當 Windows 伺服器需要使用 NTLM 對網域使用者進行驗證時,它會詢問本機網域控制站。
我的問題是該網域控制站(假設使用者位於該網域中)是否可以完全在本機處理 NTLM 驗證,或者是否必須將請求轉送到主網域控制站才能執行部分驗證?
我以為它完全在本地完成,但 NTLM 自 NT 4 以來就已經存在,並且 PDC 承擔 PDC 模擬器的職責。此外,DC 應該與 PDC 保持持續聯繫,否則可能會發生奇怪的事情,但這種奇怪的情況並沒有明確的定義。
我詢問的原因是確定伺服器和 DC 之間的特定身份驗證問題(我不會在這裡討論)是否會受到 DC 和 PDC 之間的 WAN 故障的影響。
謝謝。
答案1
我不能聲稱我掌握了詳盡的知識,但是主網域控制站的想法在 Windows 2000 中逐漸消失。 (所使用的資料庫旨在複製到所有DC,但在發生衝突的情況下,將指定一個作為角色持有者。)因此,為了回答您的問題,身份驗證確實來自實際首先聯繫的DC,沒有參考權威機構需要或指定角色持有者;但是,如果權威角色持有者因 WAN 問題而長時間失去聯繫,則個別 DC 可能會彼此不同步,從而導致您所暗示的奇怪情況。