Pourquoi puis-je me connecter à une boîte même si le contrôleur de domaine AD est en panne?

15

Scénario:

  • Pendant que mon DC fonctionne, je me connecte à une machine arbitraire.
  • J'arrête le DC
  • Je me déconnecte de la machine arbitraire. Faisons-le rebondir pour faire bonne mesure aussi.
  • Lorsque la machine revient, je peux toujours me connecter avec mes informations d'identification de domaine même si DC est en panne

Pourquoi et comment?

Y a-t-il une sorte de cache d'informations d'identification locales en jeu sur la machine "arbitraire"? Mon mot de passe a été haché et stocké pour l'avenir dans CASE le DC explose ou est en panne?

Le même processus fonctionnerait-il si j'essayais de me connecter à une boîte à laquelle je ne m'étais jamais connecté auparavant alors que le contrôleur de domaine est en panne?

windows active-directory domain-controller Russell Christopher
la source
1
Juste un point intéressant et connexe: le débranchement d'un câble réseau est un moyen d'émuler "le courant continu est en panne". Je ne sais pas si cela a changé ces dernières années, mais comme la politique de verrouillage des utilisateurs est mise en œuvre par le contrôleur de domaine, vous pouvez obtenir des tentatives infinies pour deviner les informations d'identification mises en cache en débranchant simplement le câble réseau.
Daniel B

Réponses:

33

Par défaut, Windows mettra en cache les 10 à 25 derniers utilisateurs pour se connecter à une machine (selon la version du système d'exploitation). Ce comportement est configurable via GPO et est généralement complètement désactivé dans les cas où la sécurité est critique.

Si vous essayez de vous connecter à un poste de travail ou à un serveur membre auquel vous ne vous êtes jamais connecté alors que tous vos contrôleurs de domaine sont inaccessibles, vous obtiendrez une erreur indiquant There are currently no logon servers available to service the logon request

MDMarra
la source
3
La mise en cache des informations d'identification est effectuée pour diverses raisons, mais parmi les plus notables se trouve le cas des ordinateurs portables. Le PDG sera très mécontent s'il ne peut pas travailler pendant qu'il est en l'air et incapable de se connecter à votre réseau, de sorte que la connexion est mise en cache pour lui permettre de toujours se connecter à son ordinateur.
user24313
1
Il est courant de devoir se connecter au système d'exploitation de manière interactive avant d'établir une connexion VPN. Si la connexion est impossible sans accès en direct à un DC, et qu'un DC n'est disponible que via VPN et qu'un VPN n'est disponible qu'après la connexion, vous avez un catch-22 méchant. Les informations d'identification mises en cache sont une solution efficace à cela.
Brandon
@Brandon qu'ils sont. Je ne recommandais pas à tout le monde de le désactiver, je notais simplement qu'il est courant où security is criticalcela empêchera une attaque par force brute hors ligne. La solution au problème VPN est de se connecter au démarrage à l'aide de certificats d'appareil plutôt que de se connecter avec l'utilisateur / pass.
MDMarra
2

Oui, vos informations d'identification sont mises en cache sur chaque machine à laquelle vous vous connectez. Si vous ne vous êtes pas connecté à une machine donnée avant la panne du contrôleur de domaine, vous ne pourrez pas vous connecter car vos informations d'identification ne seront pas disponibles.

John
la source
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- ce n'est pas vrai. S'il existe des contrôleurs de domaine disponibles pour authentifier la connexion, ils le seront indépendamment du fait que les informations d'identification de cet utilisateur soient mises en cache ou non sur la station de travail locale ou le serveur membre. Les informations d'identification mises en cache ne sont utilisées que lorsque la station de travail ou le serveur membre n'est pas en mesure de contacter un ou plusieurs contrôleurs de domaine pour l'authentification. Les scénarios courants où cela se produit incluent les ordinateurs portables retirés du réseau, les contrôleurs de domaine inaccessibles en raison d'une panne de réseau ou de toute autre interruption de service.
MDMarra
Ok, j'ai modifié la réponse pour supprimer les informations incorrectes.
John
-2

Il convient également de noter que le DC et la boîte client synchronisent régulièrement les connexions dans le cadre des opérations de stratégie de groupe, mais uniquement lorsqu'elles sont toutes deux en ligne.

Par exemple, vous pouvez vous connecter à votre poste de travail (Alice) et le déconnecter du réseau, puis vous connecter à un deuxième poste de travail (Bob) et modifier le mot de passe AD de votre connexion (via ctrl-alt-del) de Bob. Le mot de passe est mis à jour instantanément sur Bob et le DC (Charlie), mais est toujours l'ancienne valeur (mise en cache) sur Alice.

Si vous reconnectez Alice au réseau, après un moment ou deux, vous obtiendrez probablement une notification à bulle de la barre des tâches indiquant "Windows a besoin de vos informations d'identification actuelles". Ceci est le résultat d'Alice et Charlie effectuant la synchronisation de stratégie de groupe de période. La saisie de votre nouveau mot de passe validera votre entrée par rapport à Charlie et mettra à jour les informations d'identification mises en cache sur Alice.

Ryan
la source
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. soupirer cela n'a rien à voir avec la stratégie de groupe. Dès que vous avez besoin d'accéder à une ressource réseau et que vos informations d'identification mises en cache sont utilisées, vous devrez vous authentifier. Il n'y a pas de "synchronisation de mot de passe" ou quelque chose comme ça, surtout pas de GPO. Vous le voyez probablement tout de suite car vous avez des mappages de lecteur persistants ou une boîte aux lettres Exchange ouverte, ou quelque chose comme ça qui a besoin de vos informations d'identification presque immédiatement.
MDMarra
1
Merci d'avoir signalé sa faille concernant la stratégie de groupe. Je dois également souligner que cela a très peu à voir avec la synchronisation des mots de passe les uns avec les autres et plus avec les nouveaux billets / paires de clés demandés / émis. Voyez si ce que je viens de dire n'a pas de sens. msdn.microsoft.com/en-us/library/windows/desktop/… Vous avez probablement eu quelque chose comme Outlook ou les mappages de lecteurs ouverts comme MDMarra l'a mentionné, car ils essaieront immédiatement de s'authentifier, mais comme ils ont une ancienne paire ticket / clé, ils devra en obtenir un nouveau avant de pouvoir continuer
Brad Bouchard