logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

AD Windows Server 2016 - Uwierzytelnianie przy awarii serwera

darekwilno 29 Sty 2019 00:03 879 6
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 17738820
    darekwilno
    Poziom 3  
    Posty: 51
    Ocena: 5
    Proszę o informację jak zachowuje się konto użytkownika, który zalogował się do serwera, ale po chwili serwer uległ awarii.
    Czy użytkownik z automaty jest wylogowywany?
  • REKLAMA
  • #2 17738986
    chudybyk
    Poziom 32  
    Posty: 1524
    Pomógł: 195
    Ocena: 293
    Nie jest wylogowywany. A nawet lokalny system będzie pamiętał dane logowania i po zamknięciu komputera pozwoli się ponownie zalogować z ostatnimi prawidłowymi - użytkownikom których pamięta. Dopiero po upłynięciu czasu wygaśnięcia hasła logowanie się nie uda.
  • REKLAMA
  • #3 17739310
    pioflo
    Poziom 18  
    Posty: 204
    Pomógł: 26
    Ocena: 27
    Pytasz o użytkownika zalogowanego u siebie na kompie lokalnie? To go nie wyloguje, ale dopóki nie będzie miał dostępu do kontrolera domeny to będziesz miał problemy z zalogowaniem się ponownie. W skrócie: jak komputer jest wpięty w sieć i nie ma w niej dostępnego kontrolera domeny to się nie zalogujesz (będzie błąd: brak dostępnych serwerów uwierzytelniania). Ale jak kompa wypniesz z sieci (rozłączysz kabel albo wifi) to zalogujesz się bez problemu ostatnim prawidłowym hasłem.
    To powyżej to nie jest reguła, ale z doświadczenia zauważyłem że najczęściej tak to działa.

    Jeśli pytasz o użytkownika który jest zalogowany na serwerze przez RDP na przykład i ten serwer ulegnie awarii to wtedy tak, zostaniesz wylogowany ;)
  • REKLAMA
  • #4 17748665
    darekwilno
    Poziom 3  
    Posty: 51
    Ocena: 5
    chudybyk napisał:
    Dopiero po upłynięciu czasu wygaśnięcia hasła logowanie się nie uda.

    Jaki to czas i gdzie można go zmienić?

    pioflo napisał:

    jak komputer jest wpięty w sieć i nie ma w niej dostępnego kontrolera domeny to się nie zalogujesz


    Jak to się ma do kolegi wyżej, który pisał że zaloguję się.
  • #5 17748719
    chudybyk
    Poziom 32  
    Posty: 1524
    Pomógł: 195
    Ocena: 293
    darekwilno napisał:
    Jaki to czas i gdzie można go zmienić?
    To zwykle ustawia admin w ustawieniach konta na serwerze AD. Powszechną praktyką jest wymuszanie zmiany hasła co jakiś czas, np. co 3 tygodnie. Kiedy maszyna bez dostępu do AD uzna, że jest po czasie, to może odmówić logowania do czasu nawiązania połączenia z AD.
  • #6 17748771
    jprzedworski
    Specjalista Sieci, Internet
    Posty: 5352
    Pomógł: 757
    Ocena: 824
    darekwilno napisał:
    gdzie można go zmienić?
    Na serwerze w GPO - Szablonach administracyjnych można ustawić domyślny czas wygasania.. W ustawieniach konta użytkownika można też wybrać "hasło nigdy nie wygasa".
  • REKLAMA
  • #7 17749089
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9093
    Pomógł: 1493
    Ocena: 2491
    1. Serwer LDAP (AD) sprawdza tylko użytkownika i nadaje mu uprawnienia (do logowania, zasobów itd). Uprawnienia jakie uzyskał użytkownik (+ token SSO) są ważne przez nadany czas (np do wylogowania).
    2. Przy braku połączenia z siecią użytkownik zaloguje się do PC na podstawie danych w Logon Cache (domyślnie przez 30 dni od utraty połączenia z AD). Jednak nie uzyska już uprawnień do zasobów na NAS, bo nie zostanie uwierzytelniony w AD, a token SSO jest ważny tylko ok 120minut.
    3. Sposób logowania przy braku kontrolera i czasy ważności tokenów ustawia się w kontrolerze (konfiguracja kontrolera) oraz na stacjach w rejestrze ( podstawowe ustawienia można zrobić przez GPO).

    Jak dokładnie przebiega proces AAA dowiesz się po wpisaniu w google:
    ad authentication process flow
    Do tego poszukaj hasła "kerberos" i będziesz wiedział o podstawach AD.
    Pomogłem? Kup mi kawę.
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Konto użytkownika, który zalogował się do serwera Windows Server 2016, nie jest automatycznie wylogowywane w przypadku awarii serwera. Użytkownik może ponownie zalogować się lokalnie, korzystając z ostatnich prawidłowych danych logowania, o ile nie upłynął czas ważności hasła. W przypadku braku dostępu do kontrolera domeny, użytkownik napotka problemy z ponownym logowaniem, ale po odłączeniu od sieci będzie mógł użyć pamięci podręcznej logowania. Czas ważności tokenów SSO oraz ustawienia dotyczące wygasania haseł są konfigurowane przez administratora w Active Directory oraz w GPO. Domyślny czas wygasania haseł można ustawić w GPO, a także można wybrać opcję "hasło nigdy nie wygasa".
Wygenerowane przez model językowy.
REKLAMA