W2K3 - Verbinding naar DC weg? Geen fileaccess meer! - Serversoftware en clouddiensten

woensdag 26 november 2008 11:07

Acties:

Verwijderd

Topicstarter

Hallo,

Onze locatie heeft een aantal (file)servers (member servers). Wij zijn met het domain verbonden d.m.v. een huurlijn. Behalve DHCP draaien wij geen andere (AD gerelateerde) services.

Als die verbinding uitvalt (wat nog wel eens gebeurd) kunnen de clients per direct geen files op de servers meer benaderen (access denied errors), ook niet met een \\x.x.x.x\share$\filename (het feit dat DNS niet beschikbaar is zou dus niet mogen uitmaken).

De Kerberos ticket lifetime staat ingesteld op 10 uur, dus dit alles zou niet mogen gebeuren.

Ik heb echter geen flauw idee waar ik dit moet zoeken (en ja, ik heb FLINK geGOOGLEd). Als iemand een idee heeft hoor ik dit graag.

Alvast bedankt,
Peter

woensdag 26 november 2008 11:53

Acties:

Tha_T

Ik zou zeggen loop je logging eens if any maar goed, dan moet je dat wel hebben aanstaan uiteraard

woensdag 26 november 2008 12:06

Acties:

jimbo123

Als die verbinding uitvalt (wat nog wel eens gebeurd) kunnen de clients per direct geen files op de servers meer benaderen (access denied errors), ook niet met een \\x.x.x.x\share$\filename (het feit dat DNS niet beschikbaar is zou dus niet mogen uitmaken).

Wat valt er nu weg? de verbinding, of alleen DNS?

woensdag 26 november 2008 12:23

Acties:

Qwerty-273

Meukposter

***** ***

wellicht een idee om op die locatie een dc neer te zetten? Juist in zulke gevallen (wegvallende verbindingen naar hoofdsite) wil je een dc in je 'sub' site hebben (zeker voor de fileservers die er al staan).

Erzsébet Bathory | Strajk Kobiet | You can lose hope in leaders, but never lose hope in the future.

woensdag 26 november 2008 12:40

Acties:

Verwijderd

Topicstarter

Tha_T: De logging laat zowel op de client als de server geen bijzondere dingen zien

jimbo123: De huurlijnverbinding valt weg, en daarmee dus ook DNS

Qwert-271: Dat zou mooi zijn, maar dat willen de hoge heren op het hoofdkantoor dus niet.

Peter

woensdag 26 november 2008 15:03

Acties:

Brahiewahiewa

boelkloedig

Verwijderd schreef op woensdag 26 november 2008 @ 12:40:
...Dat zou mooi zijn, maar dat willen de hoge heren op het hoofdkantoor dus niet...

Dan moeten die hoge heren er maar mee leren leven dat er niet gewerkt wordt als de verbinding weg is.

QnJhaGlld2FoaWV3YQ==

woensdag 26 november 2008 15:54

Acties:

Powermage

Kan het niet zo zijn dat wanneer de lijn wegvalt en je dan pas gaat proberen te connecten op \\ipaddress\share\ hij een nieuwe kerberos ticket aanvraagt wat hij dus niet kan ivm geen dc. probeer anders een keer om de servernaam in de hostfile te zetten en probeer nog steeds op die dns naam te connecten.

beste oplossing zou imho gewoon een Domaincontroller zijn, weet je ook redenen van de 'hoge heren' waarom ze het niet willen? dan maar AD en DNS op een file server erbij dan helemaal niet, het kost kwa licentie's ed niets extra's dan.

Join the club

woensdag 26 november 2008 16:12

Acties:

Rolfie

beste oplossing zou imho gewoon een Domaincontroller zijn, weet je ook redenen van de 'hoge heren' waarom ze het niet willen? dan maar AD en DNS op een file server erbij dan helemaal niet, het kost kwa licentie's ed niets extra's dan.

