Windows Kerberos 身份验证和网络协议/端口

Windows Kerberos 身份验证和网络协议/端口

有以下问题。我有一个带有根域 A 的 Windows 林 A。域 A 中的 Web 服务器具有正确设置的 SPN。用户来自另一个林/域,其中存在双向传递林信任。来自域 B 的用户登录到域 A 中的工作场所。域 B 所属的林可以通过域和信任中的名称后缀路由设置将 SPN 解析为林 A。现在,一切正常。使用 wireshark,我对 Web 服务器和域 B 的域控制器之间的身份验证流量进行了一些分析。我看到端口 tcp/88 kerberos 上的流量,获取所有必需的票证,我看到一些 LDAP 流量 udp/389,以验证通过 ldap 绑定进行的模拟,但随后我看到 rpc 流量,从 tcp/135(端点映射器)上的 tcp 端口协商开始,然后在临时端口区域进行通信。查看数据包,我看到原始机器名称,仅此而已。我还在此流量中看到了 krb5 信息,因此可以推测这也与 kerberos“相关”,尽管我预计流量只在 ldap (389) 和 kerberos (88) 上。有人能解释一下这究竟是如何工作的吗?这是某种特定于 Windows 的 kerberos 东西吗?谢谢!Ronald

答案1

相关内容