Quando um servidor Windows precisa autenticar um usuário de domínio com NTLM, ele solicita ao controlador de domínio local.
Minha pergunta é se esse controlador de domínio (supondo que o usuário esteja nesse domínio) pode processar a autenticação NTLM inteiramente localmente ou é necessário encaminhar a solicitação ao controlador de domínio primário para fazer parte da autenticação?
Eu teria assumido que isso é feito inteiramente localmente, mas o NTLM existe desde o NT 4 e o PDC carrega responsabilidades do emulador de PDC. Além disso, os DCs devem estar em contato constante com o PDC, caso contrário, coisas estranhas podem acontecer, mas essa estranheza não está bem definida.
A razão pela qual pergunto é para determinar se problemas específicos de autenticação entre servidores e um controlador de domínio (que não abordarei aqui) podem ser influenciados por falhas de WAN entre o controlador de domínio e o PDC.
Obrigado.
Responder1
Não posso reivindicar conhecimento exaustivo, mas a ideia de um controlador de domínio primário desapareceu com o Windows 2000. A partir do Windows 2000, os DCs devem ser basicamente pares, embora haja servidores únicos com autoridade para as várias funções FSMO. (Os bancos de dados usados destinam-se a replicar para todos os DCs, mas em caso de conflito, um deles é nomeado como detentor da função.) Portanto, para responder à sua pergunta, a autenticação vem de qualquer DC que foi realmente contatado primeiro, sem referência ao autoritativo. o titular da função é exigido ou feito; mas se o detentor da função autoritativa estiver fora de contato devido a problemas de WAN por um longo período, os vários DCs poderão ficar fora de sincronia entre si, resultando na situação estranha que você está sugerindo.