Gewone kosten niet, maar een DC op locatie is een security issue. Immers je account database staat daar in eens op een locatie. Kan dus in eens extra beveiling op locatie moeten hebben (afgesloten kast, server met FDD, en CDROM opstart beveiling). Gaat ver, maar kan wel degenlijk een issue zijn.
Daarbij een DC kost in beheer extra, immers er staat een extra DC, die moet repliceren, waar weer problemen op kunnen ontstaan en gecontroleerd moet worden. Extra DNS, welke beheerd moet worden. Het kost je geen licentie, maar op beheer kost het wel degelijk extra.

Het zou wel de gemakkelijkste oplossing zijn, gewoon een DC/DNS maken (+ GC). Dit zal de problemen oplossen.
Voor je probleem, Kijk inderdaad eens met wireshark of zo’n tool. Wat gebeurt er precies.
Eventueel een host file, gaat het dan wel goed?
Eventueel probeer het eens via een cmd en dan een netuse?
Probeer eens met een lokaal account op de fileserver een drive mapping te maken. Gaat het dan wel goed?

woensdag 26 november 2008 16:29

Acties:

AjDuLion

RODC ? http://technet.microsoft.com/en-us/library/cc732801.aspx

mogen ze klooien wat ze willen rebooten wat ze willen maar komen ze niet je ad mee op of veranderen.

kost geen drol desnoods run je zoiets @ desktop server achtig iets.

Facebook - Twitter -Twitch.tv - PSN

woensdag 26 november 2008 16:36

Acties:

ajhaverkamp

gewoon Arjan

angel00008 schreef op woensdag 26 november 2008 @ 16:29:
RODC ? http://technet.microsoft.com/en-us/library/cc732801.aspx

mogen ze klooien wat ze willen rebooten wat ze willen maar komen ze niet je ad mee op of veranderen.

kost geen drol desnoods run je zoiets @ desktop server achtig iets.

Maar dat is dan wel Windows Server 2008.

This footer is intentionally left blank

woensdag 26 november 2008 16:37

Acties:

AjDuLion

ajhaverkamp schreef op woensdag 26 november 2008 @ 16:36:
[...]

Maar dat is dan wel Windows Server 2008.

tja of je nu een 2003 machine neer moet zetten of 2008..

hiermee kan hij wel de hoge piefen vertellen dat security hier geen issue mee is.
2003 met secure kast + fd lock/cd-rom lock is meer als simpele server + 2008

[ Voor 26% gewijzigd door AjDuLion op 26-11-2008 16:38 ]

Facebook - Twitter -Twitch.tv - PSN

woensdag 26 november 2008 16:38

Acties:

ajhaverkamp

gewoon Arjan

angel00008 schreef op woensdag 26 november 2008 @ 16:37:
[...]
tja of je nu een 2003 machine neer moet zetten of 2008..

Dan moet je inderdaad (een beetje) kennis hebben van 2008

Aangezien ze nu 2003 draaien is het niet vanzelfsprekend dat dat zo is.

This footer is intentionally left blank

woensdag 26 november 2008 16:40

Acties:

Brahiewahiewa

boelkloedig

Rolfie schreef op woensdag 26 november 2008 @ 16:12:
[...]Voor je probleem, Kijk inderdaad eens met wireshark of zo’n tool. Wat gebeurt er precies.
Eventueel een host file, gaat het dan wel goed?
Eventueel probeer het eens via een cmd en dan een netuse?
Probeer eens met een lokaal account op de fileserver een drive mapping te maken. Gaat het dan wel goed?

Allemaal leuk en aardig, dit soort troubleshooting, maar je gaat er niets mee opschieten. Het is zo ongeveer het centrale concept van Kerberos: als de Kerberos server er niet is krijg je geen toegang (als je denkt dat het verhogen van de lifetime van tickets iets oplost, moet je je nog maar eens gaan verdiepen in de materie).

