AD域認(rèn)證問題的日常定位方法_第1頁
AD域認(rèn)證問題的日常定位方法_第2頁
AD域認(rèn)證問題的日常定位方法_第3頁
AD域認(rèn)證問題的日常定位方法_第4頁
AD域認(rèn)證問題的日常定位方法_第5頁
已閱讀5頁,還剩5頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、HUAWEIAD域認(rèn)證問題日常定位方法1引子目前TSM的AD域認(rèn)證過程中經(jīng)常出現(xiàn)問題,由于AD系統(tǒng)龐大而且終端代理使用第三方庫(kù)執(zhí)行主要認(rèn)證業(yè)務(wù),所以AD域認(rèn)證過程中的問題很難定位和解決。鑒于此,特將之前用于定位AD域認(rèn)證問題的一些經(jīng)驗(yàn)總結(jié)一下,方便今后開發(fā)和測(cè)試的同事在現(xiàn)場(chǎng)定位問題。2AD域認(rèn)證過程介紹TSM系統(tǒng)的AD域認(rèn)證過程主要涉及到三個(gè)角色,分別是:TSM服務(wù)器、AD域控、終端代理。TSM和AD的聯(lián)動(dòng)認(rèn)證是基于標(biāo)準(zhǔn)的Kerberos協(xié)議,標(biāo)準(zhǔn)的Kerberos認(rèn)證流程如下:KRB_AS_REQClientKRBASREPKRBTGSREPKRB_AP_REQ6IKRBAPREP!_Ser

2、verTSM在此基礎(chǔ)上做了一些調(diào)整,主要是第5步和第6步的交互,其交互信息是通過SSL來加密的。具體交互流程圖如下所示:ClientKRBASREQKDCKRBASREPKRBTGSREP口KRB_TGS_REQ一,送證息X.淆唇u信Server從上面的交互流程圖可以看出來,整個(gè)交互過程分為3個(gè)階段分別是:AS(AuthenticationServiceExchange)、TGS(TicketGrantingServiceExchange)、AP(Client/ServerExchange)。在AS階段,主要驗(yàn)證的是當(dāng)前用于進(jìn)行AD域認(rèn)證的用戶是當(dāng)前AD域控上的合法用戶。所以一般如果用戶名或者

3、密碼錯(cuò)誤時(shí)將會(huì)在這個(gè)階段得到AD返回的錯(cuò)誤信息。此外如果出現(xiàn)TSM服務(wù)器和AD上的時(shí)間偏差較大的時(shí)候也會(huì)在這個(gè)階段出錯(cuò)。在TGS階段,主要是終端代理獲取其要請(qǐng)求的認(rèn)證服務(wù)的票證的過程,如果這個(gè)時(shí)候請(qǐng)求的認(rèn)證服務(wù)不存在,則在第4步返回的錯(cuò)誤信息中指示KDC_ERR_S_PRINCIPAL_UNKNOWN,表明當(dāng)前請(qǐng)求的服務(wù)不存在。之前在大足的AD域聯(lián)動(dòng)測(cè)試中就出現(xiàn)了這個(gè)問題。在AP階段,服務(wù)器將會(huì)驗(yàn)證終端代理發(fā)送的TGS,來決定當(dāng)前認(rèn)證用戶是否具有訪問當(dāng)前請(qǐng)求的認(rèn)證服務(wù)的權(quán)限。3基本問題定位方法3.1 驗(yàn)證網(wǎng)絡(luò)是否可達(dá)在定位AD域認(rèn)證相關(guān)的問題時(shí),首先第一點(diǎn)是驗(yàn)證網(wǎng)絡(luò)是否可達(dá)即,是否能夠訪問你當(dāng)

4、前AD域控。HUAWEI在這種情況下首先在系統(tǒng)的命令行提示下ping目標(biāo)主機(jī)(AD域控所在的機(jī)器)的IP地址,如果能夠ping通目標(biāo)主機(jī)則證明網(wǎng)絡(luò)鏈路是可達(dá)的,如果ping不通此時(shí)請(qǐng)首先檢查網(wǎng)絡(luò)鏈路。在上面網(wǎng)絡(luò)鏈路可達(dá)的基礎(chǔ)上需要驗(yàn)證域名解析是否正確,此時(shí)在系統(tǒng)命令提示下pingAD域名,如果能夠ping通則證明域名解析是沒有問題的。相反如果無法ping通目標(biāo)域名,此時(shí)首先請(qǐng)檢查當(dāng)前激活鏈接的網(wǎng)卡上的DNS配置確保其配置指向的是AD所對(duì)應(yīng)的DNS服務(wù)器的地址,并且同時(shí)要檢查一下當(dāng)前系統(tǒng)的53端口是否被防火墻或者主動(dòng)防御軟件給禁止掉,確保53端口是開放的。對(duì)于上一步或者在終端上使用nslooku

