WOC部署设置Windows域认证配置.docx
- 文档编号:30700694
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:13
- 大小:620.57KB
WOC部署设置Windows域认证配置.docx
《WOC部署设置Windows域认证配置.docx》由会员分享,可在线阅读,更多相关《WOC部署设置Windows域认证配置.docx(13页珍藏版)》请在冰豆网上搜索。
WOC部署设置Windows域认证配置
Windows域认证配置帮助文档
1.域认证配置的选择
此节讲述域认证配置的场景及配置的选择。
1.1.域认证配置的场景
●微软网上邻居应用(SMB/SMB2)会话启用了签名。
●微软exchange邮件应用使用了加密的MAPI协议。
1.2.配置的选择
WOC上有两种认证模式,分别为自动协商模式和委派模式。
下表为各模式支持的场景。
客户端操作系统
认证协议
自动协商模式
委派模式
XP
NTLM/协商的NTLM/协商的kerberos
支持
支持
XP
NTLMv2/协商的NTLMv2
不支持
支持,但需要启用NTLMv2
Vista/Windows7
NTLM
支持
支持
Vista/Windows7
NTLMv2/协商的NTLM/协商的NTLMv2
不支持
支持,但需要启用NTLMv2
Vista/Windows7
协商的kerberos
不支持
支持
所有
强制Kerberos(不允许协商)
不支持
不支持
1.3.多域场景的支持
WOC支持windows多域的场景,如父子信任域、林信任域、树根信任域等。
此时,WOC需加入其中一个域,且此域与用户所在域、服务器所在域为双向信任。
2.WOC配置策略
2.1.自动协商模式的配置步骤
●WOC服务端加入域
●WOC服务端应用代理启用签名(Exchange解密已启用无需再启用)
●WOC服务端应用代理选择自动协商模式
●WOC重启加速
2.2.委派模式配置步骤
●WOC服务端加入域
●域控制器(DC)上新建用户,并添加委派所需的权限
●WOC服务端配置上一步所添加的用户
●设置WOC服务端的时间与域控制器时间一致
●WOC服务端应用代理启用签名(Exchange解密已启用无需启用)
●WOC服务端应用代理选择委派模式
●WOC重启加速
2.3.启用NTLMv2配置步骤
●WOC服务端应用代理启用NTLMv2
提示:
●WOC服务端是靠近服务器端的WOC设备
●启用NTLMv2为Exchange代理仅有的选择,使用委派模式时,可以选择。
开启此功能,将引入风险,Outlook客户端无法保存用户名密码。
此风险发生条件:
(1)使用NTLM/NTLM认证;
(2)登录客户端PC与登录OutLook的用户不一致。
●SMB2只能使用委派模式
3.详细配置步骤
3.1.WOC加入域
3.1.1.配置DNS
在WOC服务端网关,选择系统->部署设置–>DNS,设置首选DNS为域所在DNS服务器IP地址。
例如:
那么域名为,输入的DNS服务器IP即可。
设置后,选择保存并生效,
系统提示“修改后将重启服务,确定吗?
”,选择确定。
3.1.2.加入域
服务端网关,系统->部署设置->windows域。
填入域名相关信息后,点击加入,加入成功后,状态一栏,显示在域中。
提示:
●域控制器为可选项
●用户名允许为普通账号
3.2.域控制器上配置委派
3.2.1.安装windows工具setspn
注:
windows2008默认已安装此工具,无需重复安装
插入win2003安装光盘,打开光盘资源-SUPPORT--TOOLS,运行SUPTOOLS.MSI,运行后即可在cmd下运行setspn,测试是否安装好,如下所示:
3.2.2.域控制器上新建用户
在域控制器上,根据向导默认建立用户,例如新建用户weipai。
提示:
●建议新建用户时选择密码用不过期。
3.2.3.创建SPN(ServicePrincipalName)
打开CMD命令行,运行命令:
setspn-Ahttp/daserverweipai
注:
●weipai为上一步骤所新建的用户。
●域等级需为WindowsServer2003及以上。
3.2.4.授予用户委派权限
(1)打开AD用户和计算机,右键用户weipai,选择属性->委派->信任此用户作为指定服务的委派,选择使用任何身份验证协议,若选择仅使用Kerberos(K)会导致解密不成功,如下图所示:
(2)添加->用户或计算机->输入计算机名(Exchange/cifs服务器机器名)
(3)选择cifs/exchangeMDB。
注:
●加速网上邻居选择cifs,加速exchange选择exchangeMDB。
