活動目錄驗證過程原理。我想了解AD內，一臺電腦向DC提交驗證的具體過程。從client pc啟動到發現DC,然后向DC提交驗證數據，***完成驗證。期間使用那些端口，那些協議，怎樣的驗證過程？麻煩提供一個詳細點的文章，謝謝！

回答：根據您的描述，我對這個問題的理解是：您想了解一臺電腦向DC提交驗證的具體過程。

如果您所用的客戶操作系統不是Windows 3.1, Windows 95, Windows98, Windows NT, 也即您的客戶機系統是Windows 2000及以上，并且DC也是Windows 2000及以上，那么驗證過程使用的是Kerberos協議。如果您的客戶機或者DC之一是Windows 2000以下，則驗證使用的是NTLM協議。在Windows 2000及以上的域環境中，默認的驗證協議是Kerberos v5。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1

我們假設現在用戶是在一個Windows 2003的域環境。當一臺客戶機登錄域時，客戶按下CTRL+ALT+DEL, 機器的 Winlogon 服務在轉到登錄的界面前，會觸發 Winlogon的組件之一GINA DLL。GINA會顯示登錄界面，同時 GINA 也負責收集用戶登錄的數據，打包成數據單位，然后送給LSA認證。用戶輸入用戶名及密碼，選定域。當按下確定時， GINA 把用戶信息傳給Winlogon。 Winlogon 把信息傳給 LSA。 LSA 使用LsaLogonUser進行驗證. 就在此時，LSA開始使用Kerberos V5驗證協議開始驗證。

LSA收到用戶密碼后，使用DES-CBC-MD5加密方法加密生成一個Key。（所以Kerberos version 5驗證協議必須支持DES-CBC-MD5）。這個Key就是用戶密鑰。LSA 與Kerberos SSP 互動，得到TGT Ticket和service ticket. 使用這些ticket, LSA就可以和KDC（Key Distribution Center密鑰分發中心）交換信息。（客戶機通過DNS查詢來定位KDC，每臺DC都是在DNS注冊過的KDC）。通過和KDC的互動，客戶機使用 Kerberos發送消息 KRB_AS_REQ 給KDC。該消息包括用戶名，域以及生成的密鑰。KDC 從其數據庫中找到用戶及用戶密鑰，對比結果，如果用戶及密鑰都相同，則該用戶被允許登錄。但此時用戶僅僅是能登錄，如果要做其余的動作，比如瀏覽共享文件夾等，則用戶要先與KDC做近一步的互動。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1

以上所提到的具體信息，請參考http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true

從上我們可以看到，用戶登錄域，必須先通過DNS定位KDC，然后使用Kerberos驗證協議。這2步是必須的。DNS使用的是TCP和UDP的53端口，Kerberos使用的是TCP和UDP的88端口。所以對于您的問題，可以看到，登錄使用的協議是Kerberos V5,端口是TCP和UDP的53和88。

http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true

本文出自 gnaw0725 的BLOG 詳情請參閱博客

【編輯推薦】

1. 《Windows運維月刊》第二期：活動目錄的災備與恢復
2. 什么是活動目錄ActiveDirectory？
3. 讓活動目錄環境更省錢、更精簡的五個提示
4. 活動目錄的域控制器中如何創建漫游用戶？
5. 使用ADMT進行活動目錄遷移的準備工作