Kortom, de bobo's moeten een afweging maken tussen 1) de kosten van verloren productiviteit tijdens down time of 2) de kosten van een verbinding met een serieuze SLA of 3) de kosten en security aspecten van decentrale (RO)DC's. Alle andere "oplossingen" (lokale accounts

) zijn prutswerk; kun je net zo goed je server op straat zetten, met een post-it met het admin password erop.

QnJhaGlld2FoaWV3YQ==

woensdag 26 november 2008 16:52

Acties:

rdfeij

Kijk eens bij licensing, heb je genoeg cal's beschikbaar?

Als je DC uit licenties loopt kun je ook van dit soort "rare" activiteiten krijgen
(ken het uit ervaring, hier loopt aantal licenties op het randje...)

woensdag 26 november 2008 16:58

Acties:

AjDuLion

rdfeij schreef op woensdag 26 november 2008 @ 16:52:
Kijk eens bij licensing, heb je genoeg cal's beschikbaar?

Als je DC uit licenties loopt kun je ook van dit soort "rare" activiteiten krijgen
(ken het uit ervaring, hier loopt aantal licenties op het randje...)

*hint license logging > disabled *

*disclaimer

* AjDuLion is niet aansprakelijk voor enige boete's ed van MS

wij zaten hier zelf ook mee met calls die aangeschaft waren maar waarvan de key's kwijt waren (rekening/offerte was wel bij de hand)

ms gaf dit als ''oplossing''

Facebook - Twitter -Twitch.tv - PSN

woensdag 26 november 2008 23:00

Acties:

Tags NL

Harmful or Harmless?

Op het moment dat de verbinding uitvalt, zie je dan geen events in je Security log staan (Of misschien zelfs in je Application of System log) waarin meer informatie staat over het feit dat hij dan geen verbinding/authenticatie kan doen?

https://powershellisfun.com

donderdag 27 november 2008 07:44

Acties:

Equator

Crew Council

#whisky #barista

Verwijderd schreef op woensdag 26 november 2008 @ 11:07:
Hallo,

Onze locatie heeft een aantal (file)servers (member servers). Wij zijn met het domain verbonden d.m.v. een huurlijn. Behalve DHCP draaien wij geen andere (AD gerelateerde) services.

Als die verbinding uitvalt (wat nog wel eens gebeurd) kunnen de clients per direct geen files op de servers meer benaderen (access denied errors), ook niet met een \\x.x.x.x\share$\filename (het feit dat DNS niet beschikbaar is zou dus niet mogen uitmaken).

En eventuele verbindingen / mappings die je reeds had voor het uitvallen van je lijn, kan je daar dan ook niet meer bij, of zijn die nog wel te bereiken.:?

De Kerberos ticket lifetime staat ingesteld op 10 uur, dus dit alles zou niet mogen gebeuren.

Dat is de TGT lifetime, niet de session ticket lifetime denk ik..

quote: http://www.microsoft.com/...cd_aun_odte.mspx?mfr=true
What Happens When Tickets Expire

When a session ticket expires, ongoing operations are not interrupted. Session tickets are used only to authenticate new connections with servers. After a connection has been set up, it no longer matters whether the session ticket is still valid. However, when a TGT expires, the Kerberos client might have to interrupt the activities of the user to ask for a password.

Maar de session ticket is dus alleen voor nieuwe verbindingen. Als je al een verbinding had met een resource, zou je daar gewoon bij moeten kunnen..

Dus de vraag is: is het alleen voor nieuwe verbindingen, of ook voor bestaande..

[ Voor 7% gewijzigd door Equator op 27-11-2008 07:55 ]

donderdag 27 november 2008 09:01

Acties:

alt-92

ye olde farte

Verwijderd schreef op woensdag 26 november 2008 @ 11:07:

Ik heb echter geen flauw idee waar ik dit moet zoeken (en ja, ik heb FLINK geGOOGLEd). Als iemand een idee heeft hoor ik dit graag.

