> Ок, будем тут. > Кто-нибудь чего-нить скажет? > > Я нашел, что код 20 - это значит "TGT has been revoked" > Отменен был билет? Это как? Из-за чего? Найти не могу..
Это тайм - стамп у системы которой выдан билет не совпадает с контроллером домена на котором служба цербера (изменили время на ней, а тайм стамп - как механизм защиты ключей билета от). Или билет отозван для обновления в связи с истечением срока действия, установленного политиками безопасности.
В аудит-логе постоянно появляются такие вообщения.
При этом появляются, например, в 3, 4 часа ночи. Когда никого нет. Смотрел на журнал приложений - никакие приложения не запускаются вроде в это время.
В базе Microsoft есть указание только на системы с Exchange 5, которого у нас нет. Да и сервис там другой указан в этом случае.
-------------------
NT AUTHORITY\SYSTEM
Service Ticket Request Failed:
User Name:
User Domain:
Service Name: krbtgt/ххххххх.RU
Ticket Options: 0x2
Failure Code: 0x20
Client Address: 127.0.0.1
-------------------
Или вот такое.
-------------------
NT AUTHORITY\SYSTEM
Service Ticket Request Failed:
User Name: Administrator
User Domain: хххххххх.RU
Service Name: krbtgt/ххххххх.RU
Ticket Options: 0x2
Failure Code: 0x20
Client Address: 10.1.1.20
-------------------
> В базе Microsoft есть указание только на системы с Exchange > 5, которого у нас нет. Да и сервис там другой указан в этом > случае. > ------------------- > NT AUTHORITY\SYSTEM > > Service Ticket Request Failed: > User Name: > User Domain: > Service Name: krbtgt/ххххххх.RU > Ticket Options: 0x2 > Failure Code: 0x20 > Client Address: 127.0.0.1 > ------------------- > NT AUTHORITY\SYSTEM > > Service Ticket Request Failed: > User Name: Administrator > User Domain: хххххххх.RU > Service Name: krbtgt/ххххххх.RU > Ticket Options: 0x2 > Failure Code: 0x20 > Client Address: 10.1.1.20 > -------------------
Вот что я думаю, у тебя админ получил от контроллера домена билет tgt (ticket grant ticket дающий право получения билета для доступа) , но он залогинен на самом контроллере и служба kerberos не может выдать админу билет доступа к службе к самой себе. По идее если сделать логофф и подождать смены билетов - это пройдет. А вот во втором случае по моему контроллер сам на себе хочет авторизоваться.
Во я закрутил :-))
Я читал както об этом, дословно сейчас и не вспомню что там, но в общем вроде так как я сказал.
А почему ночью - так наверно у тебя в это время по установкам должна проходить смена билетов.
Если я ошибаюсь - поправте, плз..
Почитай материал в линках, и посмотри если интересно всю серию статей, там вроде перекрестные ссылки есть.
З.Ы.а зачем писать User Domain: хххххххх.RU, если у тебя Client Address: 10.x.x.x - он же не маршрутизируется в нэте ? ;-))
> Вот что я думаю, у тебя админ получил от контроллера > домена билет tgt (ticket grant ticket дающий право > получения билета для доступа) , но он залогинен на самом > контроллере и служба kerberos не может выдать админу билет > доступа к службе к самой себе. По идее если сделать логофф > и подождать смены билетов - это пройдет. А вот во втором > случае по моему контроллер сам на себе хочет > авторизоваться. > Во я закрутил :-)) > Я читал както об этом, дословно сейчас и не вспомню что > там, но в общем вроде так как я сказал. > А почему ночью - так наверно у тебя в это время по > установкам должна проходить смена билетов. > Если я ошибаюсь - поправте, плз.. > > Почитай материал в линках, и посмотри если интересно всю > серию статей, там вроде перекрестные ссылки есть. > > З.Ы.а зачем писать User Domain: > хххххххх.RU, если у тебя Client Address: > 10.x.x.x - он же не маршрутизируется в нэте ? ;-))
Вот в чем проблема - это в том, что админ там не залогинен. :)
Может, работает какая-то прога, пускаемая под эккаунтом админа? Хотя нет такой вроде бы..
А как побороть желание залогиниться на самом себе? :)
ЗЫ. Я пытаюсь секьюриться :))
ЗЗЫ. Можешь мыло скинуть? Или мне на a_vah@mailru.com напиши, пожалуйста.
> Вот в чем проблема - это в том, что админ там не залогинен. > :)
Точно не залогинен или тачка просто залочена ?
> Может, работает какая-то прога, пускаемая под эккаунтом > админа? Хотя нет такой вроде бы.. > А как побороть желание залогиниться на самом себе? :)
Я не уверен что это на 100% что это правда ( на счет логина), чтоб разобратся мне надо малость вспомнить, давно я с этой штукой возился...
> ЗЫ. Я пытаюсь секьюриться :))
Кстати, на счет секьюрится - лучьше здесь это обсуждать, общественность обязательно подскажет интересные варианты, на форуме есть знающие люди :-)). Это я к тому, что по мылу очень однобоко будет, а тут - целый мозговой штурм и халявная консультация, если проблемой людей заинтересуешь.
> > Вот в чем проблема - это в том, что админ там не > залогинен. > > :) > Точно не залогинен или тачка просто залочена ?
100%. мы logoff делаем всегда.
> > Может, работает какая-то прога, пускаемая под > эккаунтом админа? Хотя нет такой вроде бы.. > > А как побороть желание залогиниться на самом себе? :) > Я не уверен что это на 100% что это правда ( на счет > логина), чтоб разобратся мне надо малость вспомнить, давно > я с этой штукой возился...
Буду очень рад, если ты попробуешь это сделать. :))
> > ЗЫ. Я пытаюсь секьюриться :)) > Кстати, на счет секьюрится - лучьше здесь это обсуждать, > общественность обязательно подскажет интересные варианты, > на форуме есть знающие люди :-)). Это я к тому, что по мылу > очень однобоко будет, а тут - целый мозговой штурм и > халявная консультация, если проблемой людей заинтересуешь.
Ок, будем тут.
Кто-нибудь чего-нить скажет?
Я нашел, что код 20 - это значит "TGT has been revoked"
Отменен был билет? Это как? Из-за чего? Найти не могу..
> Ок, будем тут. > Кто-нибудь чего-нить скажет? > > Я нашел, что код 20 - это значит "TGT has been revoked" > Отменен был билет? Это как? Из-за чего? Найти не могу..
Это тайм - стамп у системы которой выдан билет не совпадает с контроллером домена на котором служба цербера (изменили время на ней, а тайм стамп - как механизм защиты ключей билета от). Или билет отозван для обновления в связи с истечением срока действия, установленного политиками безопасности.
> > Я нашел, что код 20 - это значит "TGT has been revoked" > > Отменен был билет? Это как? Из-за чего? Найти не могу.. > > Это тайм - стамп у системы которой выдан билет не совпадает > с контроллером домена на котором служба цербера (изменили > время на ней, а тайм стамп - как механизм защиты ключей > билета от). Или билет отозван для обновления в связи с > истечением срока действия, установленного политиками > безопасности.
Код 0х20 в десятеричной системе - 32. :) Это значит "The ticket has expired". Вопрос снят. Всем спасибо. :))
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
