Warum kann ich mich bei einer Box anmelden, obwohl der AD-Domänencontroller nicht funktioniert?

15

Szenario:

  • Während mein DC ausgeführt wird, melde ich mich bei einem beliebigen Computer an.
  • Ich stoppe den DC
  • Ich melde mich von der beliebigen Maschine ab. Lassen Sie es uns auch für ein gutes Maß hüpfen.
  • Wenn der Computer wieder hochfährt, kann ich mich immer noch mit meinen Domänenanmeldeinformationen anmelden, obwohl der Domänencontroller inaktiv ist

Warum und wie?

Befindet sich auf dem "willkürlichen" Computer eine Art lokaler Cache für Anmeldeinformationen im Spiel? Mein Passwort wurde irgendwie gehasht und für die Zukunft in CASE gespeichert, der DC explodiert oder ist ausgefallen?

Funktioniert derselbe Vorgang, wenn ich versuche, mich bei einer Box anzumelden, bei der ich mich zuvor noch nie angemeldet hatte, während der DC inaktiv war?

Russell Christopher
quelle
1
Nur ein interessanter, verwandter Punkt: Das Abziehen eines Netzwerkkabels ist eine Möglichkeit, um zu emulieren, dass der DC ausgefallen ist. Ich bin nicht sicher, ob sich dies in den letzten Jahren geändert hat, aber da die Richtlinie zur Benutzersperrung vom DC implementiert wird, können Sie unendlich viele Versuche unternehmen, die zwischengespeicherten Anmeldeinformationen zu erraten, indem Sie einfach das Netzwerkkabel abziehen.
Daniel B

Antworten:

33

Standardmäßig speichert Windows die letzten 10 bis 25 Benutzer im Cache, die sich bei einem Computer anmelden (abhängig von der Betriebssystemversion). Dieses Verhalten kann über ein Gruppenrichtlinienobjekt konfiguriert werden und ist normalerweise in Fällen, in denen die Sicherheit kritisch ist, vollständig deaktiviert.

Wenn Sie versuchen, sich bei einer Arbeitsstation oder einem Mitgliedsserver anzumelden, bei dem Sie sich noch nie angemeldet haben, während alle Ihre Domänencontroller nicht erreichbar sind, wird eine Fehlermeldung angezeigt There are currently no logon servers available to service the logon request

MDMarra
quelle
3
Die Zwischenspeicherung von Anmeldeinformationen wird aus verschiedenen Gründen durchgeführt. Am bemerkenswertesten ist jedoch der Fall von Laptops. Der CEO ist sehr unglücklich, wenn er nicht arbeiten kann, während er in der Luft ist und keine Verbindung zu Ihrem Netzwerk herstellen kann. Daher wird die Anmeldung zwischengespeichert, damit er sich weiterhin bei seinem Computer anmelden kann.
user24313
1
Es ist üblich, dass Sie sich vor dem Herstellen einer VPN-Verbindung interaktiv beim Betriebssystem anmelden müssen. Wenn die Anmeldung ohne Live-Zugriff auf einen DC nicht möglich ist und ein DC nur über VPN verfügbar ist und ein VPN erst nach der Anmeldung verfügbar ist, haben Sie einen bösen Haken-22. Im Cache gespeicherte Anmeldeinformationen sind eine effektive Lösung dafür.
Brandon
@ Brandon, dass sie sind. Ich habe nicht jedem empfohlen, es zu deaktivieren. Ich habe lediglich bemerkt, dass es häufig vorkommt, security is criticalda es vor einem Offline-Brute-Force-Angriff schützt. Die Lösung für das VPN-Problem besteht darin, beim Start eine Verbindung mit Gerätezertifikaten herzustellen, anstatt sich nach der Anmeldung mit user / pass anzumelden.
MDMarra
2

Ja, Ihre Anmeldeinformationen werden auf jedem Computer zwischengespeichert, auf dem Sie sich anmelden. Wenn Sie sich vor dem Ausfall des Domänencontrollers nicht bei einem bestimmten Computer angemeldet hätten, könnten Sie sich nicht anmelden, da Ihre Anmeldeinformationen nicht verfügbar wären.

