Da un po’ di giorni alcuni clienti mi riportano un problema molto strano. In pratica durante la giornata lavorativa inspiegabilmente dopo un certo orario, solitamente dopo le 18-18.30, i le mappature di rete si scollegano e non si riesce più ad accedere ai file pur vedendo in risorse del computer la lettera corrispondente alla share. Tutti i programmi si bloccano. Poi dopo un bel riavvio tutto torna normale. Incuriosito ho approfondito un po’ il problema, e durante la fase in cui tutto non funziona ed è scollegato ho provato a vedere un po’ di cose :
a) il server di dominio rispondeva perfettamente al ping
b) Nessuna scansione antivirus era iniziata o in corso
c) nessun processo occupa la cpu nè la ram in modo anomalo
d) in locale tutto funziona perfettamente
e) nessuna azione pianificata
f) nessun evento di rilievo nell’event viewer
Sempre più stupito ho notato che quandoaprivo le risorse del computer le mappature di rete rallentavano tantisimo l’apertura della finestra, ho così provato a fare un net use * /delete per eliminare le mappature e subito dopo ho provato a ricollegarle. Qui l’illuminazione… L’utente corrente non è più accettato dal server. Appare un messaggio in cui mi si chiede di fornire delle credenziali di un utente valido.
Problema trovato : è scaduto il ticket kerberos rilasciato dal DC al client durante il logon del pc al mattino.
Il meccanismo di autenticazione Kerberos V5 è basato sul rilascio di ticket per l'accesso ai servizi di rete. Questi ticket contengono dati crittografati, compresa una password crittografata, che conferma l'identità dell'utente al servizio richiesto. Ad eccezione dell'immissione di credenziali quali la password o la smart card, l'intero processo di autenticazione risulta invisibile all'utente.
Un servizio importante offerto dal protocollo Kerberos V5 è il Centro distribuzione chiave (KDC, Key Distribution Center). Il KDC viene eseguito in ciascun controller di dominio come parte del servizio directory Active Directory, che memorizza tutte le password dei client e altre informazioni sugli account.
Il processo di autenticazione Kerberos V5 funziona come segue:
- L'utente che si trova in un sistema client ottiene l'autenticazione al KDC utilizzando una password o una smart card.
- Il servizio KDC rilascia al client un ticket di concessione ticket (TGT, Ticket-Granting Ticket). Tramite questo ticket il sistema client accede al servizio di concessione ticket (TGS, Ticket-Granting Service), che fa parte del meccanismo di autenticazione Kerberos V5 nel controller di dominio.
- Il servizio TGS rilascia quindi al client un ticket di servizio.
- Il client presenta questo ticket al servizio di rete richiesto. Con il tagliando di servizio viene verificata l'identità dell'utente al servizio e l'identità del servizio all'utente.
I servizi Kerberos V5 vengono installati in ciascun controller di dominio e il client Kerberos viene installato in ogni workstation e server.
Ogni controller di dominio funge da KDC. Un client utilizza una ricerca DNS (Domain Name Service) per individuare il controller di dominio più vicino. Tale controller di dominio funziona quindi come KDC preferito per tale utente durante la sessione di accesso. Se il KDC preferito non è più disponibile, il sistema individuerà un altro KDC per fornire l'autenticazione.
Per impostazione predefinita, la durata di un ticket Kerberos è 10 ore (600 minuti). Per modificare il valore della durata, modificare la default domain policy configurando le seguenti impostazioni dai criteri di gruppo del DC :
Aggiungere ad esempio 2 ore alle voci “durata massima ticket utente” e “Durata massima ticket di servizio”
Per ulteriori informazioni sull'impostazione di criteri di gruppo
sincronizzazione dell'orologio tolleranza massima per il computer , visitare il sito di Web di Microsoft:
http://technet.microsoft.com/en-us/library/cc779260.aspx (http://technet.microsoft.com/en-us/library/cc779260.aspx)
Approfondimento su tutte le opzioni del Criterio Kerberos : http://technet.microsoft.com/it-it/library/cc782061(WS.10).aspx