Come determinare il controller di dominio utilizzato per l'authentication

Esegui diversi siti Web utilizzando IIS sia su Windows Server 2003 che Windows Server 2008. Questi siti web utilizzano l'authentication delle windows solo con l'opzione NTLM specificata (senza Kerberos).

Questi server sono entrambi membri dello stesso dominio di directory attivo, livello funzionale Windows Server 2003. Ci sono controller di dominio che eseguono sia Windows Server 2008 che Windows Server 2012.

Il dominio ha una fiducia bidirezionale con un altro dominio di directory attivo nella propria foresta.

Occasionalmente, gli utenti non possono autenticare i siti web IIS quando si utilizza un account utente dal dominio attendibile. Essi vengono richiamati ripetutamente per credenziali dal loro browser e dopo diversi tentativi viene mostrata una pagina vuota. Le credenziali sono valide. Come passo di risoluzione dei problemi ho concesso un account di prova dal permesso di dominio di fiducia per l'accesso al server web localmente e sono stati in grado di accedere al server web utilizzando tale account contemporaneamente che IIS non consentirebbe all'utente di accedere con le stesse credenziali .

Il problema non accade a tutti i server web contemporaneamente, uno sarà interessato mentre gli altri continuano a elaborare le richieste di login dal dominio attendibile con successo.

Il riavvio del servizio workstation risolve il problema (oltre a riavviare l'integer server).

Le mie domande sono:

  1. Come posso determinare quale controller di dominio di directory attivo sta elaborando le richieste di login da IIS per: a: il dominio primario b: il dominio trusted

  2. Quando una IIS richiede una richiesta di accesso per il dominio attendibile, come viene trattata tale richiesta? In particolare, è la richiesta inviata a un controller di dominio nel dominio primario o secondario e come viene scelto il controller di dominio specifico?

Grazie,

  • Dominio di Windows - rimuovere Win 10 Offerta tramite GP
  • Server 2008 Raid-5 stranezza
  • LDAPS viene reindirizzato a 389
  • Come faccio a installare Gerrit Under Tomcat con LDAP?
  • Windows \ Temp grandi quantità di file cab_XXXX
  • ASP Impersonation classico Autenticazione di Windows Accesso ai file negato IIS 7
  • iis 7 pacchetti di applicazioni non iniziano dopo l'installazione dell'accesso client ibm
  • Problema di installazione del certificato SSL con connessione a desktop remoto
  • One Solution collect form web for “Come determinare il controller di dominio utilizzato per l'authentication”

    Per rispondere prima alla seconda domanda:

    Dato che stai ancora utilizzando NTLM, leggendo il stream di NTLM in un ambiente multi-dominio potrebbe aiutare un po 'con questo. IIS contatterà un controller di dominio (DC) nel suo dominio, che a sua volta contatterà una DC nel dominio attendibile.

    La DC affidabile fa una ricerca DNS contro il nome del dominio trusted e invia le richieste LDAP e NetBIOS a tutti i DC restituiti da tale query. Il primo che risponde "vince". È probabile che tu stia vedendo un certo non determinismo in questo process. Potresti influenzare questo process scavando con DNS.

    Individuare la DC di authentication sarà una questione di catturare il traffico di authentication o di guardare il registro events di protezione di tutti i DC in cui potrebbe verificarsi l'authentication.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.