5、p也可以達(dá)到相同作用。3.2 驗(yàn)證本地是否可以正確的和AD域控進(jìn)行通信在網(wǎng)絡(luò)可達(dá)的基礎(chǔ)上,如果還是出現(xiàn)AD域認(rèn)證不通過的問題時(shí),需要驗(yàn)證終端系統(tǒng)能否和AD域控進(jìn)行通信。首先驗(yàn)證一下本地的TCP/UDP的88端口是否是開放的,需要查看本地防火墻配置是否禁止了88端口,88端口是用于Kerberos認(rèn)證的。在終端利用微軟提供的工具ldp.exe來連接AD域控的389端口,如果連接失敗請(qǐng)查看AD域控上的配置。3.3 檢查認(rèn)證報(bào)文在上面兩步后如果還是出現(xiàn)AD認(rèn)證不通過的問題后,此時(shí)需要進(jìn)行抓包操作。通過報(bào)文來分析問題。抓包過程描述如下:1 .找一臺(tái)未加入域的PC機(jī)作為測(cè)試機(jī);2 .將這臺(tái)測(cè)試機(jī)的DNS

6、服務(wù)器設(shè)為本地的域控(除本地域控外,請(qǐng)不要設(shè)置其他的DNS服務(wù)器);3 .重啟測(cè)試機(jī)(這一步用來清除LSA中緩存的kerberosticket);4 .從下面的連接下載NetworkMonitor3.1工具,并安裝到測(cè)試機(jī)上:http:5.運(yùn)行Netmon3.1工具,并選擇"File->New->Capture"6.如果該計(jì)算機(jī)上有多個(gè)網(wǎng)絡(luò)連接,在"SelectNetworks”中,選擇我們所關(guān)心的封包所流經(jīng)的連接(比如LocalAreaConnection);7.在菜單中,選擇Tools->Options->Capture,并將臨時(shí)捕捉文

7、件的大小調(diào)整為20Megabytes;8.在菜單中,選擇"Capture->Start”,開始抓包;9.嘗試進(jìn)行AD域認(rèn)證;10.11.具體分析請(qǐng)參考上面的AD認(rèn)證流程和下面的錯(cuò)誤信息表:KerberosErrorNumberKerberosErrorCodeDescription0x3KDCERRBADPVNO0x6KDCERRCPRINCIPALUNKNRequestedprotocolversionnumbernotsupported.notfoundinKerberosatabase.0x7ServernotfoundinKerberosKDC_ERR_S_PRINCI

8、PAL_UNKNOWbase.0x8KDCERRPRINCIPALNOTUNWleprincipalentriesinatabase.0xATicketnoteligibleforKDCERRCANNOTPOSTDATE”postdating.0xBKDCERRNEVERVALIDRequestedstarttimeislaterthanendtime.0xCKDCERRPOLICY0xDKDCERRBADOPTION0xEKDCERRETYPENOSUPP0xFKDCERRSUMTYPENOSUPPKDCpolicyrejectsrequest.KDCcannotaccommodatereq

9、uestedoption.KDChasnosupportforencryptiontype.KDChasnosupportforchecksumtype.在Netmon工具界面中選擇"Capture->Stop”停止抓包;選擇"File->Saveas”,將網(wǎng)絡(luò)抓包保存為joindomain.cap文件;0x10KDC_ERR_PADATA_TYPE_NOSKDC曜noy0rtf。:.pre-authenticationdatatype.0x12cl、,Client'scredentialshaveKDC_ERR_CLIENT_REVOKEDbeenre

10、voked0x17KDCERRKEYEXPIREDPasswordhasexpired-changeHUAWEI0x18KDC_ERR_PREAUTH_FAILEDpasswordtoreset.Pre-authenticationinformationwasinvalid.0x190x1B0x1C0x1D0x1F0x200x210x220x230x240x250x280x290x340x3C0x44KDC_ERR_PREAUTH_REQUIREAdd嗎nalpre-authenticationrequired.八八八八ServerprincipalvalidforKDCERRMUSTUSEU

11、SER2USERxHH,user-to-useronly.KDCERRPATHNOTACCPETKBCPolicyrejectstransitedpath.KDC_ERR_SVC_UNAVAILABLEAserviceisnotavailable.KRB_AP_ERR_BAD_INTEGRITYKRB_AP_ERR_TKT_EXPIREDKRB_AP_ERR_TKT_NYVKRB_AP_ERR_REPEATKRB_AP_ERR_NOT_USKRB_AP_ERR_BADMATCHKRB_AP_ERR_SKEWKRB_AP_ERR_MSG_TYPEKRB_AP_ERR_MODIFIEDKRB_ER

