L'authentication IIS NTLM / Kerberos funziona ancora con un controller di dominio offline?

Abbiamo più istanze IIS distribuite su rami regionali remoti. Ogni istanza IIS (v.7.5) esegue la stessa applicazione e autentica i propri utenti con l'authentication integrata (NTLM nell'elenco fornitori).

Alcuni rami si disconnettono frequentemente da HQ, in modo che il controller di dominio non sia raggiungibile. Quando il collegamento alla sede è in discesa, osserviamo che alcuni utenti possono ancora autenticare al server IIS mentre altri non possono.

La documentazione MSFT che abbiamo trovato sull'authentication NTLM e Kerberos non include informazioni su come questi meccanismi (e / o IIS itslef) si occupano della situazione di controller di dominio temporaneamente disconnesso. Le informazioni sono facilmente disponibili per le workstation: un'impostazione di criterio definisce quanti insiemi di accesso rimangono memorizzati in locale, consentendo agli utenti di effettuare l'accesso interattivo a una condivisione offline. Ma cosa succede per IIS?

  • L'authentication può verificarsi quando il DC non è disponibile?
  • Se sì, quali sono i requisiti?
  • C'è qualche tipo di caching coinvolto? (in genere: può riavviare una workstation membro del dominio e ancora accedere ad un'applicazione IIS autenticatrice NTLM se il DC è in discesa?)

Qualsiasi aiuto o indicazioni per la documentazione su questo argomento sarebbe molto apprezzato,

gentili saluti, sb

  • quale è un modo sicuro per submit le password su Internet?
  • Linux: configurato per il sysadmin remoto
  • Cosa devo fare se un'applicazione client necessaria deve essere eseguita su un framework più vecchio (vulnerabile)?
  • Configurare SSH per consentire l'inoltro della port, ma nessun command per un determinato tasto?
  • RHEL6 Mantenimento di un vecchio kernel e sicurezza
  • Come posso verificare se i certificati generati con openssl sono vulnerabili a cardioppi
  • Qualcuno ha saputo l'aggiornamento in Bastille per unix / linux?
  • Suggerimenti per la scansione delle vulnerabilità delle applicazioni Web?
  • One Solution collect form web for “L'authentication IIS NTLM / Kerberos funziona ancora con un controller di dominio offline?”

    Windows cache le credenziali di authentication per periodi di tempo limitati. È probabile che i tuoi server web abbiano avuto l'authentication degli utenti quando hanno avuto una connessione a un DC. Questi utenti saranno in grado di utilizzare il sito durante le interruzioni della comunicazione, ma i nuovi utenti che non hanno recentemente utilizzato il sito saranno evitati.

    Se le connessioni non sono affidabili, è ansible ottimizzare l'triggerszione del ruolo del controller di dominio nelle filiali per avere una completa replica AD.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.