windows-server-2008 – 如何确定用于身份验证的域控制器
|
我在
Windows Server 2003和Windows Server 2008上使用IIS运行多个网站.
这些网站使用Windows身份验证,仅指定了NTLM选项(无Kerberos). 这些服务器都是同一活动目录域的成员,功能级别为Windows Server 2003.有些域控制器同时运行Windows Server 2008和Windows Server 2012. 域在其自己的林中具有与另一个活动目录域的双向信任. 有时,用户在使用受信任域中的用户帐户时无法对IIS网站进行身份验证.他们的浏览器会反复提示他们输入凭据,并在几次尝试后显示空白页面.凭证有效.作为故障排除步骤,我从受信任域授予了一个测试帐户,以便在本地登录到Web服务器,并且能够使用该帐户登录到Web服务器,同时IIS不允许用户使用相同的凭据登录. 问题不会同时发生在所有Web服务器上,一个将受到影响,而其他Web服务器将继续成功处理来自受信任域的登录请求. 重新启动工作站服务可以解决问题(以及重新启动整个服务器). 我的问题是: >如何确定哪个活动目录域控制器正在处理来自IIS的登录请求: 谢谢,
首先回答你的第二个问题:
由于您仍在使用NTLM,阅读flow of NTLM in a multi-domain environment可能会帮助您解决这个问题. IIS将联系其域中的域控制器(DC),该域又将与受信任域中的DC联系. 信任DC对受信任域的名称执行DNS查找,并将LDAP和NetBIOS请求发送到该查询返回的所有DC.第一个响应“胜利”的人.这可能是你在这个过程中看到一些非决定论的原因.您可以通过使用DNS进行管理来影响此过程. 定位身份验证DC将是捕获身份验证流量或查看可能正在进行身份验证的所有DC的安全事件日志的问题. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |