Como determinar o controlador de domínio usado para autenticação

5

Eu corri vários sites usando o IIS no Windows Server 2003 e no Windows Server 2008. Esses sites usam a autenticação do Windows com apenas a opção NTLM especificada (sem Kerberos).

Esses servidores são membros do mesmo domínio de diretório ativo, nível funcional Windows Server 2003. Existem controladores de domínio que executam o Windows Server 2008 e o Windows Server 2012.

O domínio tem uma relação de confiança bidirecional com outro domínio de diretório ativo em sua própria floresta.

Ocasionalmente, os usuários não podem se autenticar nos sites do IIS ao usar uma conta de usuário do domínio confiável. Eles são solicitados repetidamente por credenciais pelo navegador e, após várias tentativas, uma página em branco é mostrada. As credenciais são válidas. Como etapa de solução de problemas, concedi uma conta de teste da permissão de domínio confiável para fazer logon no servidor da Web localmente e consegui fazer logon no servidor da Web usando essa conta ao mesmo tempo que o IIS não permitia que o usuário fizesse logon com as mesmas credenciais .

O problema não ocorre com todos os servidores da Web ao mesmo tempo, um será afetado enquanto os outros continuam a processar solicitações de login do domínio confiável com êxito.

Reiniciar o serviço da estação de trabalho resolve o problema (bem como reiniciar o servidor inteiro).

Minhas perguntas são:

  1. Como posso determinar qual controlador de domínio do diretório ativo está processando as solicitações de logon do IIS para: a: o domínio principal b: o domínio confiável

  2. Quando uma solicitação de login para o domínio confiável é recebida pelo IIS, como essa solicitação é tratada? Especificamente, a solicitação é enviada para um controlador de domínio no domínio primário ou secundário e como o controlador de domínio específico é escolhido?

Obrigado,

    
por GemCer 20.10.2014 / 16:34

1 resposta

2

Para responder à sua segunda pergunta primeiro:

Como você ainda usa o NTLM, leia sobre o fluxo de NTLM em um ambiente multi-domínio pode ajudá-lo um pouco com isso. O IIS entrará em contato com um Controlador de domínio (DC) em seu domínio, que por sua vez contatará um DC no domínio confiável.

O DC confiante faz uma pesquisa de DNS no nome do domínio confiável e envia solicitações LDAP e NetBIOS para todos os DCs retornados por essa consulta. O primeiro que responde "ganha". É provável que você esteja vendo algum não-determinismo nesse processo. Você poderia influenciar esse processo fazendo monkeying com DNS.

Localizar o DC de autenticação será uma questão de capturar o tráfego de autenticação ou assistir ao Registro de Eventos de Segurança de todos os DCs nos quais a autenticação poderia estar ocorrendo.

    
por 22.10.2014 / 00:34