 PPTP 一樣另外定義一個 GRE 表頭。

作者: 巨匠電腦顧問講師曹祖聖

●用戶端接通 VPN 之後無法上 Internet

　問題：
Client to Server 的 VPN 模式下, Client 端在 Internet 上 (已先撥接 ISP 連上internet), 利用 VPN 撥接進入公司的 VPN Server 裡, 雖然可以從外部順利與公司內部通連, 但是在外部的 Notebook 則會因為 VPN 撥通而無法在同時間連上 Internet，如何解決？

解答：
只要把 Client 端的 VPN 撥號連線裡的通訊協定--TCP/IP-- 進階的使用遠方閘道打勾去掉 (預設值會打勾), 就可以了！

作者: 巨匠電腦顧問講師曹祖聖

●如何自訂 Browser 角色

　繼上一篇跟大家介紹了【如何讓電腦不要出現在網路芳鄰上？】技巧之後，
今天再來個小技巧好了 (打得我手酸死了 )，

在我的 Computer Browser 機制一文中，大家應該已經了解網路芳鄰的運作機制，
還記得當 Master Browser 或 Backup Browser 掛掉時，
只要有 client 打開網路芳鄰，就會引發 Browser 角色的選舉投票 (vote)，
大家應該都很了解，選舉這種事是很浪費時間，尤其是浪費頻寬，
所以如果可以來個同額競選，那不就不用選了嗎？
是的，我們可以透過 Registry 的設定，讓大部份的電腦放棄參選，
只留下幾部伺服器級的主機做備援 Potential Browsers 就可以了，
方式如下：

在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters 中修改或新增數值如下:
　IsDomainMaster
　　設成 Yes / True / 1 (三者其一) 表示優先當選 Master Browser。
　　設成 No / False / 0 (三者其一) 表示棄權不參選 Master Browser，最多做 Backup Browser。
　MaintainServerList
　　設成 NO 表示棄權不參選 Backup Browser。
　　設成 YES 表示優先當選 Backup Browser。
　　設成 AUTO 表示參選 Backup Browser。(預設)

相關文章:
　Computer Browser 機制
　如何讓電腦不要出現在網路芳鄰上？
　如果 Browser 剛好是 router

作者: 巨匠電腦顧問講師曹祖聖

●如何讓電腦不要出現在網路芳鄰上？

　繼上一篇跟大家介紹了 Computer Browser 機制之後，
再來個小技巧好了，

在我的 Computer Browser 機制一文中，大家應該已經了解網路芳鄰的運作機制，
那麼舉一反三，該如何讓電腦不要出現在網路芳鄰上呢？
沒錯 ! 其實只要讓電腦不要送名稱註冊 (register) 與釋放 (release) 的廣播給 Backup Browsers 就可以了，
有兩種設定方式:

1.下達以下指令
　net config server /hidden:yes --> 不廣播給 Backup Browsers

2.改 Registry
　在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 下新增一個數值 (Value)
　　Value name: Hidden
　　Data type: REG_DWORD
　　Value data: 1

好了，這樣你的電腦就會悄悄的開機、悄悄的關機，來無影、去無蹤了，
這樣也可以減少 subnet 中的廣播流量哦。

相關文章:
　Computer Browser 機制
　如何自訂 Browser 角色
　如果 Browser 剛好是 router

作者: 巨匠電腦顧問講師曹祖聖

●如果 Browser 剛好是 router

　在我的 Computer Browser 機制一文中，大家應該已經了解網路芳鄰的運作機制，
也了解到 client 端是無法單單透過 Browser 機制在網路芳鄰看到其它 subnet 的電腦的，

有一個問題是，如果 Master Browser 或 Backup Browser 剛好就是兩個
subnet 之間的路由器，那麼這部電腦不就會記錄兩個子網路的
Backup Browsers List (如果是 Master Browser 的話) 或
Computers List (如果是 Backup Browser 的話)，
那 client 端可以在網路芳鄰中看到另一個 subnet 中的電腦嗎？

答案是不能 !!

因為 Backup Browsers List 與 Computers List 是與網路卡相依的資料，
也就是在路由器不同網路介面卡所接收到的 List 存取要求，
都只會回應屬於該 subnet 的 List，
因為這一部擔任路由器的電腦並不清楚一端的 client 是否可以連接到另一個 subnet，
要不然就不得了了，要是每個路由器剛好都當 Browser，
那我們網芳鄰一打開，不就會看到全世界的電腦了嗎？
(當然那個手電桶要先搖個幾個小時，哈哈哈 ~~~~ )

那麼如果要讓不同子網路的電腦可以透過網路芳鄰看到彼此，
該怎麼做呢？那就是用 WINS 啦 ~~~ 請大家看看書吧。

如果這部擔任路由器的電腦有加入網域，或者本身就是 Domain Master Browser，
那麼 client 端是有可能在網路芳鄰上看到其它子網路中的伺服器的，
原因請參閱 Computer Browser 機制一文中關於 Browser 角色的說明。

相關文章:
　Computer Browser 機制
　如何讓電腦不要出現在網路芳鄰上？
　如何自訂 Browser 角色

作者: 巨匠電腦顧問講師曹祖聖

歡迎光臨百利工頭 (http://bb.pc104.tw/)