تفعيل مصادقة ويندوز المتكاملة على نطاق Active Directory

هذا الدليل مقدم لتكوين مصادقة ويندوز المتكاملة (Kerberos/NTLM) مع حساب خدمة مُدار جماعي (gMSA) على بوابة الويب.

نظرًا للطبيعة الفريدة لشبكة كل شركة وهندستها، لا يمكننا تقديم الدعم للمشكلات الناشئة عن اتباع هذه الوثائق. إنها تلبي المتطلبات الفنية لبوابة الويب مع مصادقة ويندوز المدمجة، ولكن التنفيذ يكون على مسؤوليتك الخاصة.

تكوين النطاق

يجب أن يدعم بيئة Active Directory مصادقة Kerberos أو NTLM.

إعداد حساب خدمة مُدارة (gMSA)

قم بتثبيت خدمة بوابة الويب وتشغيلها مع حساب خدمة إدارة المجال بدلاً من حساب مسؤول المجال.

المتطلبات الأساسية

• مستوى مخطط Active Directory: Windows Server 2012 أو لاحقًا (مطلوب لـ gMSA)
• على الأقل وحدة تحكم مجال واحدة تعمل Windows Server 2012 أو لاحقًا
• تم إنشاء مفتاح جذر KDS (إعداد لمرة واحدة)
• العضوية في مديرو النطاق أو مشغلو الحسابات لإنشاء الحساب

إنشاء مفتاح الجذر KDS (إذا لم يتم إنشاؤه بالفعل)

تشغيل على وحدة تحكم المجال في جلسة PowerShell مرتفعة:

Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))

هذا يجعل مفتاح الجذر متاحًا على الفور.

إنشاء gMSA

استخدم حساب خدمة جديد-AD :

New-ADServiceAccount `
  -Name "WebPortalSvc" `
  -DNSHostName "WebPortalSvc.domain.local" `
  -PrincipalsAllowedToRetrieveManagedPassword "YourServerGroup" `
  -Enabled $true

• اسم اسم حساب gMSA
• اسم مضيف DNS اسم المجال الكامل للحساب
• المسؤولون المسموح لهم باسترجاع كلمة المرور المدارة أجهزة الكمبيوتر/المجموعة المسموح لها باستخدام هذا gMSA

منح حقوق المسؤول (اختياري / حسب الحاجة)

بشكل افتراضي، لا تمتلك gMSA أي امتيازات خاصة.

لمنح الوصول على مستوى المجال (اختياري):

Add-ADGroupMember -Identity "Domain Admins" -Members "WebPortalSvc$"

لمنح صلاحية المسؤول المحلي/تسجيل الدخول (إذا لزم الأمر):

Add-ADGroupMember -Identity "Administrateurs" -Members "WebPortalSvc$"

مهم: النهاية $ مطلوب لمراجع حساب gMSA في AD.

متطلبات إعادة التشغيل

يجب إعادة التشغيل قبل المتابعة وتثبيت/استخدام حساب الخدمة. كما يجب تحديث السياسات.

قم بتثبيت gMSA على الخوادم المستهدفة

قم بتشغيله على كل خادم سيستخدم gMSA:

Install-ADServiceAccount -Identity "WebPortalSvc"

تثبيت الاختبار:

Test-ADServiceAccount -Identity "WebPortalSvc"

تكوين الخدمات لاستخدام gMSA

1. منح تسجيل الدخول كخدمة إلى الحساب:

   • فتح محرر سياسة المجموعة
   • اذهب إلى: تكوين الكمبيوتر > إعدادات ويندوز > إعدادات الأمان > السياسات المحلية > تعيين حقوق المستخدم
   • فتح تسجيل الدخول كخدمة
   • أضف DOMAIN\WebPortalSvc$

2. تأكد من أذونات NTFS على ملفات/مجلدات بوابة الويب:

   • انقر بزر الماوس الأيمن على مجلد التطبيق/الملف القابل للتنفيذ > الخصائص > الأمان
   • أضف DOMAIN\WebPortalSvc$
   • امنح على الأقل قراءة وتنفيذ أو التحكم الكامل إذا لزم الأمر من قبل نشر تطبيقك

3. تكوين هوية الخدمة:

   • الحساب: DOMAIN\WebPortalSvc$
   • كلمة المرور: اتركه فارغًا

تكوين اسم المبدأ الخدمي (SPN)

يجب تسجيل خدمة الويب في Kerberos.

تشغيل على وحدة تحكم المجال:

setspn -A HTTP/webserver.domain.com DOMAIN\WebPortalSvc

استبدل باسم المجال الكامل للخادم الخاص بك وحسابك.

إذا كان خادم استضافة بوابة الويب يستخدم HTTP.sys، قم بتسجيل SPN ضد حساب الجهاز:

setspn -S HTTP/portal.hiyoko.com:8008 WIN-HLBO0AGABB7
setspn -S HTTP/portal.hiyoko.com:8009 WIN-HLBO0AGABB7

تكوين الشبكة على جهاز العميل

لوضع عميل مرتبط بالنطاق في الشبكة الفرعية الصحيحة:

1. حدد واجهة الشبكة الصحيحة
2. إزالة عنوان IP ثابت موجود (إذا كان غير صحيح)
3. تعيين عنوان IP ثابت، وقناع الشبكة الفرعية، وبوابة افتراضية تتطابق مع شبكة DNS/DC الفرعية
4. تعيين عناوين خادم DNS

مهم: قم بتعيين عناوين IP ثابتة لوحدة التحكم في المجال والعملاء. تتطلب مزامنة سياسة الأمان أن تكون الآلات في نفس الشبكة الفرعية في هذا السياق.

السماح بالاتصال المطلوب للعميل

UDP/TCP 53 قد يتم حظره، مما يمنع استعلامات DNS.

