Когда серверу Windows необходимо аутентифицировать пользователя домена с помощью NTLM, он обращается к локальному контроллеру домена.
Мой вопрос заключается в том, может ли этот контроллер домена (предполагая, что пользователь находится в этом домене) обрабатывать аутентификацию NTLM полностью локально, ИЛИ ему придется пересылать запрос на основной контроллер домена, чтобы выполнить часть аутентификации?
Я бы предположил, что это происходит полностью локально, но NTLM существует с NT 4, а PDC несет ответственность за эмулятор PDC. Кроме того, DC должны быть в постоянном контакте с PDC, иначе могут происходить странные вещи, но эта странность не очень четко определена.
Причина, по которой я спрашиваю, заключается в том, чтобы определить, могут ли сбои WAN между DC и PDC повлиять на конкретные проблемы аутентификации между серверами и DC (в которые я не буду здесь вдаваться).
Спасибо.
решение1
Я не могу утверждать, что обладаю исчерпывающими знаниями, но идея первичного контроллера домена как-то сошла на нет с выходом Windows 2000. Начиная с Windows 2000, контроллеры домена должны быть по сути одноранговыми, хотя для различных ролей FSMO будут существовать отдельные полномочные серверы. (Используемые базы данных должны реплицироваться на все контроллеры домена, но в случае конфликта один из них назначается держателем роли.) Таким образом, отвечая на ваш вопрос, аутентификация выполняется с того контроллера домена, с которым первым было установлено соединение, никакой обратной ссылки на полномочного держателя роли не требуется и не делается; но если полномочный держатель роли отсутствует из-за проблем с WAN в течение длительного времени, различные контроллеры домена могут рассинхронизироваться друг с другом, что приведет к странной ситуации, на которую вы намекаете.