News:

Я всегда буду искать ленивого человека для работы, ведь он найдет много легких путей для решения поставленной задачи. Билл Гейтс

Main Menu

Если пользователь разблокирует компьютер, не происходит запрос получения TGT

Started by Сергей, 10 July 2018, 11:31

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Сергей

Добрый день.

Столкнулся со следующей проблемой у заказчика.
Имеется домен AD с несколькими контроллерами домена. Есть общее dns-имя домена, по которому запрос перенаправляется на один из контроллеров. Серверные машины на Windows Server 2012 R2. Клиентские машины на Windows 10.

Происходит такая ситуация. Пользователь включает компьютер, входит в систему. В этом случае у него klist выдает TGT-билет:
Клиент: username@domain
Сервер: krbtgt\domain@domain

Пользователь делает блокировку компьютера (Win + L). В этот момент происходит очистка TGT. Затем пользователь разблокирует компьютер. Но TGT заново не формируется, как при входе в систему, klist показывает 0 билетов. Но через некоторое время (15-20 минут) TGT появляется на машине пользователя.

Пытался воспроизвести в домене моей компании. Пытался частично воспроизвести ситуацию с нуля - на первой виртуальной машине поднять домен AD, другую виртуальную машину вписать в этот AD и повторить ситуацию с блокировкой системы. Каждый раз при разблокировке я вижу заново сгенерированный TGT
Клиент: username@domain
Сервер: krbtgt\domain@domain

Подскажите, сталкивались ли вы с похожей ситуацией, когда при разблокировке TGT не создавались? С чем может быть связана ситуация, когда TGT все же появляются через некоторое время?

Спасибо.

ival

Quote from: Сергей on 10 July 2018, 11:31Подскажите, сталкивались ли вы с похожей ситуацией, когда при разблокировке TGT не создавались? С чем может быть связана ситуация, когда TGT все же появляются через некоторое время?


Каждый день. А почему он должен выдаваться при разблокировке? У Вас же klist сразу после разблокировке выдает что похожее на:

Текущим идентификатором входа является ...
0 ключей кешированно

При этом, если вы сразу попробуете получить доступ к сетевой шаре того же КД то klist отобразит Вам их и если посмотреть на время выдачи, то время будет свежим (настоящим). На сколько я знаю это нормальная ситуация. Билета нет пока вы не попросите его. А вход после блокировки не означает что Вы обращаетесь за билетом, новой сессии то нет.

Хотя я не утверждаю, что я прав.

UPD: кстати можно посмотреть следующее: во время блокировки сменить пароль пользователю и КД Вам выдаст сразу новые билеты
 

Уваров А.С.

После блокировки происходит вход в систему с кешированными данными, что нормально, пока мы никуда не обращаемся повода получать новый билет нет. Как только мы пытаемся получить доступ к любому ресурсу АД, то клиент получит сначала TGT, а затем нужный ему сеансовый ключ.

Если при входе в систему сразу опрашиваются какие-либо сетевые ресурсы (скажем монтируются сетевые диски или требуется аутентификация на шлюзе), то TGT будет получен сразу.