Gracetime

crl_nextupdate
Alla CRL-er innehåller fältet ”Next Update” och det fältet bär följande information:

This field indicates the date by which the next CRL will be issued.
The next CRL could be issued before the indicated date, but it will not be issued any later than the indicated date

Att tolka detta som om det skulle innebära följande känns lite tokigt:

Om värdet på ”Next Update” passerats skall servern neka alla inloggningsförsök med hänvisning till att CRL-informationen är för gammal.

Tyvärr är detta defaultbeteendet i t.ex. en domänkontrollant. Men som tur är har Microsoft gett oss en GPO där man själv kan ta ställning till risker och hotbilder.

Här hittar du den:
gpo_gracetime_path
Så här ser den ut:

gpo_gracetime