12、R_RESPONSE_TOO_KRB_ERR_GENERICKDC_ERR_WRONG_REALMIntegritycheckondecryptedfieldfailed.Ticketexpired.Ticketnotyetvalid.Requestisareplay.Theticketisn'tforus.Ticketandauthenticatordonotmatch.Clockskewtoogreat.Invalidmessagetype.Messagestreammodified.ResponsetoobigforUDP,BIGretrywithTCP.Genericerror

13、(descriptione-text).User-to-userTGTissueddifferentKDC.in3.4查看AD域控上的配置情況查看AD域控上的配置情況一般分為以下幾個(gè)階段1、查看并收集測(cè)試帳號(hào)和SPN帳號(hào)的配置信息在AD域控所在的終端機(jī)器上運(yùn)行如下兩個(gè)命令:ldifde-fout1.txt-d"dc=solo,dc=local"-r"(sAMAccountName=Stanley)"ldifde-fout2.txt-d"dc=solo,dc=local"-r"(userPrincipalName=seco/a

14、dserversolo.local)2、在AD域控上運(yùn)行Netdiag/v>netdiag.txt,并將運(yùn)行結(jié)果保存下來3、在AD域控上運(yùn)行dcdiag/v>dcdiag.txt,并將運(yùn)行結(jié)果保存下來HUAWEI4、收集AD域控所在機(jī)器的MPSReport信息從下面的連接,下載MPSRPT_DirSvc.EXE文件(文件大小702B):http:9b7306c0&displaylang=en在步驟1所使用的測(cè)試機(jī)上運(yùn)行MPSRPT_DirSvc.EXE;根據(jù)計(jì)算機(jī)的性能及網(wǎng)絡(luò)連接等情況,MPSReport工具可能運(yùn)行5-15分鐘。待MPSRPT_DirSvc.EXE運(yùn)行完畢

15、后,一個(gè)名/%COMPUTERNAME%_MPSReports_DirSvc.cab的.cab文件將被保存在路徑:systemroot%MPSReportsDirSvcLogsCab;在收集到以上信息之后請(qǐng)打包發(fā)回到研發(fā)出進(jìn)行信息分析。3.5 查看在用戶登錄過程中是否出現(xiàn)異常在XXX局點(diǎn)出現(xiàn)部分采用域帳戶登錄系統(tǒng)過慢的現(xiàn)象,其登錄過程大約持續(xù)了10分鐘。一般處理這種登錄問題的時(shí)候由于沒有進(jìn)入操作系統(tǒng)很難采用一般的工具來采集數(shù)據(jù)。此時(shí)需要依賴于操作系統(tǒng)的事件日志功能來查看在用戶登錄系統(tǒng)過程中發(fā)生了什么問題。通過查看一些異常日志信息來定位。此外在系統(tǒng)的事件日志中沒有發(fā)現(xiàn)一些異常信息時(shí),可以通過打開

16、操作系統(tǒng)的登錄日志開關(guān)來獲取當(dāng)前登錄系統(tǒng)時(shí)的一些具體的執(zhí)行操作。具體方法如下所示:在注冊(cè)表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon下建立一個(gè)DWORD鍵值UserEnvDebugLevel,將其值設(shè)為十六進(jìn)制的30002(十進(jìn)制為:196610)。而后重新啟動(dòng)操作系統(tǒng),在登錄到操作系統(tǒng)后,在當(dāng)前的操作系統(tǒng)目錄WINDOWSDebugUserMode下將會(huì)出現(xiàn)一個(gè)userenv.log文件,此文件將會(huì)記錄所有在用戶登錄過程中的日志信息,通過查看此信息可以判斷到底在登錄過程中發(fā)生了那些問題。3.6 后記一般而言,AD域認(rèn)證失敗的問題主要是從上面介紹的幾方面來進(jìn)行分析。尤其在配置SPN賬戶映射時(shí)需要格外注意以下兩點(diǎn):3/26/2013華為機(jī)密,未經(jīng)許可不得擴(kuò)散第6頁,共7頁1、在配置SPN賬戶時(shí)請(qǐng)確保在真實(shí)終端上進(jìn)行配置,如果是在無法接觸到真實(shí)終端,請(qǐng)采用控制臺(tái)登錄的方式來遠(yuǎn)程登錄到目標(biāo)主機(jī),使用命令:ms

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論