A autenticação IIS NTLM / Kerberos ainda funciona com um controlador de domínio offline?

4

Temos várias instâncias do IIS espalhadas por filiais regionais remotas. Cada instância do IIS (v.7.5) está executando o mesmo aplicativo e autentica seus usuários com a Autenticação Integrada (NTLM na lista de provedores).

Algumas ramificações são frequentemente desconectadas do HQ, de modo que o Controlador de Domínio não pode ser alcançado. Quando o link para a matriz está desativado, observamos que alguns usuários ainda podem se autenticar no servidor IIS, enquanto outros não conseguem.

A documentação da MSFT que encontramos na autenticação NTLM e Kerberos não inclui informações sobre como esses mecanismos (e / ou IIS itslef) lidam com a situação do controlador de domínio temporariamente desconectado. As informações estão facilmente disponíveis para estações de trabalho: uma configuração de política define quantos logins devem permanecer armazenados em cache localmente, permitindo logons interativos com um DC offline. Mas o que acontece com o IIS?

  • A autenticação pode ocorrer quando o DC não está disponível?
  • Se sim, quais são os requisitos?
  • Existe algum tipo de cache envolvido? (normalmente: uma estação de trabalho membro do domínio pode ser reinicializada e ainda acessar um aplicativo do IIS com autenticação NTLM se o DC estiver inativo?)

Qualquer ajuda ou ponteiros para documentação sobre este tópico seria muito apreciada,

Atenciosamente, sb

    
por Starbuck3000 19.11.2013 / 08:49

1 resposta

0

Windows armazena em cache as credenciais de autenticação por períodos limitados. É provável que seus servidores da web tenham usuários autenticados quando tiverem uma conexão com um DC. Esses usuários poderão usar o site durante interrupções na comunicação, mas novos usuários que não usaram o site recentemente serão impedidos.

Se as conexões não forem confiáveis, você poderá ser melhor atendido ativando a função do controlador de domínio nas ramificações para ter replicação completa do AD.

    
por 19.11.2013 / 12:25