Waarop heb je dan gezocht?
Want zo op het oog (ik moet afgaan op wat je aan troubleshooting neerzet hier - en dat is niet zo veel) klinkt het alsof je security groepen niet meer resolved kunnen worden bij het wegvallen van de verbinding naar je DC.

Welk domainlevel draait er, wat voor domain is het (2000/2003), zie je uberhaupt nog namen resolved worden als je icacls draait of enkel sIDs..

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 27 november 2008 11:48

Acties:

Verwijderd

Topicstarter

Allen:

Bedankt voor het meedenken. Vooralsnog is het plaatsen van een lokale DC volgens de heren geen optie vanwege al jullie genoemde issues. Een RODC zou een goede oplossing zijn, echter in het netwek zijn nog geen 2008 servers (in wat voor functie dan ook) toegestaan.

Voor alle duidelijkeheid: Ik heb slechts zeer beperkte mogelijkheden/rechten in AD... Binnen mijn eigen OU kan ik alles wel doen, maar verder dan dat gaat het niet. Echt details over het netwerk heb ik niet.

Het punt is echter dat de support vanuit het hoofdkantoor niet echt optimaal is, en het erg lang duurt voordat ik echt response krijg. Ik heb inmiddels wel begrepen dat voor dit issue een Ticket bij MS is aangemaakt.

alt-92:

Ik heb vooral gezocht naar de (mogelijke) oorzaken van hetgeen zich voordoet. Zelf ben ik altijd in de veronderstelling geweest dat, als AD niet beschikbaar is, je ook geen toegang meer hebt to files/folders op servers. Dit werd/wordt tegengesproken door de beheerders van AD op het hoofdkantoor; zij beweren dat toegang tot files/folders pas na 10 uur afgekapt wordt. Ik heb diverse artikelen gevonden, maar het lijkt erop dat de diverse bronnen niet een eenduidige mening zijn toegedaan.

Voor zover ik weet is het domainlevel Windows 2000 native

De namen in de ACL worden inderdaad niet meer weergegeven. Maar is dit niet het gebruikelijke resultaat als AD niet meer beschikbaar is?

Peter

donderdag 27 november 2008 12:27

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Brahiewahiewa schreef op woensdag 26 november 2008 @ 16:40:
[...]
Het is zo ongeveer het centrale concept van Kerberos: als de Kerberos server er niet is krijg je geen toegang (als je denkt dat het verhogen van de lifetime van tickets iets oplost, moet je je nog maar eens gaan verdiepen in de materie).

Care to explain?

Standaard staat de lifetime van een TGT-ticket op 10 uur, en de lifetime van een session-ticket op 600 minuten. Zolang ik een geldig sessionticket heb, kan ik toch verbinding houden met een server? Als deze verlopen is zal inderdaad het TGT ticket gebruikt worden om bij de KDC een nieuw sessionticket aan te vragen. Maar, zolang deze niet verlopen is kan ik toch normaal doorwerken.

Da's toch de hele essentie van de ticketlifetime?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 28 november 2008 09:52

Acties:

Brahiewahiewa

boelkloedig

Question Mark schreef op donderdag 27 november 2008 @ 12:27:
[...]
Care to explain?

Standaard staat de lifetime van een TGT-ticket op 10 uur, en de lifetime van een session-ticket op 600 minuten. Zolang ik een geldig sessionticket heb, kan ik toch verbinding houden met een server? Als deze verlopen is zal inderdaad het TGT ticket gebruikt worden om bij de KDC een nieuw sessionticket aan te vragen. Maar, zolang deze niet verlopen is kan ik toch normaal doorwerken.

Da's toch de hele essentie van de ticketlifetime?

Ja, maar dat doorwerken geldt voor een session. Als jij je explorer opent, creëer je een session. Dubbelklik je op een word-bestand, dan start Word op, en creëert een nieuwe session om het bestand in kwestie te openen. Die laatste stap gaat dus mis als je DC niet (meer) bereikbaar is. Als je het bestand hebt geopend toen de DC er nog wel was, heb je inderdaad een session met een geldig ticket en kun je dus 10 uur (of 600 minuten als je dat liever doet) in je document blijven backspacen.

