Архив форумов ЦИТФорума

[Arkov]

Есть два домена Родительский и дочерний, один лес, одно дерево.

Если между родительским и дочерним доменом появляется разница во времени (рассинхронизация случается редко, железо чё та шалит, на родительском такое случается - время вдруг останавливается и всё тут) то юзеры дочернего домена не могут залогиниться в свой домен (в дочерний то бишь).....

вопрос не в том чтобы настроить нормальную синхронизацию, ето сделали, а в том -
Почему при такой ситуации юзеры дочернего не могут залогиниться в свой домен?

я понимаю что домены между собой тесно связаны, но всётаки дочерний домен ето вполне самостоятельная единица......


или так и надо? или может чё подправить нужно?

[squirL]

рассинхронизация во времени влечет за собой неправильную работу Kerberos. по умолчанию допускается рассинхронизация, по-моему, на 5 минут. а связано это с тем, что свои tickets Kerberos выдает на определенное время, поэтому это самое время должно считаться правильно.

[Arkov]

[else]

Увеличить время рассинхронизации разве что
_________________
nothing else

[squirL]

[and3008]

Не, а не понимаю. Есть NTP, есть net time \\server /set /y

Долго это все в Шедулер запихать и не знать проблем?

Или "мы не ищем легких путей?"

[squirL]

2and3008

[Arkov]

вся критика принята, всё учёл....

я маленько не правильно сформулировал то, что хотел бы услышать от вас......

мне просто нужно было получить научное обьяснение того, почему юзеры дочернего домена не могли зайти в свой домен (то бишь дочерний) ведь в нём то со временем всё нормально, слетело оно в родительском домене..........

выходит, что домены (родительский и дочерний) жёстко связаны между собой Kerberos-ом и рассинхронизация времени на родительском домене влечёт за собой фатальные последствия для всех дочерних.......

хренова блин.....

ну а синхронизация работает у меня, юниксовый сервак берёт время из инета - родительский контроллер берёт время с юниксового, а все дочерние с родительского.....
пока не выяснил точно почему время глюкнуло на родителе.......

ну в общем спасибо всем.......

[Гость]

Дочерний DC является сервером глобального каталога?

[4u3u]

[and3008]

Kerberos тут мало при чем. Он только за авторизацию отвечает.

А вот AD очень сильно от времени зависит. При неблагоприятном стечении обстоятельств можно вообще лес доменов убить переведя время на сервере на пару месяцев вперед к примеру.

Так что эта... Аккуратней с временем.

[squirL (лень логиниться)]

еще раз. разница между клиентом и сервером в 5 минут (по умолчанию) делает аутентификацию на контроллере домена невозможной. правда есть служба синхронизации времени (w32time) которая, если не отключать ее, сама позаботится о синхронизации... что кроме Kerberos зависит от синхронности времени в домене - не знаю. просветите.

[and3008]

Механизм удаления/обновления объектов в AD завязан на время.
Кроме того, объекты из AD сразу не удаляются, а сперва помечаются как удаляемые, потом удаленные, а потом им еще и памятники ставят. Это не шутка. Полное удаление объектов из AD происходит довольно долго. Связано это с тем, что AD проектировалась как распределенной система, где возможны обрывы связи, медленные каналы, синхронизация занимает много времени. И прочее и прочее и прочее.

Если в сети один контроллер глобального каталога и на нем с перепугу перевести время на пару месяцев вперед и где-то сутки его так подержать, то на следующий день можно получить великий геморой с репликацией в AD.

Наш спор ни к чему не приведет. Все очень сильно зависит от того, как AD развернута. Можно сделать настроить так, что глюки в одном домене никак не будут связаны с другим доменом. А можно и наоборот. Глюки в одном конце немедленно отзовутся в самом дальнем захолустье.

Если проблема в том, что юзвери не могли получить доступ к серверу из-за расхождения времени, то я согласен, проблема в Kerberos. Я еще хотел указать, что не только Kerberos точное время любит.