Windows サーバーが NTLM を使用してドメイン ユーザーを認証する必要がある場合、ローカル ドメイン コントローラーに問い合わせます。
私の質問は、そのドメイン コントローラ (ユーザーがそのドメイン内にいると仮定) が NTLM 認証を完全にローカルで処理できるかどうか、または、認証の一部を実行するために要求をプライマリ ドメイン コントローラに転送する必要があるかどうかです。
完全にローカルで実行されると想定していましたが、NTLM は NT 4 以降存在しており、PDC は PDC エミュレーターの責任を負っています。さらに、DC は PDC と常に通信する必要があるため、そうでないと奇妙なことが起こる可能性がありますが、その奇妙なことは明確に定義されていません。
私が質問する理由は、サーバーと DC 間の特定の認証の問題 (ここでは説明しません) が、DC と PDC 間の WAN 障害の影響を受ける可能性があるかどうかを判断するためです。
ありがとう。
答え1
完全な知識があるとは言えませんが、プライマリ ドメイン コントローラの概念は Windows 2000 で消え去りました。Windows 2000 以降、DC は基本的にピアとなるようになっていますが、さまざまな FSMO ロールに対して単一の権限サーバーが存在します。(使用されるデータベースはすべての DC に複製されるようになっていますが、競合が発生した場合は 1 つがロール ホルダーとして指定されます。) したがって、ご質問にお答えすると、認証は実際に最初に接続した DC から行われ、権限のあるロール ホルダーへの参照は必要なく、また行われません。ただし、権限のあるロール ホルダーが WAN の問題により長期間接続できない場合、さまざまな DC が互いに同期しなくなり、おっしゃるような奇妙な状況が発生する可能性があります。