4

一般的な ISP のセットアップ。1 つのサーバーは Web サーバーで、もう 1 つは DB SQL サーバーです。両方のマシンで作成されたローカル管理者アカウント (XYZ としましょう) があります。したがって、リモートでログインすると、ログインする場所に応じて、WebServer\XYZ または DBServer\XYZ になります。

ここで、Windows 認証を使用して DBServer 上の SQL Server SSMS にログインし、「SELECT SUSER_NAME()」を実行すると、DBServer\XYZ が取得されます。私がそれらの資格情報でログインしたという事実を拾っているので、それは理にかなっています.

次に、WebServer に移動します。リモートで WebServer\XYZ としてログインします。そこに SQL クライアント コンポーネントをインストールしました。SSMS を起動し、DBServer を選択し、Windows 認証でログインし、「SELECT SUSER_NAME()」を実行すると、WebServer\XYZ と想定する代わりに、DBSERVER\XYZ を取得します。

どういうわけか、WebServer の XYZ は DBServer の XYZ になります。何故ですか?それはどのように起こりますか?きっと、たまたま名前が同じだからじゃないの?

信頼できるドメインについて聞いたことがありますが、どちらのマシンもドメイン コントローラーではないため、その情報にアクセスできません。GUI ツールを使用せずに、信頼できるかどうかを確認するにはどうすればよいですか?

私が質問する理由は、(Virtual PC を使用して) XP ラップトップに同じことを実装しようとしているため、実稼働環境を模倣することができますが、運が悪いからです。

4

2 に答える 2

3

マシン間のNTLMチャレンジは、@ Quassnoiが示すようにもう少し複雑ですが、似ています。マシンは同じドメインまたは信頼できるドメインにある可能性がありますが、使用しているアカウントはローカルマシンアカウントであり、ローカルマシンのセキュリティアクセス管理のみを対象としています。

machinename\useridとしてパターン化されたローカルSAMアカウントは伝播できません。次のように、そのアカウントを使用して外部リソースに対して認証しようとすると、一連のネゴシエートされたフォールバックが発生します。

  1. 現在のドメイン/ユーザー名/パスワードのハッシュトークンを渡します-失敗します、アカウントは信頼されていません
  2. フォールバック-UserID+Passwordの渡されたハッシュを元に戻します
  3. フォールバック-匿名のクレデンシャルとして接続するように戻します。

フォールバックは構成によって無効にすることもできます。匿名認証が防止されることは非常に一般的です。

@Quassnoiが示すように、この場合、#2フォールバックを使用してログインできました。

アカウントのクレデンシャルを伝達できるようにするには、次の条件が満たされている必要があります。

  1. マシンは、相互に少なくとも一方向の信頼を持つドメインのメンバーである必要があります(必ずしも同じドメインのメンバーである必要はありません)。
  2. ローカルマシンアカウントではなく、ドメインアカウントを使用すると、domainname\useridのようになります。特殊なケースは、ドメインシナリオでプロキシアカウント(domainname \ machinename $)を持つネットワークサービスアカウントです。

マシンがドメインのメンバーであるかどうかをどのように判断しますか?マシンへのインタラクティブなログインがあれば、それは非常に簡単です。いくつかの戦略があります

  1. インタラクティブに、システムコントロールパネルにワークグループまたはドメインメンバーシップが表示されます。(スタートメニューの[コンピューター]のプロパティを右クリックします)
  2. コマンドラインで、IPCONFIG /ALL通常はドメイン名と同じデフォルトのDNSプレフィックスも表示されます。

ISPは、マシンの管理と監視を容易にするためだけにドメインを作成するのではないかと思います。ドメインアカウントを作成できるかどうかは別の問題です。

于 2009-02-19T19:35:00.257 に答える
3

アカウントは両方のマシンで同じパスワードXYZを持っているようで、ドメインの一部ではありません。

WebServerはユーザー名と同じように送信XYZし、パスワードが一致するため、すべてのパスワード チャレンジに正常に応答します。

DbServerもちろん、 はあなたのことを のように考えてDbServer/XYZいます。

あるスタンドアロン マシンから別のスタンドアロン マシンにアクセスしようとすると、まったく同じことが起こりますSMB。ユーザー名とパスワードが一致すれば成功です。

于 2009-02-19T17:40:41.543 に答える