Windows-Server-2008

如何確定用於身份驗證的域控制器

  • October 21, 2014

我在 Windows Server 2003 和 Windows Server 2008 上使用 IIS 執行了幾個網站。這些網站使用 Windows 身份驗證,只指定了 NTLM 選項(沒有 Kerberos)。

這些伺服器都是同一個活動目錄域的成員,功能級別為 Windows Server 2003。有執行 Windows Server 2008 和 Windows Server 2012 的域控制器。

該域與其自己的林中的另一個活動目錄域具有雙向信任。

有時,當使用來自受信任域的使用者帳戶時,使用者無法對 IIS 網站進行身份驗證。他們的瀏覽器反复提示他們輸入憑據,並在多次嘗試後顯示一個空白頁面。憑據有效。作為故障排除步驟,我授予了來自受信任域的測試帳戶在本地登錄到 Web 伺服器的權限,並且能夠使用該帳戶登錄到 Web 伺服器,同時 IIS 不允許使用者使用相同的憑據登錄.

該問題不會同時發生在所有 Web 伺服器上,一個會受到影響,而其他伺服器會繼續成功處理來自受信任域的登錄請求。

重新啟動工作站服務可以解決問題(以及重新啟動整個伺服器)。

我的問題是:

  1. 如何確定哪個 Active Directory 域控制器正在處理來自 IIS 的登錄請求: a:主域 b:受信任域
  2. 當 IIS 接收到可信域的登錄請求時,該請求是如何處理的?具體來說,請求是發送到主域還是輔助域中的域控制器,具體的域控制器是如何選擇的?

謝謝,

先回答你的第二個問題:

由於您仍在使用 NTLM,因此了解多域環境中的 NTLM 流程可能會對您有所幫助。IIS 將聯繫其域中的域控制器 (DC),而後者又將聯繫受信任域中的 DC。

信任的 DC 對受信任的域名進行 DNS 查找,並將 LDAP 和 NetBIOS 請求發送到該查詢返回的所有 DC。第一個響應“獲勝”的人。這可能就是您在此過程中看到一些不確定性的原因。您可以通過使用 DNS 來影響這個過程。

定位身份驗證 DC 將是擷取身份驗證流量或查看可能發生身份驗證的所有 DC 的安全事件日誌的問題。

引用自:https://serverfault.com/questions/638332