[转]活动目录验证过程原理

活动目录验证过程原理。我想了解AD内，一台电脑向DC提交验证的具体过程。从client pc启动到发现DC,然后向DC提交验证数据，最后完成验证。期间使用那些端口，那些协议，怎样的验证过程？麻烦提供一个详细点的文章，谢谢！

回答：根据您的描述，我对这个问题的理解是：您想了解一台电脑向DC提交验证的具体过程。
如果您所用的客户操作系统不是Windows 3.1, Windows 95, Windows98, Windows NT, 也即您的客户机系统是Windows 2000及以上，并且DC也是Windows  2000及以上，那么验证过程使用的是Kerberos协议。如果您的客户机或者DC之一是Windows 2000以下，则验证使用的是NTLM协议。在Windows 2000及以上的域环境中，默认的验证协议是Kerberos v5。您看到的文章来自活动目录seo http://gnaw0725./c1404552/

我们假设现在用户是在一个Windows 2003的域环境。当一台客户机登录域时， 客户按下CTRL+ALT+DEL, 机器的 Winlogon 服务在转到登录的界面前，会触发 Winlogon的组件之一GINA DLL。GINA会显示登录界面，同时 GINA 也负责收集用户登录的数据，打包成数据单位，然后送给LSA认证。用户输入用户名及密码，选定域。当按下确定时， GINA 把用户信息传给Winlogon。 Winlogon 把信息传给 LSA。 LSA 使用LsaLogonUser进行验证. 就在此时，LSA开始使用Kerberos V5验证协议开始验证。

LSA收到用户密码后， 使用DES-CBC-MD5加密方法加密生成一个Key。（所以Kerberos version 5验证协议必须支持DES-CBC-MD5）。这个Key就是用户密钥。LSA 与Kerberos SSP 互动，得到TGT Ticket和service ticket. 使用这些ticket, LSA就可以和KDC（Key Distribution Center密钥分发中心）交换信息。（客户机通过DNS查询来定位KDC，每台DC都是在DNS注册过的KDC）。通过和KDC的互动，客户机使用 Kerberos发送消息 KRB_AS_REQ 给KDC。该消息包括用户名，域以及生成的密钥。KDC 从其数据库中找到用户及用户密钥，对比结果，如果用户及密钥都相同，则该用户被允许登录。但此时用户仅仅是能登录，如果要做其余的动作，比如浏览共享文件夹等，则用户要先与KDC做近一步的互动。您看到的文章来自活动目录seo http://gnaw0725./c1404552/

以上所提到的具体信息，请参考http://technet2.microsoft.com/windowsserver/en/library/4a1daa3e-b45c-44ea-a0b6-fe8910f92f281033.mspx?mfr=true

从 上我们可以看到，用户登录域，必须先通过DNS定位KDC，然后使用Kerberos验证协议。这2步是必须的。DNS使用的是TCP和UDP的53端 口，Kerberos使用的是TCP和UDP的88端口。所以对于您的问题，可以看到，登录使用的协议是Kerberos V5,端口是TCP和UDP的53和88。