|
Access denied
|
 Geschrieben von Beat Rubischon (Link) am
Donnerstag, 15. November 2007, 21:19
aus dem *phuck* dept.
Irgendwann sollte ich es endlich lernen! Wenn mich eine Kiste in einem ActiveDirectory - egal ob Windows, MacOS oder ein mittels winbindd angebundenes Linux - nicht mehr kennt, ist in den seltensten Fällen das Verzeichnis oder der Client tot.
Nein. Es ist immer *tataa* die Zeit. Die ganze Kerberos Geschichte ist zeitabhängig und bei wenigen Sekunden Abweichungen beginnt der Aerger. Ab ca. 5 Minuten Differenz ist ein Anmelden gänzlich unmöglich - ausser bei einem Win2k/XP/2k3 Client, der meine Credentials eine halbe Ewigkeit lange cacht.
In einer reinen Windows Umgebung wird normalerweise der Active Directory Server als SNTP Server genommen. Mit fatalen Folgen in einer gemischten Windows / Linux Umgebung - der NTPd ist seltenst in der Lage, sich langfristig an der wackeligen Zeit des AD Servers zu orientieren. Letztendlich bleibt nichts anderes übrig, als eine linuxoide Kiste als Timeserver zu benutzen und den AD Server als Stratum 2 (oder 3) anzubinden. Die Windows Clients synchronisieren weiterhin auf den AD Server, die Linux Clients gehen auf den genaueren NTP Server.
In einer Samba basierenden NT4 Domäne wird der Server nicht automatisch als Zeitserver genommen. Der Hack mit einem net time /set /yes aus der DOS- und Win9x Zeit tut nicht mehr, da der Benutzer in den seltensten Fällen lokaler Admin ist und zu Loginzeit die Probleme mit der Authentication bereits da sind. Also muss manuell ein SNTP Server angegeben werden. Bei XP oder 2k3 geht das in der Systemsteuerung, für Win2k gibt es diese nette Seite.
Permalink
|
|
|