如何確定用於身份驗證的域控制器

我在 Windows Server 2003 和 Windows Server 2008 上使用 IIS 執行了幾個網站。這些網站使用 Windows 身份驗證，只指定了 NTLM 選項（沒有 Kerberos）。

這些伺服器都是同一個活動目錄域的成員，功能級別為 Windows Server 2003。有執行 Windows Server 2008 和 Windows Server 2012 的域控制器。

該域與其自己的林中的另一個活動目錄域具有雙向信任。

有時，當使用來自受信任域的使用者帳戶時，使用者無法對 IIS 網站進行身份驗證。他們的瀏覽器反复提示他們輸入憑據，並在多次嘗試後顯示一個空白頁面。憑據有效。作為故障排除步驟，我授予了來自受信任域的測試帳戶在本地登錄到 Web 伺服器的權限，並且能夠使用該帳戶登錄到 Web 伺服器，同時 IIS 不允許使用者使用相同的憑據登錄.

該問題不會同時發生在所有 Web 伺服器上，一個會受到影響，而其他伺服器會繼續成功處理來自受信任域的登錄請求。

重新啟動工作站服務可以解決問題（以及重新啟動整個伺服器）。

我的問題是：

1. 如何確定哪個 Active Directory 域控制器正在處理來自 IIS 的登錄請求： a：主域 b：受信任域
2. 當 IIS 接收到可信域的登錄請求時，該請求是如何處理的？具體來說，請求是發送到主域還是輔助域中的域控制器，具體的域控制器是如何選擇的？

謝謝，

先回答你的第二個問題：

由於您仍在使用 NTLM，因此了解多域環境中的 NTLM 流程可能會對您有所幫助。IIS 將聯繫其域中的域控制器 (DC)，而後者又將聯繫受信任域中的 DC。

信任的 DC 對受信任的域名進行 DNS 查找，並將 LDAP 和 NetBIOS 請求發送到該查詢返回的所有 DC。第一個響應“獲勝”的人。這可能就是您在此過程中看到一些不確定性的原因。您可以通過使用 DNS 來影響這個過程。

定位身份驗證 DC 將是擷取身份驗證流量或查看可能發生身份驗證的所有 DC 的安全事件日誌的問題。

引用自：https://serverfault.com/questions/638332