Is dit wel zo? Ik weet dat je refereert naar de default "allowable time skew", welke inderdaad 5 minuten is voor DC's. Dit betekend echter alleen maar dat als de skew gecontroleerd wordt én de afwijking is minder vijf minuten, dat de klok dan niet gesyncd wordt. Is de afwijking groter dan vijf minuten, dan wordt de klok van de client wel ge-syncted. (voor workstations mag de afwijking overigens vijftien minuten zijn).
Je Kerberos ticket is nl. een paar uur geldig. Controleer dit voor de gein maar eens met Kerbtray.exe uit de W2K3 resource kit. Je zult zien dat een ticket tot 8 uur geldig is nadat deze verstrekt is. Het einde van de geldigheidsduur van een ticket is echter een absoluut tijdstip (bv. 18:00) en niet 8 uur na het uitgeven van het ticket.
Als een DC om 12:00 een ticket uitdeeld wat 8 uur geldig is, en ik verzet na één uur de computerklok van deze DC naar 23:00. Dan mag er accuut geen connectie meer gemaakt worden met deze machine, terwijl het ticket nog maar één uur oud is. Voor de DC zijn er echter 23-(12+1)= 10 uren verstreken
Uit de W32 Time White Paper:
When the server receives the ticket, it decrypts the authenticator and extracts the client’s clock time. Before acknowledging the client, the server checks the client's time to make sure that it falls within the server's allowable time skew. If the client's time is not within the allowable skew, the server returns the following error:
KRB_AP_ERR_SKEW 0x25 "Clock skew too great"
The client compensates for the skew error by using the time returned in the error. A time skew between the client and server does not cause the client to change its system time, only the time that is used to communicate with that server. This can only work if the skew is within the lifetime of a ticket. The client uses this server skew value until it detects another time skew error (usually when the time is changed on any server that the client is communicating). When a computer detects that its time is skewed relative to its domain, it will call on the Windows Time service to correct the skew by synchronizing with a domain controller.
Ben het overigens helemaal eens met IIS5_Rulez eens dat het niet echt verstandig is om zonder na te denken de klok van een DC een paar uur te verzetten. Zonder goed in de materie te duiken is het vragen om problemen...
[oftopic]
In het linkje waar IIS5_Rulez naar verwijst, worden Kerberos-tijd "problemen" omzeilt door via "net use", én het meegeven van een username en paswoord, een sessie te creëren naar een machine. In dit geval wordt er gebruik gemaakt van NTLM authenticatie wat niet time-based is. In sommige netwerkomgeving staat NTLM echter uit, waardoor dit niet werkt..
[/oftopic]
[
Voor 54% gewijzigd door
Question Mark op 12-11-2004 19:33
. Reden: Quote van MS geplaatst ]
MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B
:strip_exif()/u/47664/afx_hax.gif?f=community)
/u/43807/ZwartGat.png?f=community)
:strip_icc():strip_exif()/u/84973/images.jpg?f=community)