Windows域认证配置帮助文档1.域认证配置的选择
此节讲述域认证配置的场景及配置的选择。
1.1.域认证配置的场景
●微软网上邻居应用(SMB/SMB2)会话启用了签名。
●微软exchange邮件应用使用了加密的MAPI协议。
1.2.配置的选择
1.3.多域场景的支持
WOC支持windows多域的场景,如父子信任域、林信任域、树根信任域等。
此时,WOC 需加入其中一个域,且此域与用户所在域、服务器所在域为双向信任。
2.WOC配置策略
2.1.自动协商模式的配置步骤
●WOC服务端加入域
●WOC服务端应用代理启用签名(Exchange解密已启用无需再启用)
●WOC服务端应用代理选择自动协商模式
●WOC重启加速
2.2.委派模式配置步骤
●WOC服务端加入域
●域控制器(DC)上新建用户,并添加委派所需的权限
●WOC服务端配置上一步所添加的用户
●设置WOC服务端的时间与域控制器时间一致
●WOC服务端应用代理启用签名(Exchange解密已启用无需启用)
●WOC服务端应用代理选择委派模式
●WOC重启加速
2.3.启用NTLMv2配置步骤
●WOC服务端应用代理启用NTLMv2
提示:
●WOC服务端是靠近服务器端的WOC设备
●启用NTLMv2为Exchange代理仅有的选择,使用委派模式时,可以选择。
开启此功能,
将引入风险,Outlook客户端无法保存用户名密码。
此风险发生条件:(1)使用NTLM/NTLM认证;(2)登录客户端PC与登录OutLook的用户不一致。
●SMB2只能使用委派模式
3.详细配置步骤
3.1.WOC加入域
3.1.1.配置DNS
在WOC服务端网关,选择系统->部署设置–>DNS ,设置首选DNS为域所在DNS服务器IP地址。
例如:那么域名为,输入的DNS服务器IP即可。
设置后,选择保存并生效,
系统提示“修改后将重启服务,确定吗?”,选择确定。
3.1.2.加入域
服务端网关,系统->部署设置->windows域。
填入域名相关信息后,点击加入,加入成功后,状态一栏,显示在域中。
提示:
●域控制器为可选项
●用户名允许为普通账号
3.2.域控制器上配置委派
3.2.1.安装windows工具setspn
注:windows 2008默认已安装此工具,无需重复安装
插入win2003安装光盘,打开光盘资源-SUPPORT--TOOLS,运行SUPTOOLS.MSI,运行后即可在cmd下运行setspn,测试是否安装好,如下所示:
3.2.2.域控制器上新建用户
在域控制器上,根据向导默认建立用户,例如新建用户weipai。
提示:
●建议新建用户时选择密码用不过期。
3.2.3.创建SPN(Service Principal Name)
打开CMD命令行,运行命令:setspn -A http/daserver weipai
注:
●weipai为上一步骤所新建的用户。
●域等级需为Windows Server 2003及以上。
3.2.
4.授予用户委派权限
(1)打开AD用户和计算机,右键用户weipai,选择属性->委派->信任此用户作为指定服务的委派,选择使用任何身份验证协议,若选择仅使用Kerberos(K)会导致解密不成功,如下图所示:
(2)添加->用户或计算机->输入计算机名(Exchange/cifs服务器机器名)
(3)选择cifs/exchangeMDB。
注:
●加速网上邻居选择cifs,加速exchange选择exchangeMDB。
●如有多台服务器需要使用委派,则需要为每台服务器添加服务,即重复(2)(3)
步骤。
3.3.WOC上配置委派账号
(1)系统->部署设置->windows域委派选项–>新建
填写配置信息:
⏹域名(完整域名,如:)
⏹用户名(3.2节已配置的委派权限的用户,如:weipai)
⏹密码(此用户的密码)
注:
●如果多个域的服务器都需要加速,则需要为每个域配置一个账号并具备委派权限(3.2
节)如,父子信任的两个域:和,在WOC上配置了fatherwp 和sonwp两个账号。
●每个域仅允许在WOC上配置一个委派使用的账号。
3.4.WOC配置时间与域控制器一致
系统->系统设置->常规设置
注:
●WOC系统时间应于域控制器时间一致,如相差超过30S将导致委派模式失败,无法加
速。
3.5.WOC应用代理配置
3.5.1.网上邻居(CIFS)应用代理
服务端网关,加速->应用设置->CIFS设置
注:
●如果应用使用了签名,则WOC上需配置启用签名。
●SMB2只能使用委派模式
3.5.2.Exchange邮件应用代理
服务端网关,加速->应用设置->EXCHANGE设置
注:
●已启用解密功能,无需在此页面配置。
●NTLMv2勾选项,只有在委派模式才可用。
3.6.WOC委派服务添加方式
服务端网关,系统->部署设置->windows域委派选项委派服务添加方式
●手动添加:需要用户手动配置委派用户能委派的服务(如3.2.4 授予用户委派权限小节
(2)(3)步骤)。
此方式适用于域中服务器较少、手动配置工作量不大的情况,。
●自动添加:在域控制器上配置了自动添加所需要的权限及WOC上选择了自动添加的方
式后,WOC可以帮助用户自动添加委派的服务。
此类型适用于域中服务器较多、手动配置工作量较大的情况。
3.6.1.域控制器配置自动添加所需要的权限
在3.2.4 授予用户委派权限小节(1)步骤后,有如下图所示。
(1)配置GPO:
win2003配置步骤:
开始->管理工具->域控制器安全策略->windows设置->安全设置->本地策略->用户权限分配->双击打开【允许计算机和用户帐户被信任以便用于委任】->在安全策略设置里面添加用户->保存
Win2008配置步骤:
开始->管理工具->组策略管理->域->Domain Controllers->Default Domain Controllers Policy->
右键编辑->计算机配置->策略->windows设置->安全设置->本地策略->用户权限分配->双击打开【信任计算机和用户帐户可以执行委派】->在安全策略设置里面添加用户->保存
注:
添加的用户为3.2.2域控制器上新建用户小节新建的用户,如weipai。
(2)赋予委派帐户修改自身委派属性的权限(win2003和win2008操作一样):
域控制器运行adsiedit.msc,选择域->DC=awoct->CN=Users->CN=dele-awoct->右键属性->安全->高级->权限->添加->输入dele-awoct->确定->属性->勾选【读取msDS-AllowedTodelegateTo】和【写入msDS-AllowedTodelegateTo】->确定保存
注:
●上述中,Awoct为域名。
●上述中,dele-awoct为委派用户名(3.2.2 小节新建的用户)。
●在多域的环境中,如所有域都使用该功能,则所有域的域控制器上都需要按此步骤配置
权限。
4.故障排除
4.1.健康状态
●Windows域:检测并提示加入域配置
●委派信息:检测并提示委派配置信息
4.2.页面日志
服务端网关,维护->日志->日志设置勾选所有日志勾选网间加速–>点击确定
4.2.1.常见提示
提示说明
please enable client's ntlm authentication
客户PC禁用了NTLM认证
please configure delegation user
需要配置委派用户(3.3)
please check delegation config
3.2或3.6小节配置错误
please check time between WOC and KDC
3.4小节WOC时间同步
please join domain
WOC需要加入域
use local user or other domain user, check
使用本地用户或其他不可加速域账号访问domain config
please check delegation user's acount and
3.3小节域名、用户名或密码配置错误password。