Windows 서버는 NTLM을 사용하여 도메인 사용자를 인증해야 할 경우 로컬 도메인 컨트롤러에 요청합니다.
내 질문은 해당 도메인 컨트롤러(사용자가 해당 도메인에 있다고 가정)가 NTLM 인증을 완전히 로컬로 처리할 수 있는지 여부입니다. 아니면 인증의 일부를 수행하기 위해 요청을 기본 도메인 컨트롤러에 전달해야 합니까?
완전히 로컬에서 수행한다고 가정했지만 NTLM은 NT 4부터 사용되었으며 PDC는 PDC 에뮬레이터 책임을 수행합니다. 게다가 DC는 PDC와 지속적으로 접촉해야 합니다. 그렇지 않으면 이상한 일이 발생할 수 있지만 그 이상한 점은 잘 정의되어 있지 않습니다.
제가 묻는 이유는 서버와 DC 사이의 특정 인증 문제(여기서는 다루지 않음)가 DC와 PDC 사이의 WAN 장애로 인해 영향을 받을 수 있는지 확인하기 위한 것입니다.
감사해요.
답변1
완전한 지식을 제공할 수는 없지만 기본 도메인 컨트롤러에 대한 아이디어는 Windows 2000에서 사라졌습니다. Windows 2000부터 DC는 기본적으로 피어를 의미하지만 다양한 FSMO 역할에 대한 단일 권한 서버가 있습니다. (사용된 데이터베이스는 모든 DC에 복제하기 위한 것이지만 충돌이 발생할 경우 하나가 역할 소유자로 지정됩니다.) 따라서 질문에 대답하자면 실제로 먼저 연결한 DC에서 인증이 이루어지며 권한 있는 DC에 대한 참조는 없습니다. 역할 소유자가 필요하거나 만들어졌습니다. 그러나 권한 있는 역할 소유자가 WAN 문제로 인해 오랫동안 연락이 끊긴 경우 다양한 DC가 서로 동기화되지 않아 암시하는 이상한 상황이 발생할 수 있습니다.