У меня есть домен MS AD с некоторыми серверами приложений под управлением Windows Server 2012 R2. К приложению предъявляются особые требования: сдвиг времени между базой данных и серверами приложений должен составлять менее 5 секунд. Если разница во времени составляет 2 секунды или более, приложение установит время машины вручную. Если есть более 5 или 10 секунд (не помню), приложение просто не загружается.

Я пытался полагаться на механизмы синхронизации времени Active Directory, как обычно, но здесь это не работает. Это должно быть более "точным".

Итак, мой вопрос ... зная риски, связанные с отсутствием синхронизации времени между контроллерами домена и сервером приложений, возможно ли отключить синхронизацию времени Windows при входе в домен Active Directory?

|источник

1 ответ1

0

Windows AD нужны временные метки для конфликтов репликации AD и для аутентификации Kerberos. Kerberos использует их для защиты от атак воспроизведения, когда пакет аутентификации перехватывается в сети, а затем повторно отправляется для аутентификации от имени исходного отправителя.

Если разница между местным временем и отметкой времени слишком велика, запрос на проверку подлинности отклоняется и проверка подлинности Kerberos не выполняется. Слишком высокое значение времени повышает риск повторных атак. Значение по умолчанию составляет пять минут.

Без синхронизации между контроллерами домена и серверами было бы невозможно завершить проверку подлинности. Поэтому отключение синхронизации времени Windows при входе в домен Active Directory может привести к значительным проблемам при проверке подлинности.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .