none
обновление членства в группах RRS feed

  • Вопрос

  • планируем ввести аутентификацию компьютеров на портах свитча. Сама аутентификация длится до 15 секунд после появления окна для ввода учётных данных. Следовательно, пользователь вошедший в систему с кэшированными данными не сможет обновить своего членства в группах, т.к. КД не был доступен во время входа.

    Можно ли это как-то решить без просьб пользователя ждать или перелогиниваться?

    Спасибо!
    31 августа 2019 г. 15:23
    Модератор

Ответы

  • два месяца работы - никто не жалуется. видимо нет таких пользователей, которые входят в систему сразу после включения компьютера.
    • Помечено в качестве ответа AnahaymModerator 16 ноября 2019 г. 22:31
    16 ноября 2019 г. 22:31
    Модератор

Все ответы

  • планируем ввести аутентификацию компьютеров на портах свитча. Сама аутентификация длится до 15 секунд после появления окна для ввода учётных данных. Следовательно, пользователь вошедший в систему с кэшированными данными не сможет обновить своего членства в группах, т.к. КД не был доступен во время входа.

    Можно ли это как-то решить без просьб пользователя ждать или перелогиниваться?

    Спасибо!

    предположу и дам немного иной ответ... был опыт похожего внедрения на цисках. с включенным стп порты поднимаются очень долго, поэтому решением было настройка spanning-tree portfast на потах юзеров. 

    https://www.atraining.ru/cisco-portfast/

    31 августа 2019 г. 15:40
  • Sergey2005 проблема не в портах коммутаторов, а в сетевой карте на компьютере. Сетевая карта получается сетевые настройки после того, как пользователь вошёл в систему.
    31 августа 2019 г. 15:46
    Модератор
  • Sergey2005 проблема не в портах коммутаторов, а в сетевой карте на компьютере. Сетевая карта получается сетевые настройки после того, как пользователь вошёл в систему.

    через 15 секунд после появления окна ввода данных и после ввода данных - разные вещи.

    Разве принципиально правильно заведомо загружать ПК без доступа к домену.

    а что за система? 

    31 августа 2019 г. 15:55

  • Разве принципиально правильно заведомо загружать ПК без доступа к домену.

    пользователь пришёл на работу, включил комп, сразу залогинился и начал работать, но новые ресурсы, зависимые от членства в группа недоступны. Система Windows 10 1809.
    31 августа 2019 г. 16:05
    Модератор
  • я помню получили партию компов с одной мат платой, так вот сетевая карта там вела себя так - включалась гораздо позже, чем этого требовалось, потом были по этому поводу множественные проблемы, которые трудно диагностировались, но нашел в чем дело, в реестре там помоему параметр надо было поменять...  а что бы специально такое делать... странно вообще 
    • Изменено Sergey2005 31 августа 2019 г. 16:08
    31 августа 2019 г. 16:06

  • Разве принципиально правильно заведомо загружать ПК без доступа к домену.

    пользователь пришёл на работу, включил комп, сразу залогинился и начал работать, но новые ресурсы, зависимые от членства в группа недоступны. Система Windows 10 1809.
    я про другую -NAP там или ISE ...
    31 августа 2019 г. 16:14
  • ок, видимо надо было объяснить подробнее, что подразумевается под "аутентификацией компьютеров на портах свитча", а именно протокол 802.1x с использованием компьютерного сертификата. Как это работает (очень при близительно):
    - компьютер (сетевая карта) отправляет запрос на аутентификацию на коммутатор
    - коммутатор отправляет запрос в NPS
    - если NPS аутентифицирует компьютер, коммутатор даёт добро и сетевая карта получает сетевые настройки.

    Как видите, это не то что бы специально, оно так работает. И ничего странного нет, в желании повысить безопасность сети.

    31 августа 2019 г. 16:26
    Модератор
  • ок, видимо надо было объяснить подробнее, что подразумевается под "аутентификацией компьютеров на портах свитча", а именно протокол 802.1x с использованием компьютерного сертификата. Как это работает (очень при близительно):
    - компьютер (сетевая карта) отправляет запрос на аутентификацию на коммутатор
    - коммутатор отправляет запрос в NPS
    - если NPS аутентифицирует компьютер, коммутатор даёт добро и сетевая карта получает сетевые настройки.

    Как видите, это не то что бы специально, оно так работает. И ничего странного нет, в желании повысить безопасность сети.

    как вариант отключить кэширование записей вообще... 
    31 августа 2019 г. 16:42
  • тогда пользователи не смогут работать дома или в дороге
    31 августа 2019 г. 17:02
    Модератор
  • планируем ввести аутентификацию компьютеров на портах свитча. Сама аутентификация длится до 15 секунд после появления окна для ввода учётных данных. Следовательно, пользователь вошедший в систему с кэшированными данными не сможет обновить своего членства в группах, т.к. КД не был доступен во время входа.

    Можно ли это как-то решить без просьб пользователя ждать или перелогиниваться?

    Спасибо!
    В групповой политике в конфигурации компьютера есть параметр \Administrative Templates\System\Logon\Always wait for network at computer startup and logon - он, вроде как, как раз для вашего случая - медленного старта сети. Вы пробовали его установить?

    Слава России!

    31 августа 2019 г. 17:03
  • нет, не пробовал. На сколько я знаю, это влияет на обработку политик (мол применять политики после появления сети). Сейчас проверю, повлияет ли это на мой случай (в описании политики написано, что пользотель будет ждать, пока не появится сеть)
    31 августа 2019 г. 17:09
    Модератор
  • нет, не пробовал. На сколько я знаю, это влияет на обработку политик (мол применять политики после появления сети). Сейчас проверю, повлияет ли это на мой случай (в описании политики написано, что пользотель будет ждать, пока не появится сеть)
    А он вообще так и должен по 15 секунд затупливать? может быть он чего-то не находит, ждет таймаут, а потом как раз авторизовывается, не пробовали копать в этом направлении?
    31 августа 2019 г. 17:15
  • нет, не пробовал. На сколько я знаю, это влияет на обработку политик (мол применять политики после появления сети). Сейчас проверю, повлияет ли это на мой случай (в описании политики написано, что пользотель будет ждать, пока не появится сеть)

    А он вообще так и должен по 15 секунд затупливать? может быть он чего-то не находит, ждет таймаут, а потом как раз авторизовывается, не пробовали копать в этом направлении?

    надо проверить. Но я думаю, это стандартное поведение при аутентификации.

    Administrative Templates\System\Logon\Always wait for network at computer startup and logon
    увы, не помогло.
    31 августа 2019 г. 17:30
    Модератор
  • https://docs.microsoft.com/ru-ru/windows-server/networking/technologies/nps/nps-manage-certificates

    Изменение срока действия маркера кэшированных TLS

    Во время процессов начальную проверку подлинности для EAP-TLS, PEAP-TLS и PEAP-MS-CHAP версии 2, сервер политики сети кэширует часть свойства подключения TLS подключающегося клиента. Клиент также кэширует часть свойства подключения TLS NPS.

    Каждой отдельной коллекции из этих свойств подключения TLS называется дескриптор TLS.

    Клиентские компьютеры можно кэшировать маркеры TLS для нескольких структур проверки подлинности, хотя NPSs может кэшировать маркеры TLS многих клиентских компьютерах.

    Кэшированные маркеры TLS на клиенте и сервере разрешить повторную проверку подлинности процесса происходят быстрее. Например при присоединяют компьютер выполняемой с сервер политики сети, сервер политики сети можно изучить дескриптор TLS для беспроводного клиентского и может быстро определить, что клиент использует выполняется попытка повторного подключения. Сервер политики сети разрешает подключение без выполнения полной проверки подлинности.

    Соответственно клиент проверяет дескриптор TLS для сервера политики сети, определяет, что он выполняется попытка повторного подключения и не нужно выполнять проверку подлинности сервера.

    На компьютерах под управлением Windows 10 и Windows Server 2016 срок действия маркера TLS по умолчанию — 10 часов.

    В некоторых случаях может потребоваться увеличить или уменьшить время окончания срока действия маркера TLS.

    Например можно уменьшить время окончания срока действия маркера TLS в случаях, где пользователя сертификат отзывается администратором, а действия сертификата истек. В этом случае пользователь может подключаться к сети, если сервер политики сети имеет кэшированный дескриптор TLS, который не истек. Уменьшение TLS истечения срока действия маркера может помочь предотвратить повторное подключение таких пользователей с помощью отозванных сертификатов.

    31 августа 2019 г. 20:00
  • по логике сейчас первый вход должен быть долгим, а второй уже норм, так и работает?
    31 августа 2019 г. 20:03
  • Нет, аутентификация сетевой карты после перезагрузки компьютера всегда примерно 15 секунд.
    31 августа 2019 г. 22:28
    Модератор
  • Приветствую.

    Настройте гостевой VLAN и после Аутентификации получение настроек в соответствии с политикой NPS / Radius Емнип Cisco так может...


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    1 сентября 2019 г. 5:43
    Модератор
  • Антон, я не понял Ваш ответ...
    1 сентября 2019 г. 12:27
    Модератор
  • планируем ввести аутентификацию компьютеров на портах свитча. Сама аутентификация длится до 15 секунд после появления окна для ввода учётных данных. Следовательно, пользователь вошедший в систему с кэшированными данными не сможет обновить своего членства в группах, т.к. КД не был доступен во время входа.

    Можно ли это как-то решить без просьб пользователя ждать или перелогиниваться?

    Спасибо!

    анахайм, вот тут я не поняла,

    ты как то все в кучу смешал, не?

    Авторизация какого рода? Если компа, то причем тут пользюк? давай есть слона кусочками, а то ты тут смешал в кучу коней и людей.

    если вопрос в том как динамически обновлять кеборос тикет без релогона - насколько я знаю, простых путей нет.

    2 сентября 2019 г. 12:10

  • ты как то все в кучу смешал, не?

    Авторизация какого рода? Если компа, то причем тут пользюк?

    Аутентификация компьютера на порту свитча - 802.1X Port-Based Authentication.
    При чём тут пользователь: при том, что он может войти в систему до аутентификации компьютера, со всеми вытакающими последствиями.
    2 сентября 2019 г. 18:11
    Модератор
  • он точно также сможет зайти до подключения к любой сети?
    2 сентября 2019 г. 18:25
  • он точно также сможет зайти до подключения к любой сети?

    Все зависит от того как оно все понастроено.

    Если что не так пойдет, кинет пк проблемного пользука в гостевой VLan... до корректной Аутентификации


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    2 сентября 2019 г. 19:24
    Модератор
  • он точно также сможет зайти до подключения к любой сети?
    100%, какие-то сомнения? настройки аутентификации пользователя по-умолчанию.
    Если что не так пойдет, кинет пк проблемного пользука в гостевой VLan... до корректной Аутентификации
    кикого никуда кидать не будет. неаутентифицированные компы не получат доступ ни в какие сети.
    2 сентября 2019 г. 19:55
    Модератор
  • два месяца работы - никто не жалуется. видимо нет таких пользователей, которые входят в систему сразу после включения компьютера.
    • Помечено в качестве ответа AnahaymModerator 16 ноября 2019 г. 22:31
    16 ноября 2019 г. 22:31
    Модератор