企业官网建设流程全解析

做调查问卷能挣钱的网站,万江区网站建设,清新区城乡建设局网站,宁波led网站建设深入解析Windows 2000中的Kerberos认证机制 1. 密钥分发中心（KDC） 在Windows 2000中运行Kerberos时，密钥分发中心（KDC）是不可或缺的一部分，它以域服务的形式存在。KDC将Active Directory作为其账户数据库的来源，并且每个Windows 2000域控制器都配备了KDC服务和Active …深入解析Windows 2000中的Kerberos认证机制1. 密钥分发中心（KDC）在Windows 2000中运行Kerberos时，密钥分发中心（KDC）是不可或缺的一部分，它以域服务的形式存在。KDC将Active Directory作为其账户数据库的来源，并且每个Windows 2000域控制器都配备了KDC服务和Active Directory。这意味着每个域控制器都能够独立接收认证和票据请求，而无需依赖单一的KDC，大大提高了系统的可用性和可靠性。每个Kerberos KDC都有自己的主体名称，在Windows 2000里，这个名称是“krbtgt”，它遵循了RFC 1510的指导原则。当创建一个Windows 2000域时，系统会自动为KDC主体创建名为“krbtgt”的用户账户。这个账户属于内置账户，无法被删除、重命名，也不能供普通用户使用。尽管表面上看该账户处于禁用状态，但实际上它正在被KDC使用。如果管理员试图启用该账户，会收到相应的提示对话框。“krbtgt”账户的密码由Windows 2000自动生成，并且系统会定期自动更换。该账户使用的密钥基于其密码，类似于普通用户的长期密钥。“krbtgt”的长期密钥用于加密和解密它所发放的票据授予票据（TGT）。在一个域中的所有KDC都使用“krbtgt”账户，这使得每个KDC都能使用相同的长期密钥来加密和解密TGT。客户端通过向域名系统（DNS）查询域控制器来确定要与之通信的KDC。找到域控制器后，客户端会向该域控制器上的KDC服务发送KRB_AS_REQ消息。2. Kerberos策略在Windows 2000中，Kerberos策略是在域级别进行设置的