WOC-部署设置--Windows域认证配置

Windows域认证配置帮助文档1.域认证配置的选择

此节讲述域认证配置的场景及配置的选择。

1.1.域认证配置的场景

●微软网上邻居应用（SMB/SMB2）会话启用了签名。

●微软exchange邮件应用使用了加密的MAPI协议。

1.2.配置的选择

1.3.多域场景的支持

WOC支持windows多域的场景，如父子信任域、林信任域、树根信任域等。此时，WOC 需加入其中一个域，且此域与用户所在域、服务器所在域为双向信任。

2.WOC配置策略

2.1.自动协商模式的配置步骤

●WOC服务端加入域

●WOC服务端应用代理启用签名（Exchange解密已启用无需再启用）

●WOC服务端应用代理选择自动协商模式

●WOC重启加速

2.2.委派模式配置步骤

●WOC服务端加入域

●域控制器（DC）上新建用户，并添加委派所需的权限

●WOC服务端配置上一步所添加的用户

●设置WOC服务端的时间与域控制器时间一致

●WOC服务端应用代理启用签名（Exchange解密已启用无需启用）

●WOC服务端应用代理选择委派模式

●WOC重启加速

2.3.启用NTLMv2配置步骤

●WOC服务端应用代理启用NTLMv2

提示：

●WOC服务端是靠近服务器端的WOC设备

●启用NTLMv2为Exchange代理仅有的选择，使用委派模式时，可以选择。开启此功能，

将引入风险，Outlook客户端无法保存用户名密码。此风险发生条件：（1）使用NTLM/NTLM认证；（2）登录客户端PC与登录OutLook的用户不一致。

●SMB2只能使用委派模式

3.详细配置步骤

3.1.WOC加入域

3.1.1.配置DNS

在WOC服务端网关，选择系统->部署设置–>DNS ,设置首选DNS为域所在DNS服务器IP地址。例如：那么域名为，输入的DNS服务器IP即可。设置后，选择保存并生效，

系统提示“修改后将重启服务，确定吗？”，选择确定。

3.1.2.加入域

服务端网关，系统->部署设置->windows域。

填入域名相关信息后，点击加入，加入成功后，状态一栏，显示在域中。

提示：

●域控制器为可选项

●用户名允许为普通账号

3.2.域控制器上配置委派

3.2.1.安装windows工具setspn

注：windows 2008默认已安装此工具，无需重复安装

插入win2003安装光盘，打开光盘资源-SUPPORT--TOOLS，运行SUPTOOLS.MSI，运行后即可在cmd下运行setspn，测试是否安装好，如下所示：

3.2.2.域控制器上新建用户

在域控制器上，根据向导默认建立用户，例如新建用户weipai。

提示：

●建议新建用户时选择密码用不过期。

3.2.3.创建SPN（Service Principal Name）

打开CMD命令行，运行命令：setspn -A http/daserver weipai

注：

●weipai为上一步骤所新建的用户。

●域等级需为Windows Server 2003及以上。

3.2.

4.授予用户委派权限

（1）打开AD用户和计算机，右键用户weipai，选择属性->委派->信任此用户作为指定服务的委派，选择使用任何身份验证协议，若选择仅使用Kerberos(K)会导致解密不成功，如下图所示：

（2）添加->用户或计算机->输入计算机名(Exchange/cifs服务器机器名)

（3）选择cifs/exchangeMDB。

注：

●加速网上邻居选择cifs，加速exchange选择exchangeMDB。

●如有多台服务器需要使用委派，则需要为每台服务器添加服务，即重复（2）（3）

步骤。

3.3.WOC上配置委派账号

（1）系统->部署设置->windows域委派选项–>新建

填写配置信息：

⏹域名（完整域名，如：）

⏹用户名（3.2节已配置的委派权限的用户，如：weipai）

⏹密码（此用户的密码）

注：

●如果多个域的服务器都需要加速，则需要为每个域配置一个账号并具备委派权限（3.2

节）如，父子信任的两个域：和，在WOC上配置了fatherwp 和sonwp两个账号。

●每个域仅允许在WOC上配置一个委派使用的账号。

3.4.WOC配置时间与域控制器一致

系统->系统设置->常规设置

注：

●WOC系统时间应于域控制器时间一致，如相差超过30S将导致委派模式失败，无法加

速。

3.5.WOC应用代理配置

3.5.1.网上邻居（CIFS）应用代理

服务端网关，加速->应用设置->CIFS设置

注：

●如果应用使用了签名，则WOC上需配置启用签名。

●SMB2只能使用委派模式

3.5.2.Exchange邮件应用代理

服务端网关，加速->应用设置->EXCHANGE设置

注：

●已启用解密功能，无需在此页面配置。

●NTLMv2勾选项，只有在委派模式才可用。

3.6.WOC委派服务添加方式

服务端网关，系统->部署设置->windows域委派选项委派服务添加方式

●手动添加：需要用户手动配置委派用户能委派的服务（如3.2.4 授予用户委派权限小节

（2）（3）步骤）。此方式适用于域中服务器较少、手动配置工作量不大的情况，。

●自动添加：在域控制器上配置了自动添加所需要的权限及WOC上选择了自动添加的方

式后，WOC可以帮助用户自动添加委派的服务。此类型适用于域中服务器较多、手动配置工作量较大的情况。