ADドメインコントローラーがダウンしている場合でも、なぜボックスにログインできるのですか？

15

シナリオ：

DCの実行中に、任意のマシンにログインします。
DCを停止します
任意のマシンからログオフします。それをうまく測るためにバウンスしましょう。
マシンが復旧しても、DCがダウンしていてもドメイン資格情報でログインできます

なぜ、どのように？

「任意の」マシンで何らかのローカル資格情報キャッシュが使用されていますか？パスワードが何らかの方法でハッシュ化され、将来のために保存されました。

DCがダウンしている間に以前にログインしたことのないボックスにログインしようとした場合、同じプロセスが機能しますか？

windows active-directory domain-controller

— ラッセルクリストファー
ソース

1

興味深い、関連するポイント：ネットワークケーブルを抜くことは、「DCがダウンしている」ことをエミュレートする1つの方法です。これが近年変更されたかどうかはわかりませんが、ユーザーロックアウトポリシーはDCによって実装されているため、ネットワークケーブルを取り外すだけで、キャッシュされた資格情報を推測しようとする無限の試みを得ることができます。

— ダニエルB

33

デフォルトでは、Windowsは最後の10-25人のユーザーをキャッシュしてマシンにログインします（OSのバージョンによって異なります）。この動作はGPOを介して構成可能であり、通常、セキュリティが重要な場合には完全にオフになります。

すべてのDCにアクセスできないときに、一度もログインしたことのないワークステーションまたはメンバーサーバーにログインしようとすると、次のようなエラーが表示されます。 There are currently no logon servers available to service the logon request

— MDMarra
ソース

3

クレデンシャルキャッシングはさまざまな理由で行われますが、最も注目すべきはラップトップの場合です。CEOは、空中で仕事をすることができず、ネットワークに接続できない場合、非常に不幸になります。そのため、ログインはキャッシュされて、コンピューターにログインできるようになります。

— user24313

1

VPN接続を開始する前に、OSに対話的にログインする必要があるのが一般的です。DCへのライブアクセスなしではログインが不可能であり、DCがVPN経由でのみ利用可能であり、VPNがログイン後にのみ利用可能な場合、厄介なキャッチ22があります。キャッシュされた資格情報は、それに対する効果的なソリューションです。

— ブランドン

@Brandonはそうです。私は誰もがそれを無効にすることをお勧めしていませんでしたsecurity is critical。オフラインのブルートフォース攻撃を防ぐため、どこでそれが一般的であることに単に気づいていました。VPNの問題の解決策は、ユーザー/パスによるログオン後ではなく、デバイス証明書を使用して起動時に接続することです。

— MDMarra

2

はい、資格情報はログインする各マシンにキャッシュされます。DCがダウンする前に特定のマシンにログインしていなかった場合、資格情報が利用できないため、ログインできません。

— ジョン
ソース

7

This is done to avoid unnecessary network usage if you log in to a given machine frequently.- 本当じゃない。ログオンの認証に利用可能なDCがある場合、DCは、そのユーザーの資格情報がローカルワークステーションまたはメンバーサーバーにキャッシュされているかどうかに関係なくなります。キャッシュされた資格情報は、ワークステーションまたはメンバーサーバーが認証のために1つ以上のドメインコントローラーに接続できない場合にのみ使用されます。これが発生する一般的なシナリオには、ラップトップがネットワークから切り離されている、ネットワークの停止やその他のサービスの中断によりDCに到達できないなどがあります。

— MDマーラ

OK、答えを修正して、間違った情報を削除しました。

— ジョン

-2

また、DCとクライアントボックスがグループポリシー操作の一部として定期的にログインを同期しますが、両方がオンラインである場合にのみ注意する必要があります。

たとえば、ワークステーション（Alice）にログインしてネットワークから切断し、次に2番目のワークステーション（Bob）にログインして、ログインのADパスワードを（ctrl-alt-del経由で）Bobから変更します。パスワードは、BobとDC（Charlie）で即座に更新されますが、Aliceの古い値（キャッシュ）のままです。

Aliceをネットワークに再接続すると、1、2秒後に「Windowsには現在の資格情報が必要です」というタスクバーのバブル通知が表示される可能性があります。これは、アリスとチャーリーが期間グループポリシーを同期した結果です。新しいパスワードを入力すると、エントリがチャーリーに対して検証され、Aliceのキャッシュされた資格情報が更新されます。

— ライアン
ソース

3

It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online.

ため息これは、グループポリシーとは何の関係もありません。ネットワークリソースへのアクセスが必要になり、キャッシュされた資格情報が使用されるとすぐに、認証が必要になります。「パスワード同期」など、特にGPOからのものはありません。永続的なドライブマッピングまたはExchangeメールボックスが開いている、または資格情報をほぼすぐに必要とするようなものがあるため、すぐにこれが表示される可能性があります。

— MDMarra

1

グループポリシーに関する彼の欠陥を指摘していただきありがとうございます。また、パスワードを相互に同期することと、リクエスト/発行されている新しいチケット/キーのペアとの関係はほとんどありません。今言ったことが意味をなさない場合は、これを参照してください。 msdn.microsoft.com/en-us/library/windows/desktop / ... MDMarraが言及したように、Outlookまたはドライブマッピングのようなものがすぐに認証を試みますが、古いチケット/キーペアがあるため、続行する前に新しいものを付与する必要があります

— ブラッド・ブシャール