Windows Vista. Для профессионалов
Шрифт:
Управляет возможностью совместного доступа к портам TCP с помощью протокола Net.TCP.
Сетевой вход в систему
Тип запуска: вручную.
Учетная запись: система. Дополнительные привилегии: нет. Файлы службы: нет.
Исполняемый файл: lsass.exe.
Подраздел реестра: Netlogon.
Службы, необходимые для работы данной: Рабочая станция (LanmanWorkstation).
Управляет безопасным каналом между данным компьютером и контроллером домена, с помощью которого выполняется вход в систему.
Пароль безопасного канала хранится на каждом контроллере домена вместе с учетной записью компьютера. При этом пароль
Для просмотра состояния безопасного канала в операционной системе Windows ХР также применялась программа командной строки nltest.ехе, не устанавливающаяся по умолчанию при установке операционной системы.
Если ваш компьютер не подключен к домену Active Directory, то в данной службе нет необходимости. В противном случае благодаря ее использованию между вашим компьютером и контроллером домена создается аутентифицированное соединение RPC. Оно используется для проверки такой конфиденциальной информации, например, как идентификаторы безопасности (SID) пользователей и групп.
Настройка регистрации записей
Еще одной обязанностью службы Сетевой вход в систему при работе в домене является регистрация записей типа SRV, CNAME и А, определяющих домен и глобальный каталог, в базе DNS через определенные промежутки времени. При этом список регистрируемых службой записей хранится в файле Netlogon.dns каталога %systemroot%\System32\Config.
С помощью параметров REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Netlogon\Parameters можно настроить некоторые возможности регистрации записей в базе DNS.
• UseDynamicDns – применяется только на контроллерах домена. Он позволяет запретить службе Сетевой вход в систему автоматическую регистрацию записей, идентифицирующих данный контроллер домена, в базе DNS на этом контроллере домена.
• RegisterDnsARecords – используется только на контроллерах домена. Он позволяет запретить службе Сетевой вход в систему автоматическую регистрацию записей типа А (включая обязательные записи вида gc. msdcs. имял еса, которые после отключения нужно будет регистрировать вручную). Если записи типа А регистрироваться не будут, то протокол LDAP, не поддерживающий записи типа SRV, не сможет обнаружить сервер LDAP на данном контроллере домена.
Настройка с помощью групповой политики
Настроить работу службы Сетевой вход в систему можно и с помощью групповых политик операционной системы. Для этого применяются политики, расположенные в разделе Конфигурация компьютера → Административные шаблоны → Система → Сетевой вход в систему.
Следующие политики данного раздела изменяют параметры REGDWORD-типа, расположенные в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Netlogon\Parameters.
• Обращение к PDS в случае неудачи входа в систему – изменяет значение параметра AvoidPdcOnWan. Данная политика позволяет определить, должен
ли контроллер домена при вводе пользователем ошибочного пароля контактировать с PDC, чтобы проверить, не был ли пароль данного пользователя изменен, но еще не передан на контроллер домена.• Ожидаемая задержка при удаленном входе – дает возможность изменить значение параметра ExpectedDialupDelay. Политика позволяет определить интервал ожидания ответа от контроллера домена при выполнении входа в систему.
• Окончательный интервал попыток обнаружения контроллера домена для фоновых клиентов – изменяет значение параметра BackgroundRetryQuitTime. Данная политика позволяет определить интервал времени, в течение которого клиент может пытаться обратиться к контроллеру домена, если ответа от контроллера не поступает. Если по истечении этого интервала контроллер домена так и не ответил, то клиент прекращает попытки связаться с ним.
• Начальный интервал попыток обнаружения контроллера домена для фоновых клиентов – меняет значение параметра BackgroundRetrylnitialPeriod. Политика позволяет определить интервал времени, который должен пройти перед первой попыткой программы, пытающейся обратиться к контроллеру домена, выполнить повторное обращение к контроллеру домена (если на первое обращение контроллер домена не ответил).
• Уровень отладки файла журнала – изменяет значение параметра dbFlag. Данная политика позволяет определить информацию, которая будет помещаться в файл журнала регистрации netlogon.log, расположенный в каталоге %windir%\ debug. По умолчанию файл журнала не ведется.
• Максимальный интервал повторных попыток обнаружения контроллера домена для фоновых клиентов – меняет значение параметра BackgroundRetryMaximumPeriod. Политика позволяет определить максимальный интервал времени между повторными обращениями к контроллеру домена программой, если на предыдущие обращения контроллер домена не ответил.
• Максимальный размер файла журнала – дает возможность изменить значение параметра MaximumLogFileSize. Данная политика позволяет определить максимальный размер файла netlogon.log, расположенного в каталоге %windir%\ debug.
• Кэш-параметр негативного обнаружения контроллеров домена – меняет значение параметра NegativeCachePeriod. Политика позволяет определить интервал времени, в течение которого локатор домена все еще будет считать, что контроллер домена недоступен (если предыдущее обращение к контроллеру было неудачным). Иначе говоря, если после неудачного обращения к контроллеру домена и до истечения указанного данной политикой интервала локатору поступит еще одно требование обращения к контроллеру домена, то он автоматически ответит, что контроллер домена недоступен (без попытки обратиться к нему).
• Периодическое обновление кэша положительных ответов DC для фонового вызова – изменяет значение параметра BackgroundSuccessfulRefreshPeriod. Данная политика позволяет определить интервал обновления кэша успешных обращений к контроллеру домена для программ, обращающихся к контроллеру домена в фоновом режиме.
• Периодическое обновление кэша положительных ответов DC для нефонового вызова – меняет значение параметра NonBackgroundSuccessfulRefreshPeriod. Политика позволяет определить интервал обновления кэша успешных обращений к контроллеру домена для программ, обращающихся к контроллеру домена не в фоновом режиме.