خطوات استكشاف الأخطاء وإصلاحها

تحقق من حالة خادم DNS

على وحدة التحكم بالمجال:

net start DNS

تحقق من أن خدمة DNS تعمل.

تحقق من عنوان IP لخادم DNS

على العميل:

ipconfig /all

تأكد من أن عنوان خادم DNS يتطابق مع عنوان وحدة التحكم في المجال.

اختبار الاتصال الأساسي

على العميل:

ping <DC_IP_Address>

إذا فشل اختبار الاتصال، تحقق من توجيه الشبكة/الجدار الناري.

تحقق من قواعد جدار الحماية

تأكد من السماح بـ UDP/TCP 53 الوارد/الصادر على العميل والخادم.

اختبار باستخدام nslookup

nslookup domain.com <DC_IP_Address>

إذا كان هذا يعمل، فقد يكون خادم DNS الافتراضي غير مُهيأ بشكل صحيح أو غير قابل للوصول.

مراجعة عارض الأحداث

على وحدة التحكم بالمجال، تحقق من الأخطاء المتعلقة بنظام أسماء النطاقات.

قم بتكوين Mozilla Firefox لمصادقة Windows المدمجة

فايرفوكس لا يستخدم WIA بشكل افتراضي.

الخطوة 1: التفاوض على URIs الموثوقة

1. افتح فايرفوكس
2. اذهب إلى حول:الإعدادات
3. قبول التحذير
4. إعداد network.negotiate-auth.trusted-uris إلى مجالاتك، على سبيل المثال:
   • intranet.domain.com, domain.com

الخطوة 2: URIs موثوقة NTLM

إعداد network.automatic-ntlm-auth.trusted-uris إلى نفس قائمة النطاقات.

الخطوة 3: URIs تفويض Kerberos (إذا لزم الأمر)

إعداد network.negotiate-auth.delegation-uris ، على سبيل المثال:

• domain.com

الخطوة 4: إعادة تشغيل المتصفح

أعد تشغيل Firefox لتطبيق التغييرات.

تكوين Google Chrome لمصادقة Windows المدمجة

يستخدم Chrome إعدادات مصادقة Windows/النظام.

عبر سياسة المجموعة (موصى به)

1. تحميل قوالب Chrome ADMX:
   • https://chromeenterprise.google/policies/
2. نسخ chrome.admx و كروم.adml إلى:
   • C:\Windows\PolicyDefinitions
   • C:\Windows\PolicyDefinitions\ar-SA
3. فتح gpedit.msc
4. اذهب إلى:
   • تكوين الكمبيوتر > القوالب الإدارية > جوجل > جوجل كروم
5. قم بتمكين المصادقة المدمجة لمواقع الإنترانت وتكوين المواقع الموثوقة:
   • intranet.domain.com, domain.com
6. تطبيق السياسة:

gpupdate /force

طرق أخرى

لم تنجح طرق أخرى (مثل خيارات وأعلام سطر أوامر Chrome) في هذا السياق.

تكوين Microsoft Edge لمصادقة Windows المدمجة

يستخدم Edge سياسات Microsoft Edge وإعدادات منطقة الأمان في Windows.

تمكين تسجيل الدخول التلقائي في منطقة الشبكة الداخلية

1. فتح خيارات الإنترنت
2. أمان علامة التبويب > الشبكة الداخلية المحلية > مستوى مخصص
3. تحت مصادقة المستخدم ، مجموعة:
   • تسجيل الدخول التلقائي فقط في منطقة الإنترانت

تكوين سياسات Edge عبر GPO

الخطوة 1: تثبيت قوالب Edge ADMX

1. تحميل:
   • https://www.microsoft.com/en-us/edge/business/download
2. نسخ msedge.admx و msedge.adml إلى:
   • C:\Windows\PolicyDefinitions
   • C:\Windows\PolicyDefinitions\ar-SA

الخطوة 2: تعديل إعدادات السياسة

1. فتح gpedit.msc
2. اذهب إلى:
   • تكوين الكمبيوتر > القوالب الإدارية > مايكروسوفت إيدج
3. تمكين:
   • قم بتكوين قائمة الخوادم التي يمكن لـ Microsoft Edge تفويض بيانات الاعتماد إليها
4. تكوين الخوادم الموثوقة:
   • intranet.domain.com, domain.com

الخطوة 3: تطبيق السياسات

gpupdate /force

طرق أخرى

لم تنجح طرق أخرى (خيارات وأعلام سطر الأوامر في Edge) في هذا السياق.

استكشاف الأخطاء وإصلاحها في المصادقة المدمجة

تحقق من تذاكر كيربيروس

على عميل ويندوز:

klist

يجب أن ترى تذكرة لـ HTTP/webserver.domain.com .

مسح بيانات الاعتماد/التذاكر المخزنة مؤقتًا

klist purge

تحقق من تسجيل SPN

على وحدة التحكم بالمجال:

setspn -L serviceaccount

تأكد HTTP/webserver.domain.com مدرج.

تصحيح كيربيروس في فايرفوكس

ابدأ Firefox مع تسجيل الدخول:

set NSPR_LOG_MODULES=negotiateauth:5
set NSPR_LOG_FILE=%USERPROFILE%\Desktop\firefox.log
start firefox.exe

مراجعة firefox.log لأخطاء المصادقة.

تحقق من سياسات Chrome

في كروم، افتح:

chrome://policy

تأكد قائمة السماح بخادم المصادقة و قائمة السماح لمفوض التفاوض على المصادقة تُطبق.

تحقق من سياسات Edge

في إيدج، افتح:

edge://policy

تأكد قائمة السماح بخادم المصادقة و قائمة السماح لمفوض التفاوض على المصادقة تُطبق.