WOC-部署设置--Windows域认证配置.docxVIP

Windows域认证配置帮助文档域认证配置的选择此节讲述域认证配置的场景及配置的选择。域认证配置的场景微软网上邻居应用（SMB/SMB2）会话启用了签名。微软exchange邮件应用使用了加密的MAPI协议。配置的选择WOC上有两种认证模式，分别为自动协商模式和委派模式。下表为各模式支持的场景。客户端操作系统认证协议自动协商模式委派模式XPNTLM/协商的NTLM/协商的kerberos支持支持XPNTLMv2/协商的NTLMv2不支持支持，但需要启用NTLMv2Vista/Windows 7NTLM支持支持Vista/Windows 7NTLMv2/协商的NTLM/协商的NTLMv2不支持支持，但需要启用NTLMv2Vista/Windows 7协商的kerberos不支持支持所有强制Kerberos（不允许协商）不支持不支持多域场景的支持WOC支持windows多域的场景，如父子信任域、林信任域、树根信任域等。此时，WOC需加入其中一个域，且此域与用户所在域、服务器所在域为双向信任。WOC配置策略自动协商模式的配置步骤WOC服务端加入域WOC服务端应用代理启用签名（Exchange解密已启用无需再启用）WOC服务端应用代理选择自动协商模式WOC重启加速委派模式配置步骤WOC服务端加入域域控制器（DC）上新建用户，并添加委派所需的权限WOC服务端配置上一步所添加的用户设置WOC服务端的时间与域控制器时间一致WOC服务端应用代理启用签名（Exchange解密已启用无需启用）WOC服务端应用代理选择委派模式WOC重启加速启用NTLMv2配置步骤WOC服务端应用代理启用NTLMv2提示：WOC服务端是靠近服务器端的WOC设备启用NTLMv2为Exchange代理仅有的选择，使用委派模式时，可以选择。开启此功能，将引入风险，Outlook客户端无法保存用户名密码。此风险发生条件：（1）使用NTLM/NTLM认证；（2）登录客户端PC与登录OutLook的用户不一致。SMB2只能使用委派模式详细配置步骤WOC加入域配置DNS在WOC服务端网关，选择系统 -部署设置–DNS ,设置首选DNS为域所在DNS服务器IP地址。例如：那么域名为，输入的DNS服务器IP即可。设置后，选择保存并生效，系统提示“修改后将重启服务，确定吗？”，选择确定。加入域服务端网关，系统 -部署设置 -windows域。填入域名相关信息后，点击加入，加入成功后，状态一栏，显示在域中。提示：域控制器为可选项用户名允许为普通账号域控制器上配置委派安装windows工具setspn注：windows 2008默认已安装此工具，无需重复安装插入win2003安装光盘，打开光盘资源-SUPPORT--TOOLS，运行SUPTOOLS.MSI，运行后即可在cmd下运行setspn，测试是否安装好，如下所示：域控制器上新建用户在域控制器上，根据向导默认建立用户，例如新建用户weipai。提示：建议新建用户时选择密码用不过期。创建SPN（Service Principal Name）打开CMD命令行，运行命令：setspn -A http/daserver weipai注：weipai为上一步骤所新建的用户。域等级需为Windows Server 2003及以上。授予用户委派权限打开AD用户和计算机，右键用户weipai，选择属性-委派-信任此用户作为指定服务的委派，选择使用任何身份验证协议，若选择仅使用Kerberos(K)会导致解密不成功，如下图所示：添加-用户或计算机-输入计算机名(Exchange/cifs服务器机器名)选择cifs/exchangeMDB。注：加速网上邻居选择cifs，加速exchange选择exchangeMDB。如有多台服务器需要使用委派，则需要为每台服务器添加服务，即重复（2）（3）步骤。WOC上配置委派账号（1）系统 -部署设置 -windows域委派选项 –新建填写配置信息：域名（完整域名，如：）用户名（3.2节已配置的委派权限的用户，如：weipai）密码（此用户的密码）注：如果多个域的服务器都需要加速，则需要为每个域配置一个账号并具备委派权限（3.2节）如，父子信任的两个域：和，在WOC上配置了fatherwp和sonwp两个账号。每个域仅允许在WOC上配置一个委派使用的账号。WOC配置时间与域控制器一致系统 -系统设置 -常规设置注：WOC系统时间应于域控制器时间一致，如相差超过30S将导致委派模式失败，无法加速。WOC应用代理配置网上邻居（CIFS）应用代理服务端网关，加速 -应用设置 -CIFS设置注：如果应用使用了签名，则WOC上需配置启用签名。SMB2只能使用委派模式Exchange邮件应用代理服务端网关，加速 -应用设置 -EX