AD 도메인 컨트롤러가 다운 된 경우에도 왜 상자에 로그인 할 수 있습니까?

15

대본:

DC가 작동하는 동안 임의의 컴퓨터에 로그인합니다.
나는 DC를 멈춘다
임의의 컴퓨터에서 로그 오프합니다. 좋은 측정을 위해 바운스하자.
컴퓨터가 다시 켜도 DC가 다운 되어도 도메인 자격 증명으로 로그인 할 수 있습니다

왜 그리고 어떻게?

"임의"시스템에 일종의 로컬 자격 증명 캐시가 있습니까? 내 비밀번호는 어떻게 든 해시되어 미래에 CASE에 저장되어 DC가 끊어 지거나 다운됩니까?

DC가 작동 중지 된 상태에서 이전에 로그인하지 않은 상자에 로그인하려고하면 동일한 프로세스가 작동합니까?

windows active-directory domain-controller

— 러셀 크리스토퍼
소스

1

흥미롭고 관련된 점은 네트워크 케이블을 분리하는 것이 "DC 다운"을 에뮬레이트하는 한 가지 방법입니다. 최근 몇 년 동안 이것이 변경되었는지는 확실하지 않지만 사용자 잠금 정책은 DC에 의해 구현되므로 네트워크 케이블을 뽑기 만하면 캐시 된 자격 증명을 추측하려는 무한한 시도를 얻을 수 있습니다.

— Daniel B

33

기본적으로 Windows는 마지막 10-25 명의 사용자를 캐시하여 시스템에 로그인합니다 (OS 버전에 따라 다름). 이 동작은 GPO를 통해 구성 할 수 있으며 보안이 중요한 경우 일반적으로 완전히 해제됩니다.

모든 DC에 연결할 수없는 동안 로그인하지 않은 워크 스테이션 또는 구성원 서버에 로그인하려고하면 오류 메시지가 표시됩니다. There are currently no logon servers available to service the logon request

— MDMarra
소스

3

자격 증명 캐싱은 여러 가지 이유로 수행되지만 가장 주목할만한 것은 랩톱의 경우입니다. CEO는 공중에있는 동안 일할 수없고 네트워크에 연결할 수없는 경우 매우 불만스러워서 로그인이 캐시되어 컴퓨터에 여전히 로그인 할 수 있습니다.

— user24313

1

VPN 연결을 시작하기 전에 대화식으로 OS에 로그인해야하는 것이 일반적입니다. DC에 실시간으로 액세스하지 않고 로그인이 불가능하고 DC가 VPN을 통해서만 사용 가능하고 로그인 후에 만 VPN을 사용할 수있는 경우, 불쾌한 catch-22가 있습니다. 캐시 된 자격 증명이 효과적인 솔루션입니다.

— Brandon

@Brandon입니다. 나는 모든 사람들이 그것을 비활성화하지 말 것을 권장하지는 않았다 security is critical. 오프라인 무차별 대입 공격을 막을 수 있기 때문에 일반적인 위치에 있음을 지적했다 . VPN 문제에 대한 해결책은 시작시 사용자 / 패스로 로그온하지 않고 장치 인증서를 사용하여 연결하는 것입니다.

— MDMarra

2

예, 로그인 한 각 컴퓨터에 자격 증명이 캐시됩니다. DC가 다운되기 전에 지정된 시스템에 로그인하지 않은 경우 자격 증명을 사용할 수 없기 때문에 로그인 할 수 없습니다.

— 남자
소스

7

This is done to avoid unnecessary network usage if you log in to a given machine frequently.-사실이 아닙니다. 로그온을 인증하는 데 사용 가능한 DC가있는 경우 해당 사용자의 자격 증명이 로컬 워크 스테이션 또는 구성원 서버에 캐시되는지 여부에 관계없이 DC가 있습니다. 캐시 된 자격 증명은 워크 스테이션 또는 구성원 서버가 인증을 위해 하나 이상의 도메인 컨트롤러에 연결할 수없는 경우에만 사용됩니다. 이러한 상황이 발생하는 일반적인 시나리오에는 랩톱을 네트워크 외부로 가져 가거나, 네트워크 중단으로 인해 DC에 연결할 수 없거나, 기타 서비스 중단이 있습니다.

— MDMarra

좋아요, 잘못된 정보를 제거하기 위해 답변을 수정했습니다.

— John

-2

DC와 클라이언트 상자는 그룹 정책 작업의 일부로 주기적으로 로그인을 동기화하지만 둘 다 온라인 상태 인 경우에만 동기화합니다.

예를 들어, 워크 스테이션 (Alice)에 로그인하여 네트워크에서 연결을 끊은 다음 두 번째 워크 스테이션 (Bob)에 로그인하고 Bob의 ctrl-alt-del을 통해 로그인 AD 암호를 변경할 수 있습니다. 암호는 Bob과 DC (Charlie)에서 즉시 업데이트되지만 Alice의 기존 값 (캐시)입니다.

Alice를 네트워크에 다시 연결하면 1-2 초 후에 "Windows에 현재 자격 증명이 필요합니다"라는 작업 표시 줄 풍선 알림이 표시 될 수 있습니다. 이는 Alice와 Charlie가 기간 그룹 정책 동기화를 수행 한 결과입니다. 새 비밀번호를 입력하면 Charlie에 대해 입력 한 내용을 확인하고 Alice의 캐시 된 자격 증명을 업데이트합니다.

— 라이언
소스

3

It is also worth noting that the DC and client box sync logins periodically as part of group policy operations, but only while they're both online.

한숨 이 그룹 정책과 관련이 없습니다. 네트워크 리소스에 액세스해야하고 캐시 된 자격 증명을 사용하는 즉시 인증이 필요합니다. "비밀번호 동기화"나 이와 유사한 것은 없으며 특히 GPO가 아닙니다. 영구 드라이브 매핑이나 Exchange 사서함이 열려 있거나 자격 증명이 거의 즉시 필요한 것과 유사한 것이므로이 문제가 즉시 나타날 수 있습니다.

— MDMarra

1

그룹 정책에 관한 그의 결점을 지적 해 주셔서 감사합니다. 또한 암호를 서로 동기화하는 것과는 관련이 없으며 요청 / 발행되는 새로운 티켓 / 키 쌍과도 관련이 거의 없습니다. 내가 방금 말한 내용이 이해가되지 않는다면 이것을보십시오. msdn.microsoft.com/ko-kr/library/windows/desktop/… 즉시 인증을 시도하지만 이전 티켓 / 키 쌍이 있기 때문에 MDMarra에서 언급 한 것처럼 Outlook 또는 드라이브 매핑이 열려있을 수 있습니다. 그들이 진행하기 전에 새로운 하나를 부여해야합니다

— 브래드 Bouchard