Cuando un servidor Windows necesita autenticar a un usuario de dominio con NTLM, se lo solicita al controlador de dominio local.
Mi pregunta es si ese controlador de dominio (suponiendo que el usuario esté en ese dominio) puede procesar la autenticación NTLM completamente localmente, O si tiene que reenviar la solicitud al controlador de dominio principal para realizar parte de la autenticación.
Habría asumido que lo hace completamente localmente, pero NTLM existe desde NT 4 y el PDC tiene responsabilidades del emulador de PDC. Además, los DC deben estar en contacto constante con el PDC, de lo contrario pueden suceder cosas raras, pero esa rareza no está bien definida.
La razón por la que pregunto es para determinar si los problemas de autenticación específicos entre servidores y un DC (que no abordaré aquí) podrían verse influenciados por fallas de WAN entre el DC y el PDC.
Gracias.
Respuesta1
No puedo afirmar tener un conocimiento exhaustivo, pero la idea de un controlador de dominio primario se desvaneció con Windows 2000. A partir de Windows 2000, los DC deben ser básicamente pares, aunque habrá servidores autorizados únicos para las diversas funciones de FSMO. (Las bases de datos utilizadas están destinadas a replicarse en todos los DC, pero en caso de conflicto, se nombra a uno como titular de la función). Entonces, para responder a su pregunta, la autenticación proviene del DC con el que se contactó primero, no hay referencia a la autoridad. se requiere o se hace un titular de rol; pero si el titular de la función autorizada está fuera de contacto debido a problemas de WAN durante mucho tiempo, los distintos DC pueden desincronizarse entre sí, lo que resulta en la situación extraña que estás insinuando.