Temos várias instâncias do IIS espalhadas por filiais regionais remotas. Cada instância do IIS (v.7.5) está executando o mesmo aplicativo e autentica seus usuários com a Autenticação Integrada (NTLM na lista de provedores).
Algumas ramificações são frequentemente desconectadas do HQ, de modo que o Controlador de Domínio não pode ser alcançado. Quando o link para a matriz está desativado, observamos que alguns usuários ainda podem se autenticar no servidor IIS, enquanto outros não conseguem.
A documentação da MSFT que encontramos na autenticação NTLM e Kerberos não inclui informações sobre como esses mecanismos (e / ou IIS itslef) lidam com a situação do controlador de domínio temporariamente desconectado. As informações estão facilmente disponíveis para estações de trabalho: uma configuração de política define quantos logins devem permanecer armazenados em cache localmente, permitindo logons interativos com um DC offline. Mas o que acontece com o IIS?
Qualquer ajuda ou ponteiros para documentação sobre este tópico seria muito apreciada,
Atenciosamente, sb
Windows armazena em cache as credenciais de autenticação por períodos limitados. É provável que seus servidores da web tenham usuários autenticados quando tiverem uma conexão com um DC. Esses usuários poderão usar o site durante interrupções na comunicação, mas novos usuários que não usaram o site recentemente serão impedidos.
Se as conexões não forem confiáveis, você poderá ser melhor atendido ativando a função do controlador de domínio nas ramificações para ter replicação completa do AD.