News:

Монстры реальны, и привидения тоже. Они живут внутри нас и иногда побеждают. Стивен Кинг

Main Menu

Если пользователь разблокирует компьютер, не происходит запрос получения TGT

Started by Сергей, 10 July 2018, 11:31

Previous topic - Next topic

0 Members and 2 Guests are viewing this topic.

Сергей

Добрый день.

Столкнулся со следующей проблемой у заказчика.
Имеется домен AD с несколькими контроллерами домена. Есть общее dns-имя домена, по которому запрос перенаправляется на один из контроллеров. Серверные машины на Windows Server 2012 R2. Клиентские машины на Windows 10.

Происходит такая ситуация. Пользователь включает компьютер, входит в систему. В этом случае у него klist выдает TGT-билет:
Клиент: username@domain
Сервер: krbtgt\domain@domain

Пользователь делает блокировку компьютера (Win + L). В этот момент происходит очистка TGT. Затем пользователь разблокирует компьютер. Но TGT заново не формируется, как при входе в систему, klist показывает 0 билетов. Но через некоторое время (15-20 минут) TGT появляется на машине пользователя.

Пытался воспроизвести в домене моей компании. Пытался частично воспроизвести ситуацию с нуля - на первой виртуальной машине поднять домен AD, другую виртуальную машину вписать в этот AD и повторить ситуацию с блокировкой системы. Каждый раз при разблокировке я вижу заново сгенерированный TGT
Клиент: username@domain
Сервер: krbtgt\domain@domain

Подскажите, сталкивались ли вы с похожей ситуацией, когда при разблокировке TGT не создавались? С чем может быть связана ситуация, когда TGT все же появляются через некоторое время?

Спасибо.

ival

Quote from: Сергей on 10 July 2018, 11:31Подскажите, сталкивались ли вы с похожей ситуацией, когда при разблокировке TGT не создавались? С чем может быть связана ситуация, когда TGT все же появляются через некоторое время?


Каждый день. А почему он должен выдаваться при разблокировке? У Вас же klist сразу после разблокировке выдает что похожее на:

Текущим идентификатором входа является ...
0 ключей кешированно

При этом, если вы сразу попробуете получить доступ к сетевой шаре того же КД то klist отобразит Вам их и если посмотреть на время выдачи, то время будет свежим (настоящим). На сколько я знаю это нормальная ситуация. Билета нет пока вы не попросите его. А вход после блокировки не означает что Вы обращаетесь за билетом, новой сессии то нет.

Хотя я не утверждаю, что я прав.

UPD: кстати можно посмотреть следующее: во время блокировки сменить пароль пользователю и КД Вам выдаст сразу новые билеты
 

Уваров А.С.

После блокировки происходит вход в систему с кешированными данными, что нормально, пока мы никуда не обращаемся повода получать новый билет нет. Как только мы пытаемся получить доступ к любому ресурсу АД, то клиент получит сначала TGT, а затем нужный ему сеансовый ключ.

Если при входе в систему сразу опрашиваются какие-либо сетевые ресурсы (скажем монтируются сетевые диски или требуется аутентификация на шлюзе), то TGT будет получен сразу.