대본:
- DC가 작동하는 동안 임의의 컴퓨터에 로그인합니다.
- 나는 DC를 멈춘다
- 임의의 컴퓨터에서 로그 오프합니다. 좋은 측정을 위해 바운스하자.
- 컴퓨터가 다시 켜도 DC가 다운 되어도 도메인 자격 증명으로 로그인 할 수 있습니다
왜 그리고 어떻게?
“임의”시스템에 일종의 로컬 자격 증명 캐시가 있습니까? 내 비밀번호는 어떻게 든 해시되어 미래에 CASE에 저장되어 DC가 끊어 지거나 다운됩니까?
DC가 작동 중지 된 상태에서 이전에 로그인하지 않은 상자에 로그인하려고하면 동일한 프로세스가 작동합니까?
답변
기본적으로 Windows는 마지막 10-25 명의 사용자를 캐시하여 시스템에 로그인합니다 (OS 버전에 따라 다름). 이 동작은 GPO를 통해 구성 할 수 있으며 보안이 중요한 경우 일반적으로 완전히 해제됩니다.
모든 DC에 연결할 수없는 동안 로그인하지 않은 워크 스테이션 또는 구성원 서버에 로그인하려고하면 오류 메시지가 표시됩니다. There are currently no logon servers available to service the logon request
답변
예, 로그인 한 각 컴퓨터에 자격 증명이 캐시됩니다. DC가 다운되기 전에 지정된 시스템에 로그인하지 않은 경우 자격 증명을 사용할 수 없기 때문에 로그인 할 수 없습니다.
답변
DC와 클라이언트 상자는 그룹 정책 작업의 일부로 주기적으로 로그인을 동기화하지만 둘 다 온라인 상태 인 경우에만 동기화합니다.
예를 들어, 워크 스테이션 (Alice)에 로그인하여 네트워크에서 연결을 끊은 다음 두 번째 워크 스테이션 (Bob)에 로그인하고 Bob의 ctrl-alt-del을 통해 로그인 AD 암호를 변경할 수 있습니다. 암호는 Bob과 DC (Charlie)에서 즉시 업데이트되지만 Alice의 기존 값 (캐시)입니다.
Alice를 네트워크에 다시 연결하면 1-2 초 후에 “Windows에 현재 자격 증명이 필요합니다”라는 작업 표시 줄 풍선 알림이 표시 될 수 있습니다. 이는 Alice와 Charlie가 기간 그룹 정책 동기화를 수행 한 결과입니다. 새 비밀번호를 입력하면 Charlie에 대해 입력 한 내용을 확인하고 Alice의 캐시 된 자격 증명을 업데이트합니다.