înregistrare Logare
Puncte:0
Cody Konior avatar Server

Orice controler de domeniu local poate autentifica NTLM sau îl transmite controlerului de domeniu principal?

drapel in
Cody Konior

Când un server Windows trebuie să autentifice un utilizator de domeniu cu NTLM, acesta solicită controlerului de domeniu local.

Întrebarea mea este dacă acel controler de domeniu (presupunând că utilizatorul se află în acel domeniu) poate procesa autentificarea NTLM în întregime local, SAU, trebuie să trimită cererea controlorului de domeniu principal pentru a face o parte din autentificare?

Aș fi presupus că o face în întregime local, dar NTLM există de la NT 4 și PDC-ul poartă responsabilități de emulator PDC. În plus, DC-urile sunt menite să fie în contact constant cu PDC, altfel se pot întâmpla lucruri ciudate, dar această ciudățenie nu este bine definită.

Motivul pentru care întreb este să stabilesc dacă problemele specifice de autentificare dintre servere și un DC (pe care nu voi intra aici) ar putea fi influențate de eșecurile WAN dintre DC și PDC.

Mulțumiri.

75
1 + 3
Semicolon avatar
drapel jo
Semicolon
DC nu trebuie să fie în contact constant cu PDC. Ciudățenia este bine definită. Se poate (sau ar trebui să fie capabil) să identifice care rol FSMO este indisponibil în funcție de simptomele. Te-ai uitat la care sunt „responsabilitățile” rolului PDCe FSMO? Dacă există eșecuri de conectare pe site-urile de la distanță din cauza lipsei de conectivitate, aș căuta mai întâi să mă asigur că toate site-urile WAN au servere Global Catalog prezente sau, alternativ, că Universal Group Membership Caching este activată pentru site-ul respectiv. Într-un mediu cu mai multe domenii, conectările nu pot continua fără conectivitate la oricare dintre acestea
0
Răspunde
Semicolon avatar
drapel jo
Semicolon
Deținătorul rolului PDCe FSMO este responsabil pentru: 1) Sursa de timp pentru alți controlori de domeniu dintr-un domeniu (în mod implicit), 2) A fi înștiințat de preferință cu privire la modificările parolei, 3) A fi verificat de două ori dacă o parolă eșuează la orice alt controler de domeniu, deoarece dintre acestea 4) procesarea tuturor blocărilor de cont, 5) rulează procesul SDProp, 7) punctul de conectare preferat pentru Consola de gestionare a politicilor de grup, pot fi unul sau două altele, dar sunt în general banale.
0
Răspunde
Semicolon avatar
drapel jo
Semicolon
De asemenea, dacă este posibil, evitați NTLM (cu siguranță v1).
0
Răspunde
Puncte:0
tsc_chazz avatar Server
drapel vn
tsc_chazz

Nu pot pretinde cunoștințe exhaustive, dar ideea unui controler de domeniu primar a dispărut odată cu Windows 2000. Începând cu Windows 2000, DC-urile sunt menite să fie practic egali, deși vor exista servere unice autorizate pentru diferitele roluri FSMO. (Bazele de date utilizate sunt menite să se reproducă tuturor DC-urilor, dar în caz de conflict unul este nominalizat ca deținător al rolului.) Așadar, pentru a răspunde la întrebarea dvs., autentificarea provine de la oricare DC a fost contactat primul, fără nicio referire înapoi la autoritatea titularul rolului este cerut sau făcut; dar dacă deținătorul autoritar al rolului nu este în contact din cauza problemelor WAN pentru o lungă perioadă de timp, diferitele DC-uri se pot desincroniza între ele, ceea ce duce la situația ciudată la care sugerezi.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.