Como determinar o controlador de domínio usado para autenticação

Eu corri vários sites usando o IIS no Windows Server 2003 e no Windows Server 2008. Esses sites usam a autenticação do Windows com apenas a opção NTLM especificada (sem Kerberos).

Esses servidores são membros do mesmo domínio de diretório ativo, nível funcional Windows Server 2003. Existem controladores de domínio que executam o Windows Server 2008 e o Windows Server 2012.

O domínio tem uma relação de confiança bidirecional com outro domínio de diretório ativo em sua própria floresta.

Ocasionalmente, os usuários não podem se autenticar nos sites do IIS ao usar uma conta de usuário do domínio confiável. Eles são solicitados repetidamente por credenciais pelo navegador e, após várias tentativas, uma página em branco é mostrada. As credenciais são válidas. Como etapa de solução de problemas, concedi uma conta de teste da permissão de domínio confiável para fazer logon no servidor da Web localmente e consegui fazer logon no servidor da Web usando essa conta ao mesmo tempo que o IIS não permitia que o usuário fizesse logon com as mesmas credenciais .

O problema não ocorre com todos os servidores da Web ao mesmo tempo, um será afetado enquanto os outros continuam a processar solicitações de login do domínio confiável com êxito.

Reiniciar o serviço da estação de trabalho resolve o problema (bem como reiniciar o servidor inteiro).

Minhas perguntas são:

1. Como posso determinar qual controlador de domínio do diretório ativo está processando as solicitações de logon do IIS para: a: o domínio principal b: o domínio confiável

2. Quando uma solicitação de login para o domínio confiável é recebida pelo IIS, como essa solicitação é tratada? Especificamente, a solicitação é enviada para um controlador de domínio no domínio primário ou secundário e como o controlador de domínio específico é escolhido?

Obrigado,