John
quelle
7
This is done to avoid unnecessary network usage if you log in to a given machine frequently.- das ist nicht wahr. Wenn Domänencontroller zur Authentifizierung der Anmeldung verfügbar sind, werden diese unabhängig davon zwischengespeichert, ob die Creds dieses Benutzers auf der lokalen Arbeitsstation oder auf dem Mitgliedsserver gespeichert sind. Im Cache gespeicherte Anmeldeinformationen werden nur verwendet, wenn die Arbeitsstation oder der Mitgliedsserver nicht in der Lage ist, einen oder mehrere Domänencontroller zur Authentifizierung zu kontaktieren. Häufige Szenarien, in denen dies geschieht, umfassen das Entfernen von Laptops aus dem Netzwerk, das Nichterreichen von Domänencontrollern aufgrund eines Netzwerkausfalls oder eine andere Unterbrechung des Dienstes.
MDMarra
Ok, ich habe die Antwort geändert, um die falschen Informationen zu entfernen.
John
-2

Beachten Sie auch, dass der Domänencontroller und die Client-Box im Rahmen von Gruppenrichtlinienvorgängen regelmäßig Anmeldungen synchronisieren, jedoch nur, wenn beide online sind.

Sie können sich beispielsweise bei Ihrer Arbeitsstation (Alice) anmelden und die Verbindung zum Netzwerk trennen, sich dann bei einer zweiten Arbeitsstation (Bob) anmelden und das AD-Kennwort Ihrer Anmeldung (über Strg-Alt-Entf) von Bob ändern. Das Passwort wird sofort auf Bob und dem DC (Charlie) aktualisiert, aber es ist immer noch der alte Wert (zwischengespeichert) auf Alice.

Wenn Sie Alice wieder mit dem Netzwerk verbinden, erhalten Sie nach ein oder zwei Augenblicken wahrscheinlich eine Benachrichtigung in der Taskleiste mit der Meldung "Windows benötigt Ihre aktuellen Anmeldeinformationen". Dies ist das Ergebnis der Synchronisierung der Periodengruppenrichtlinien durch Alice und Charlie. Wenn Sie Ihr neues Passwort eingeben, wird Ihre Eingabe für Charlie validiert und die zwischengespeicherten Anmeldeinformationen für Alice aktualisiert.

Ryan
quelle
3
It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online. Seufz, das hat nichts mit Gruppenrichtlinien zu tun. Sobald Sie Zugriff auf eine Netzwerkressource benötigen und Ihre zwischengespeicherten Anmeldeinformationen verwendet werden, müssen Sie sich authentifizieren. Es gibt keine "Passwort-Synchronisierung" oder ähnliches, insbesondere nicht von GPO. Wahrscheinlich sehen Sie dies sofort, weil permanente Laufwerkszuordnungen oder ein geöffnetes Exchange-Postfach oder etwas Ähnliches vorhanden sind, für das Ihre Anmeldeinformationen fast sofort benötigt werden.
MDMarra
1
Vielen Dank, dass Sie auf seinen Fehler in Bezug auf Gruppenrichtlinien hingewiesen haben. Ich sollte auch darauf hinweisen, dass es sehr wenig damit zu tun hat, Passwörter miteinander zu synchronisieren und mehr damit, dass neue Tickets / Schlüsselpaare angefordert / ausgestellt werden. Sehen Sie sich das an, wenn das, was ich gerade gesagt habe, keinen Sinn ergibt. msdn.microsoft.com/en-us/library/windows/desktop/… Wahrscheinlich hatten Sie so etwas wie Outlook oder die als MDMarra erwähnten Laufwerkszuordnungen geöffnet, da diese sofort versuchen, sich zu authentifizieren, aber da sie ein altes Ticket / Schlüssel-Paar haben, versuchen sie es muss ein neues gewährt werden, bevor sie fortfahren können
Brad Bouchard