Wenn ein Windows-Server einen Domänenbenutzer mit NTLM authentifizieren muss, fragt er den lokalen Domänencontroller.
Meine Frage lautet nun, ob dieser Domänencontroller (vorausgesetzt, der Benutzer befindet sich in dieser Domäne) die NTLM-Authentifizierung vollständig lokal verarbeiten kann ODER ob er die Anforderung an den primären Domänencontroller weiterleiten muss, um einen Teil der Authentifizierung durchzuführen?
Ich hätte angenommen, dass es vollständig lokal geschieht, aber NTLM gibt es seit NT 4 und der PDC ist für den PDC-Emulator zuständig. Außerdem müssen DCs in ständigem Kontakt mit dem PDC stehen, da sonst seltsame Dinge passieren können, aber diese Seltsamkeiten sind nicht genau definiert.
Der Grund für meine Frage besteht darin, festzustellen, ob bestimmte Authentifizierungsprobleme zwischen Servern und einem DC (auf die ich hier nicht näher eingehen werde) durch WAN-Fehler zwischen dem DC und dem PDC beeinflusst werden könnten.
Danke.
Antwort1
Ich kann nicht behaupten, umfassende Kenntnisse zu haben, aber die Idee eines primären Domänencontrollers ist mit Windows 2000 irgendwie in Vergessenheit geraten. Ab Windows 2000 sollen die DCs grundsätzlich gleichrangig sein, obwohl es einzelne autoritative Server für die verschiedenen FSMO-Rollen geben wird. (Die verwendeten Datenbanken sollen auf alle DCs repliziert werden, aber im Konfliktfall wird einer als Rolleninhaber benannt.) Um also Ihre Frage zu beantworten: Die Authentifizierung kommt von dem DC, der tatsächlich zuerst kontaktiert wurde, es ist kein Rückverweis auf den autoritativen Rolleninhaber erforderlich oder erfolgt; aber wenn der autoritative Rolleninhaber aufgrund von WAN-Problemen längere Zeit nicht erreichbar ist, können die verschiedenen DCs nicht mehr synchron sein, was zu der seltsamen Situation führt, auf die Sie anspielen.