Gem*_*Cer 5 iis windows-server-2003 windows-server-2008 active-directory
我在 Windows Server 2003 和 Windows Server 2008 上使用 IIS 运行了几个网站。这些网站使用 Windows 身份验证,仅指定了 NTLM 选项(无 Kerberos)。
这些服务器都是同一个 Active Directory 域的成员,功能级别为 Windows Server 2003。有运行 Windows Server 2008 和 Windows Server 2012 的域控制器。
该域与它自己的林中的另一个 Active Directory 域具有双向信任关系。
有时,当使用来自受信任域的用户帐户时,用户无法对 IIS 网站进行身份验证。他们的浏览器会反复提示他们输入凭据,并在多次尝试后显示一个空白页面。凭据有效。作为故障排除步骤,我授予受信任域中的测试帐户在本地登录 Web 服务器的权限,并且能够使用该帐户登录 Web 服务器,同时 IIS 不允许用户使用相同的凭据登录.
该问题不会同时发生在所有 Web 服务器上,其中一个会受到影响,而其他服务器会继续成功处理来自受信任域的登录请求。
重新启动工作站服务可以解决问题(以及重新启动整个服务器)。
我的问题是:
如何确定哪个 Active Directory 域控制器正在处理来自 IIS 的登录请求: a:主域 b:受信任域
当 IIS 收到对受信任域的登录请求时,如何处理该请求?具体来说,请求是发送到主域还是从域中的域控制器,具体的域控制器是如何选择的?
谢谢,
首先回答你的第二个问题:
由于您仍在使用 NTLM,因此阅读有关多域环境中 NTLM 流程的信息可能会对您有所帮助。IIS 将联系其域中的域控制器 (DC),而域控制器又将联系受信任域中的 DC。
信任 DC 对受信任域的名称进行 DNS 查找,并将 LDAP 和 NetBIOS 请求发送到该查询返回的所有 DC。第一个响应的“获胜”。这可能就是您在此过程中看到一些不确定性的原因。您可以通过使用 DNS 来影响此过程。
定位身份验证 DC 将是捕获身份验证流量或查看可能发生身份验证的所有 DC 的安全事件日志的问题。
| 归档时间: |
|
| 查看次数: |
4742 次 |
| 最近记录: |