大多数 IT 人员理所当然地认为,在 Windows 域中,如果成员服务器的时钟与其域控制器的时钟相差超过 5 分钟(或您配置的时间)超过 5 分钟 - 登录和身份验证将失败.
但这不一定是真的。至少不是所有版本的 Windows 上的所有身份验证过程。例如,我可以将我在 Windows 7 客户端上的时间设置为完全倾斜 - 注销/登录仍然可以正常工作。发生的情况是我的客户端向域控制器发送了一个 AS_REQ(带有他的时间戳),并且 DC 以 KRB_AP_ERR_SKEW 响应。但神奇的是,当 DC 以上述 Kerberos 错误响应时,DC 还包括他的时间戳,客户端反过来使用它来调整自己的时间并重新提交 AS_REQ,然后批准。
这种行为不被视为安全威胁,因为加密和机密仍在通信中使用。
这也不仅仅是微软的事情。RFC 4430 描述了这种行为。
所以我的问题是有人知道这什么时候改变吗?为什么其他事情会失败?例如,如果我的时钟开始偏离太远,Office Communicator 就会让我离开。我真的希望有更多的细节。
编辑:这是我正在谈论的 RFC 4430 中的一点:
如果服务器时钟和客户端时钟关闭超过
策略确定的时钟偏差限制(通常为 5 分钟),则服务器
必须返回 KRB_AP_ERR_SKEW。
应该填写 KRB-ERROR 中可选的客户端时间。如果服务器通过
添加 Cksum 字段并返回正确的客户端时间来保护错误,则客户端应该
根据
KRB-ERROR 消息中包含的客户端和服务器时间计算两个时钟之间的差异(以秒为单位)。客户端应该存储这个时钟差并在后续消息中使用它来调整它的时钟。如果错误
没有受到保护,则客户端不得使用差异来调整
后续消息,因为这样做将允许攻击者
构建可用于发起重放攻击的身份验证器。
我们大多数人都知道我们需要创建子网对象并将它们关联到我们的 Active Directory 中的站点对象。这使站点 A 中的客户端可以对站点 A 中的域控制器进行身份验证,获得正确的 DFS 引用等。
如何在具有数千个子网的环境中进行管理?从字面上看,数以千计的子网在不断发展、添加和删除。
理想情况下,答案不应是“雇用 50 名管理员”。
所以我有一个服务器,每次用户或服务帐户登录机器时,系统日志中都会生成一个错误事件:
A Kerberos Error Message was received:
on logon session DOMAIN\serviceaccount
Client Time:
Server Time: 12:44:21.0000 10/9/2012 Z
Error Code: 0x19 KDC_ERR_PREAUTH_REQUIRED
Extended Error:
Client Realm:
Client Name:
Server Realm: DOMAIN
Server Name: krbtgt/DOMAIN
Target Name: krbtgt/DOMAIN@DOMAIN
Error Text:
File: e
Line: 9fe
Error Data is in record data.
Run Code Online (Sandbox Code Playgroud)
所以我当然在谷歌上搜索了这个,我得到的唯一信息是“它不一定表明有问题,你通常可以忽略它。”
好吧,太好了,但是这些错误大约每分钟向我的系统日志发送一次垃圾邮件,我真的想让它们停止。有任何想法吗?
来自 Microsoft AskDS 博客:
KDC_ERR_PREAUTH_REQUIRED
如果您在跟踪中看到此错误,则根本不表示存在问题。客户端请求了一张票,但没有在其中包含预身份验证数据。您通常会看到相同的请求与数据和发出票证的域控制器一起再次发送。Windows 使用此技术来确定支持的加密类型。
我有一个 AD 域。2003 FFL/DFL。该架构已升级到 Server 2012 的版本 56。该域包含来自 Server 2003、Server 2008、Server 2008 R2 和现在的 Server 2012 的域控制器的混合。
我有一个运行 2008 R2 的企业颁发证书颁发机构。
在 Server 2012 域控制器上,他们无法注册或自动注册其 KerberosAuthentication 证书。应用程序日志中的错误事件 ID 6 和 13:
本地系统的自动证书注册失败 (0x800706ba) RPC 服务器不可用。
本地系统的证书注册未能从 ECA.domain.com\Company Issuing CA 注册请求 ID 为 5512 的 KerberosAuthentication 证书(RPC 服务器不可用。0x800706ba (WIN32: 1722))。
看到“RPC 服务器不可用”,本能地得出存在网络连接问题的结论。但事实并非如此。
所以它显然有网络通信。这个特定的证书有些东西。没有其他域控制器有此证书的问题。只有 2012 年的 DC。
在 Active Directory 域中,如果我在域成员计算机上配置 Windows 服务以使用 AD 用户帐户(又名“ye olde 服务帐户”)启动,然后该服务保持运行但我不重新启动该服务或重新启动机器一年......服务帐户的用户对象的LastLogonTimestamp是否继续更新?
编辑:如果您说“这取决于服务”,则以 MS SQL Server 为例。我将 MSSQL 引擎设置为作为 contoso\sql-service 运行。然后我就不管它一年了。
服务器 2012 核心。
我可以使用 sconfig 选项 6 手动检查 Windows 更新。我可以使用 sconfig 选项 5 将 Windows 更新设置为自动。太好了。

如果我想将其更改为凌晨 4 点怎么办?如果我想把它改成每周只检查一次怎么办?
我环顾四周,HKLM:\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\但没有看到任何看起来像它让我像我想要的那样微调日程安排的东西。
为什么我不能按照下面的方式创建一个新分区?这是运行 Hyper-V 2012 的物理服务器的磁盘。

任何帮助表示赞赏!
我有一个用户在使用 PowerShell Get-ADUser 命令时出现,但是当我进入 AD 用户和计算机时,该用户不可见。我认为这与名称末尾的 $ 有关系,但我对所有这些都不熟悉,只是被要求尝试弄清楚我们系统上的用户是谁/什么。以下是 PS 命令的结果(我更改了查询返回的实际用户名):
DistinguishedName : CN=Username$,CN=Users,DC=ourdomain,DC=org
EmailAddress :
Enabled : True
GivenName :
Name : Username$
ObjectClass : user
ObjectGUID : e5dd0482-dac9-4f93-bc17-03d5f970943d
PasswordExpired : False
PasswordLastSet : 9/8/2015 5:49:15 PM
PasswordNeverExpires : False
SamAccountName : Username$
SID : S-1-5-21-2129867641-1687574238-1546849883-9191
Surname :
UserPrincipalName :
Run Code Online (Sandbox Code Playgroud)
对这个用户有什么想法吗?
谢谢
我知道 WINS 是古老的。不用提醒我。就其价值而言,这项努力将致力于一个将其完全从环境中淘汰的项目。
但在此之前 - 我需要能够以脚本方式或以编程方式从中收集统计信息。
请看下面的截图:

看到“Total querries”,(在拼写错误时大声笑)“Record found”等?
我如何获得这些值?它们不在 Perfmon 中,也不在我发现的任何 WMI 类中。我找不到任何相关的 COM 对象。有像“查询/秒”这样的计数器,但我不关心查询/秒。我想要全部查询。就像上面的截图一样。
如果必须的话,我将 P/Invoke Win32...只是...我从哪里获得这些指标?
BSOD dmp 文件是否包含任何私人信息(密钥、密码等)?它们可以在没有任何脆弱性风险的情况下共享吗?
由于微软明年 4 月停止支持 Windows XP,我被要求检查哪些 PC 仍在运行比 Windows 7 旧的 Windows 版本。是否可以通过一些 Samba 查询来找出客户端操作系统的版本?