Теоретический вопрос по Керберосу или?

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
SSN
Power member
Сообщения: 38
Зарегистрирован: 21 июн 2004, 14:52
Откуда: Vitebsk
Контактная информация:

Теоретический вопрос по Керберосу или?

Сообщение SSN » 30 сен 2004, 15:21

На форуме winfaq поднимал вопрос, но теории маловато. Может здесь кто объяснит.
Вопрос-Ситуация такова - локальный домен. Один из членов домена (рабочая станция или отдельный сервер) постигло несчастье, например отказ винта. Мы берем снимок акрониса восстанавливаем, допустим за вчерашний день, перезагружаемся и опаньки... в домен войти нельзя, пока не проведем процедуру выхода-входа в домен. Где может быть порыта собака? В принципе не мешает, но хотелось бы знать. Часы в отказавшей машине не останавливались.
Ответ пользователя Solaris-надо смотреть секьюрити логи на контроллере - отыскать событие 676 для этого компа - если найдешь , то причина в потере пароля компа , это как правило может быть из-за ключа в политиках Prevent system maintenance of computer account password - в security options , если этот ключ определен , то раз в месяц пассворд компа меняется в произвольное время в течение месяца.Если потеря пасворда компа обычная практика , т.е . грузимся на компе в домен и затем вырубаем этот комп при выдернутом сетевом кабеле , то скорее всего есть еще один параметр , который может сбросить пассворд компа . База АД представляет из себя таблицу? один из полей которого , время загрузки и взависимости от этого определяет состояние других связанных полей и меняет в них значения - актив/релиз и таймстамп .При нормальном выключение компа состояние должно перейти в релиз .Если по истечение времени , определенном в таймстамп , состояние актив , то скорее всего контроллер сбрасывает пассворд компа. Где это дело регулируется я не знаю - просто изложил вожможную причину.
Поменять пассворд компа можно утилитой netdom , т.е. необязательно выводить и снова вводить комп в домен. http://support.microsoft.com/default.as ... us;Q260575
Повторный вопрос-да скорее всего так и получается, что АД четко определяет что машина АААА была активна допустим 12.05.99, и при возврате снимка на 11.05.99 база АД блокирует саму машину АААА в целях безопасности. Это по рабочим станциям и отдельным серверам все так и происходит. А как же поведет себя сам КД, если ему принудительно вернуть снимок на некоторое время назад, тогда, возможно другие (или второй) КД принудительно по репликации изменят ему реплики с большим номером? Или же произойдет ситуация аналогична рабочим станциям - но это с КД не прокатит мне кажется, я имею ввиду операцию выход-вход в домен или как писал Solaris через netdom.

Вернуться в «Серверы - ПО, Windows система, приложения.»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 14 гостей