V: Kerberos-todennusprotokolla käyttää istuntolippuja, jotka on salattu symmetrisellä avaimella, joka on johdettu sen palvelimen tai palvelun salasanasta, johon Windows-käyttäjä pyytää pääsyä. Pyytääkseen istuntolippua käyttäjän on esitettävä erityinen lippu, nimeltään ticket-granting ticket (TGT), Kerberos Key Distribution Center (KDC) – palveluun domain Controllerilla (DC). Kaikki Windows-käyttäjät saavat TGT: n KDC: stä Windows-sisäänkirjautumisistunnon alussa sen jälkeen, kun he ovat onnistuneesti tunnistautuneet KDC: hen salasanallaan.
KDC salaa käyttäjän TGT: n avaimella, jonka se saa krbtgt AD domain-tilin salasanasta. Krbtgt-tili ja sen salasana jaetaan kaikkien toimialueen DCs: n KDC-palveluiden kesken. Krbtgt-tili luodaan automaattisesti osana dcpromo-mainosten asennusprosessia verkkotunnuksen ensimmäisellä DC: llä. Se näkyy Microsoft Management Console (MMC) Active Directory Users and Computers-laajennuksen käyttäjät-säiliössä ja on oletusarvoisesti pois käytöstä. Toisin kuin muut mainosten käyttäjätilit, krbtgt-tiliä ei voi käyttää verkkoalueeseen vuorovaikutteisesti kirjautumiseen. Koska kyseessä on sisäänrakennettu tili, krbtgt: tä ei myöskään voi nimetä uudelleen.
read-only domain controller (RODC) on Microsoftin Windows Server 2008-käyttöjärjestelmässä esittelemä uudentyyppinen DC. RODC isännöi vain luku-osioita AD tietokannan. Se ei tallenna kaikkien käyttäjätilien salasanasiivekkeitä Windows-verkkotunnuksessa; sen sijaan, RODC tallentaa vain salasana hashes tilien, jotka on määritelty RODC ’ s Password Replikation Policy (PRP). Tämä menetelmä tarkoittaa, että kompromissi RODC edustaa paljon vähemmän riskejä kuin kompromissi klassinen lukea / kirjoittaa DC (RWDC), joka pitää kopioita salasanasiivut kaikkien käyttäjätilien verkkotunnuksen. Siksi RODC voidaan ottaa käyttöön tavalla, jota voidaan pitää vähemmän turvallisena. Organisaatiot käyttävät niitä yleensä haarakonttoreissa tai demilitarisoiduilla vyöhykkeillään (dmzs).
an RODC toimii Kerberos KDC: nä haarakonttorille tai DMZ: lle, ja sellaisena se vaatii myös krbtgt-tilin. Sen varmistamiseksi, että vaarantuneen RODC: n krbtgt: tä ei voida hyödyntää pyytämään lippuja muihin RODC: iin tai Rwdc: iin, jokaisella RODC: llä on erityinen paikallinen krbtgt-tili. Tämä tili on muotoa krbtgt123, jossa ”123” on satunnaislukujen jono. Tämä satunnainen merkkijono tunnistaa yksiselitteisesti RODC: n ja syntyy, kun RODC on asennettu.
rodcs: n eri paikalliset krbtgt-tilit toimialueen sisällä tallennetaan AD: hen ja näkyvät Active Directoryn käyttäjissä ja tietokoneissa käyttäjät-säiliön alla. Kaikki verkkotunnuksen RWDCs: t säilyttävät myös kopion verkkotunnuksen Rodcien krbtgt-tilien salasanasiivistä. Siksi RODC: n myöntämä TGT on pätevä pyytämään istuntolippuja samaa RODC: tä vastaan ja myös mitä tahansa muuta rwdc: tä vastaan.
jos RODC saa istuntolippupyynnön, joka perustuu EPÄKELPOON TGT: hen-eli TGT ei ole RODC: n itsensä antama-se palauttaa Kerberos-virheen pyytäen asiakastietokonetta pyytämään uutta TGT-pyyntöä itse RODC: tä vastaan. Jos RODC: llä ei ole kopiota käyttäjän salasanasta, RODC välittää TGT-pyynnön rwdc: lle. Tässä tapauksessa RODC toimii välityspalvelimena, jolloin se välittää vastauksen rwdc: ltä suoraan asiakastietokoneelle. Samalla RODC käynnistää prosessin, jossa käyttäjän salasana hash tallennetaan välimuistiin, jotta RODC pystyy luomaan TGT: n kyseiselle käyttäjälle tulevaisuudessa. Välimuistin tallentaminen onnistuu, jos RODC: n PRP sallii käyttäjätilin salasanan hajautuksen tallentamisen RODC: hen.
liittyvät: Miten voin asentaa ja määrittää vain luettavan toimialueen ohjaimen (RODC)?
