Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

AD Windows Server 2016 - Uwierzytelnianie przy awarii serwera

darekwilno 29 Jan 2019 00:03 633 6
  • #1
    darekwilno
    Level 3  
    Proszę o informację jak zachowuje się konto użytkownika, który zalogował się do serwera, ale po chwili serwer uległ awarii.
    Czy użytkownik z automaty jest wylogowywany?
  • #2
    chudybyk
    Level 31  
    Nie jest wylogowywany. A nawet lokalny system będzie pamiętał dane logowania i po zamknięciu komputera pozwoli się ponownie zalogować z ostatnimi prawidłowymi - użytkownikom których pamięta. Dopiero po upłynięciu czasu wygaśnięcia hasła logowanie się nie uda.
  • #3
    pioflo
    Level 18  
    Pytasz o użytkownika zalogowanego u siebie na kompie lokalnie? To go nie wyloguje, ale dopóki nie będzie miał dostępu do kontrolera domeny to będziesz miał problemy z zalogowaniem się ponownie. W skrócie: jak komputer jest wpięty w sieć i nie ma w niej dostępnego kontrolera domeny to się nie zalogujesz (będzie błąd: brak dostępnych serwerów uwierzytelniania). Ale jak kompa wypniesz z sieci (rozłączysz kabel albo wifi) to zalogujesz się bez problemu ostatnim prawidłowym hasłem.
    To powyżej to nie jest reguła, ale z doświadczenia zauważyłem że najczęściej tak to działa.

    Jeśli pytasz o użytkownika który jest zalogowany na serwerze przez RDP na przykład i ten serwer ulegnie awarii to wtedy tak, zostaniesz wylogowany ;)
  • #4
    darekwilno
    Level 3  
    chudybyk wrote:
    Dopiero po upłynięciu czasu wygaśnięcia hasła logowanie się nie uda.

    Jaki to czas i gdzie można go zmienić?

    pioflo wrote:

    jak komputer jest wpięty w sieć i nie ma w niej dostępnego kontrolera domeny to się nie zalogujesz


    Jak to się ma do kolegi wyżej, który pisał że zaloguję się.
  • #5
    chudybyk
    Level 31  
    darekwilno wrote:
    Jaki to czas i gdzie można go zmienić?
    To zwykle ustawia admin w ustawieniach konta na serwerze AD. Powszechną praktyką jest wymuszanie zmiany hasła co jakiś czas, np. co 3 tygodnie. Kiedy maszyna bez dostępu do AD uzna, że jest po czasie, to może odmówić logowania do czasu nawiązania połączenia z AD.
  • #6
    jprzedworski
    Network and Internet specialist
    darekwilno wrote:
    gdzie można go zmienić?
    Na serwerze w GPO - Szablonach administracyjnych można ustawić domyślny czas wygasania.. W ustawieniach konta użytkownika można też wybrać "hasło nigdy nie wygasa".
  • #7
    IC_Current
    Network and Internet specialist
    1. Serwer LDAP (AD) sprawdza tylko użytkownika i nadaje mu uprawnienia (do logowania, zasobów itd). Uprawnienia jakie uzyskał użytkownik (+ token SSO) są ważne przez nadany czas (np do wylogowania).
    2. Przy braku połączenia z siecią użytkownik zaloguje się do PC na podstawie danych w Logon Cache (domyślnie przez 30 dni od utraty połączenia z AD). Jednak nie uzyska już uprawnień do zasobów na NAS, bo nie zostanie uwierzytelniony w AD, a token SSO jest ważny tylko ok 120minut.
    3. Sposób logowania przy braku kontrolera i czasy ważności tokenów ustawia się w kontrolerze (konfiguracja kontrolera) oraz na stacjach w rejestrze ( podstawowe ustawienia można zrobić przez GPO).

    Jak dokładnie przebiega proces AAA dowiesz się po wpisaniu w google:
    ad authentication process flow
    Do tego poszukaj hasła "kerberos" i będziesz wiedział o podstawach AD.