Tham gia Đăng nhập
Điểm:0
Cody Konior avatar Server

Bất kỳ bộ điều khiển miền cục bộ nào có thể xác thực NTLM hay họ chuyển nó tới bộ điều khiển miền chính?

lá cờ in
Cody Konior

Khi máy chủ Windows cần xác thực người dùng miền bằng NTLM, nó sẽ yêu cầu bộ điều khiển miền cục bộ.

Câu hỏi của tôi là liệu bộ điều khiển miền đó (giả sử người dùng ở trong miền đó) có thể xử lý xác thực NTLM hoàn toàn cục bộ hay không, HOẶC, nó có phải chuyển tiếp yêu cầu tới bộ điều khiển miền chính để thực hiện một phần xác thực không?

Tôi đã cho rằng nó thực hiện hoàn toàn cục bộ nhưng NTLM đã xuất hiện từ NT 4 và PDC mang trách nhiệm Trình giả lập PDC. Hơn nữa, các DC có nghĩa là phải liên lạc thường xuyên với PDC, nếu không thì những điều kỳ lạ có thể xảy ra, nhưng sự kỳ lạ đó không được xác định rõ.

Lý do tôi hỏi là để xác định xem các sự cố xác thực cụ thể giữa máy chủ và DC (mà tôi sẽ không đề cập ở đây) có thể bị ảnh hưởng bởi lỗi WAN giữa DC và PDC hay không.

Cảm ơn.

75
1 + 3
Semicolon avatar
lá cờ jo
Semicolon
DC không bắt buộc phải liên lạc thường xuyên với PDC. Sự kỳ lạ được xác định rõ. Người ta có thể (hoặc sẽ có thể) xác định vai trò FSMO nào không khả dụng dựa trên triệu chứng nào. Bạn đã xem "trách nhiệm" của vai trò PDCe FSMO là gì chưa? Nếu có lỗi đăng nhập tại các trang web từ xa do thiếu kết nối, trước tiên tôi sẽ xem xét để đảm bảo rằng tất cả các trang web WAN đều có máy chủ Global Catalog hoặc cách khác là Universal Group Membership Caching được bật cho trang web đó. Trong môi trường đa miền, quá trình đăng nhập không thể tiến hành nếu không có kết nối với một trong hai miền đó
0
Hồi đáp
Semicolon avatar
lá cờ jo
Semicolon
Người giữ vai trò PDCe FSMO chịu trách nhiệm về 1) Nguồn thời gian cho các Bộ điều khiển miền khác trong một miền (theo mặc định), 2) Được ưu tiên thông báo về các thay đổi mật khẩu, 3) được kiểm tra kỹ nếu mật khẩu không thành công ở bất kỳ bộ điều khiển miền nào khác, bởi vì trong đó 4) xử lý tất cả các lần khóa tài khoản, 5) chạy quy trình SDProp, 7) điểm kết nối ưu tiên cho Bảng điều khiển quản lý chính sách nhóm, có thể có một hoặc hai điểm khác, nhưng nhìn chung chúng không đáng kể.
0
Hồi đáp
Semicolon avatar
lá cờ jo
Semicolon
Ngoài ra, nếu có thể, hãy tránh NTLM (chắc chắn là v1).
0
Hồi đáp
Điểm:0
tsc_chazz avatar Server
lá cờ vn
tsc_chazz

Tôi không thể khẳng định mình có kiến ​​thức đầy đủ, nhưng ý tưởng về một bộ điều khiển miền chính đã mờ nhạt với Windows 2000. Bắt đầu với Windows 2000, các DC về cơ bản là ngang hàng, mặc dù sẽ có các máy chủ có thẩm quyền duy nhất cho các vai trò FSMO khác nhau. (Cơ sở dữ liệu được sử dụng nhằm mục đích sao chép cho tất cả các DC, nhưng trong trường hợp có xung đột, một người được chỉ định làm người nắm giữ vai trò.) Vì vậy, để trả lời câu hỏi của bạn, việc xác thực đến từ bất kỳ DC nào thực sự được liên hệ trước, không có tham chiếu nào đến cơ quan có thẩm quyền người giữ vai trò được yêu cầu hoặc thực hiện; nhưng nếu người giữ vai trò có thẩm quyền không liên lạc được do sự cố mạng WAN trong một thời gian dài, các DC khác nhau có thể không đồng bộ với nhau, dẫn đến tình huống kỳ lạ mà bạn đang gợi ý.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.