我在
Windows Server 2003和Windows Server 2008上使用IIS运行多个网站.
这些网站使用Windows身份验证,仅指定了NTLM选项(无Kerberos).
这些网站使用Windows身份验证,仅指定了NTLM选项(无Kerberos).
这些服务器都是同一活动目录域的成员,功能级别为Windows Server 2003.有些域控制器同时运行Windows Server 2008和Windows Server 2012.
域在其自己的林中具有与另一个活动目录域的双向信任.
有时,用户在使用受信任域中的用户帐户时无法对IIS网站进行身份验证.他们的浏览器会反复提示他们输入凭据,并在几次尝试后显示空白页面.凭证有效.作为故障排除步骤,我从受信任域授予了一个测试帐户,以便在本地登录到Web服务器,并且能够使用该帐户登录到Web服务器,同时IIS不允许用户使用相同的凭据登录.
问题不会同时发生在所有Web服务器上,一个将受到影响,而其他Web服务器将继续成功处理来自受信任域的登录请求.
重新启动工作站服务可以解决问题(以及重新启动整个服务器).
我的问题是:
>如何确定哪个活动目录域控制器正在处理来自IIS的登录请求:
a:主域名
b:可信域
>当IIS收到对受信任域的登录请求时,该请求是如何处理的?
具体来说,请求是否发送到主域或辅助域中的域控制器,以及如何选择特定域控制器?
谢谢,
首先回答你的第二个问题:
原文链接:https://www.f2er.com/windows/368471.html由于您仍在使用NTLM,阅读flow of NTLM in a multi-domain environment可能会帮助您解决这个问题. IIS将联系其域中的域控制器(DC),该域又将与受信任域中的DC联系.
信任DC对受信任域的名称执行DNS查找,并将LDAP和NetBIOS请求发送到该查询返回的所有DC.第一个响应“胜利”的人.这可能是你在这个过程中看到一些非决定论的原因.您可以通过使用DNS进行管理来影响此过程.
定位身份验证DC将是捕获身份验证流量或查看可能正在进行身份验证的所有DC的安全事件日志的问题.
