Jump to content

Login in Domäne trotz Zeitunterschied möglich


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

Ich habe in einer Testumgebung eine Domäne aufgesetzt, mit einem Windows Server 2012R2 als DC und mit einem Win7 als Client.

 

Standardmässig liegt die "Maximum tolerance for computer clock synchronisation" bei 5 Minuten. Für mich bedeuted das, dass wenn der Client mehr als 5 Minuten vor oder hinter dem DC ist, dass das Login fehlschlagen sollte. 

 

Allerdings funktioniert das nicht, resp. das Login funktioniert problemlos. Sogar wenn der Client über ein Jahr in der Zukunft liegt. Woran kann das liegen? Muss ich noch etwas zusätzliches konfigurieren damit das funktioniert oder wie kann ich erwingen, dass das Login verhindert wird?

 

Functional level der Domain und Forest sind beide 2012R2

 

Danke und freundliche Grüsse,

Michi

Link to comment

Ja, ich habe ein Ticket bekommen. Der Timeskew ist -180 Minuten (also ist der Client 3 Stunden voraus), was mit den aktuellen Einstellungen auch überreinstimmt.

 

Im Eventlog vom Domain Controller habe ich zu dieser Zeit meherere Audit Success von Kerberos, einige den User, andere den Client betreffend. Soll ich diese auch noch posten? Und wenn ja welche davon?

 

Ausserdem habe ich gesehen, dass die Maximum tolerance ...." Policy nur in der Default Domain Policy auf 5 Minuten gesetzt ist, in der Default Domain Controllers Policy ist diese Richtlinie nicht definiert, könnte es das sein?

 

post-72338-0-62798600-1476172709_thumb.png

Link to comment

Da ist glaube ich ein Verständnisproblem:

- Du (=dein Useraccount) meldest dich nicht am Client, sondern am DC an. Daher hat dein TGT-Ticket auch die Zeit des AnmdeldeDCs.

- Dein Client versucht sich mit seinem Computerkonto und seiner (verdrehten) Zeit am DC anzumelden und bekommt bei TimeSkew > 5 Minuten eine auf die Finger.

 

führ doch mal beispielsweise "gpupdate" aus (bitte ohne -force, sonst werden wir geschimpft biggrin.gif  ).

Die Userpolicy dürfte in jedem Fall gezogen werden.

Die Clientpolicy nur, wenn die Clientzeit soweit im Rahmen liegt. Ohne ClientTicket gibt's kein Sessionticket für den Client

 

Große Probleme gibt es, wenn mehrere DCs einer Domäne nicht ausreichend synchron laufen.

 

Ich hoffe, dass stimmt so einigermaßen.

blub

Link to comment

Ich konnte gpupdate (mit und ohne force) testen.

 

In beiden Fällen erhielt ich das von dir prophezeite Ergebnis: 

- die Userpolicy wurde gezogen,

- die Clientpolicy schlug wegen der zu grossen Zeitdifferenz fehl.

 

Soweit ich das verstanden habe, hat der DC meinem Client "auf die Finger gehauen", jedoch dürfen sich User trotzdem von diesem Client aus an der Domäne authentifizieren. Dies weil sie sich nicht am Computer sondern an der Domäne (=DC) einloggen. Der Client jedoch mit seiner falschen Zeit konnte sich nicht an der Domäne mit seinem Computerkonto anmelden. Deshalb schlug die Clientpolicy beim gpupdate fehl.

 

Habe ich das soweit richtig verstanden? 

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...