●如有多台服务器需要使用委派,则需要为每台服务器添加服务,即重复
(2)(3)步骤。
3.3.WOC上配置委派账号
(1)系统->部署设置->windows域委派选项–>新建
填写配置信息:
⏹域名(完整域名,如:
)
⏹用户名(3.2节已配置的委派权限的用户,如:
weipai)
⏹密码(此用户的密码)
注:
●如果多个域的服务器都需要加速,则需要为每个域配置一个账号并具备委派权限(3.2节)如,父子信任的两个域:
和,在WOC上配置了fatherwp和sonwp两个账号。
●每个域仅允许在WOC上配置一个委派使用的账号。
3.4.WOC配置时间与域控制器一致
系统->系统设置->常规设置
注:
●WOC系统时间应于域控制器时间一致,如相差超过30S将导致委派模式失败,无法加速。
3.5.WOC应用代理配置
3.5.1.网上邻居(CIFS)应用代理
服务端网关,加速->应用设置->CIFS设置
注:
●如果应用使用了签名,则WOC上需配置启用签名。
●SMB2只能使用委派模式
3.5.2.Exchange邮件应用代理
服务端网关,加速->应用设置->EXCHANGE设置
注:
●已启用解密功能,无需在此页面配置。
●NTLMv2勾选项,只有在委派模式才可用。
3.6.WOC委派服务添加方式
服务端网关,系统->部署设置->windows域委派选项委派服务添加方式
●手动添加:
需要用户手动配置委派用户能委派的服务(如3.2.4授予用户委派权限小节
(2)(3)步骤)。
此方式适用于域中服务器较少、手动配置工作量不大的情况,。
●自动添加:
在域控制器上配置了自动添加所需要的权限及WOC上选择了自动添加的方式后,WOC可以帮助用户自动添加委派的服务。
此类型适用于域中服务器较多、手动配置工作量较大的情况。
3.6.1.域控制器配置自动添加所需要的权限
在3.2.4授予用户委派权限小节
(1)步骤后,有如下图所示。
(1)配置GPO:
win2003配置步骤:
开始->管理工具->域控制器安全策略->windows设置->安全设置->本地策略->用户权限分配->双击打开【允许计算机和用户帐户被信任以便用于委任】->在安全策略设置里面添加用户->保存
Win2008配置步骤:
开始->管理工具->组策略管理->域->DomainControllers->DefaultDomainControllersPolicy->右键编辑->计算机配置->策略->windows设置->安全设置->本地策略->用户权限分配->双击打开【信任计算机和用户帐户可以执行委派】->在安全策略设置里面添加用户->保存
注:
●添加的用户为3.2.2域控制器上新建用户小节新建的用户,如weipai。
(2)赋予委派帐户修改自身委派属性的权限(win2003和win2008操作一样):
域控制器运行adsiedit.msc,选择域->DC=awoct->CN=Users->CN=dele-awoct->右键属性->安全->高级->权限->添加->输入dele-awoct->确定->属性->勾选【读取msDS-AllowedTodelegateTo】和【写入msDS-AllowedTodelegateTo】->确定保存
注:
●上述中,Awoct为域名。
●上述中,dele-awoct为委派用户名(3.2.2小节新建的用户)。
●在多域的环境中,如所有域都使用该功能,则所有域的域控制器上都需要按此步骤配置权限。
4.故障排除
4.1.健康状态
●Windows域:
检测并提示加入域配置
●委派信息:
检测并提示委派配置信息
4.2.页面日志
服务端网关,维护->日志->日志设置勾选所有日志勾选网间加速–>点击确定
4.2.1.常见提示
提示
说明
pleaseenableNTLMv2delegation
WOC服务端需开启NTLMv2
pleaseenableclient'sntlmauthentication
客户PC禁用了NTLM认证
pleaseconfiguredelegationuser
需要配置委派用户(3.3)
pleasecheckdelegationconfig
3.2或3.6小节配置错误
pleasechecktimebetweenWOCandKDC
3.4小节WOC时间同步
pleasejoindomain
WOC需要加入域
uselocaluserorotherdomainuser,checkdomainconfig
使用本地用户或其他不可加速域账号访问
pleasecheckdelegationuser'sacountandpassword
3.3小节域名、用户名或密码配置错误
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WOC 部署 设置 Windows 认证 配置