Eerlijk gezegd weet ik niet zeker of je vanuit Word, met een bestaande session een nieuw bestand kunt openen. Maar al die NetMons, Etherreal's en Sniffers die ondertussen opgestart zijn , zullen daar gauw uitsluitsel over geven.

QnJhaGlld2FoaWV3YQ==

vrijdag 28 november 2008 10:47

Acties:

Verwijderd

Topicstarter

Brahiewahiewa schreef op vrijdag 28 november 2008 @ 09:52:
[...]
Ja, maar dat doorwerken geldt voor een session. Als jij je explorer opent, creëer je een session. Dubbelklik je op een word-bestand, dan start Word op, en creëert een nieuwe session om het bestand in kwestie te openen. Die laatste stap gaat dus mis als je DC niet (meer) bereikbaar is. Als je het bestand hebt geopend toen de DC er nog wel was, heb je inderdaad een session met een geldig ticket en kun je dus 10 uur (of 600 minuten als je dat liever doet) in je document blijven backspacen.

Eerlijk gezegd weet ik niet zeker of je vanuit Word, met een bestaande session een nieuw bestand kunt openen. Maar al die NetMons, Etherreal's en Sniffers die ondertussen opgestart zijn , zullen daar gauw uitsluitsel over geven.

Ik zal het wel mis hebben, maar volgens gaat dit niet helemaal op... Als je een drive-mapping hebt naar een share op een server, dan creeer je een sessie waarin je meerdere files open kan heben. Als je geen drive-mapping hebt, en je opent vervolgens meerdere files, dan heb je volgens mij nog steeds 1 sessie. Pas als je alle files gesloten hebt wordt de sessie beeindigd.

Correct me if I'm wrong...

Peter

vrijdag 28 november 2008 11:58

Acties:

Brahiewahiewa

boelkloedig

Verwijderd schreef op vrijdag 28 november 2008 @ 10:47:
[...]Correct me if I'm wrong...

Lees http://www.microsoft.com/msj/0899/kerberos/kerberos.aspx het hoofdstuk "Authenticating to a remote service"

QnJhaGlld2FoaWV3YQ==

vrijdag 28 november 2008 12:00

Acties:

alt-92

ye olde farte

Merk ook op dat ie direct een access denied krijgt, en dat gecombineerd met de sID strings in plaats van de samaccountnames lijkt me wel in die richting te zoeken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 28 november 2008 14:46

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Brahiewahiewa schreef op vrijdag 28 november 2008 @ 11:58:
[...]
Lees http://www.microsoft.com/msj/0899/kerberos/kerberos.aspx het hoofdstuk "Authenticating to a remote service"

Thx, voor de link.

Ik was in de veronderstelling dat een session ticket generiek was om toegang tot een server te krijgen. Het blijkt dus dat deze echter op service-niveau werkt.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 28 november 2008 20:41

Acties:

Verwijderd

Verwijderd schreef op donderdag 27 november 2008 @ 11:48:
Allen:

Voor alle duidelijkeheid: Ik heb slechts zeer beperkte mogelijkheden/rechten in AD... Binnen mijn eigen OU kan ik alles wel doen, maar verder dan dat gaat het niet. Echt details over het netwerk heb ik niet.

Hoe kan je troubleshooten zonder dat je details over het netwerk hebt?

dinsdag 2 december 2008 12:49

Acties:

Verwijderd

Topicstarter

Allen,

Probleem opgelost. Het blijkt voor te komen uit het feit dat ik alle drivemappings op basis van het IP adres van de server aanmaak in plaats van servernaam. Kennelijk wordt dan NTLM authenticatie (dan geen gecachede "tickets" zoals bij Kerberos het geval is) geforceerd.

Allen bedankt voor het meedenken.

Peter