IIS NTLM/Kerberos 身份验证是否仍可与脱机域控制器一起使用?

IIS NTLM/Kerberos 身份验证是否仍可与脱机域控制器一起使用?

我们在远程区域分支机构中分布了多个 IIS 实例。每个 IIS 实例 (v.7.5) 都运行相同的应用程序,并使用集成身份验证 (提供商列表中的 NTLM) 对其用户进行身份验证。

一些分支机构经常与总部断开连接,因此无法访问域控制器。当与总部的链接断开时,我们观察到一些用户仍可以通过 IIS 服务器进行身份验证,而其他一些用户则无法进行身份验证。

我们在 NTLM 和 Kerberos 身份验证方面找到的 MSFT 文档并未包含有关这些机制(和/或 IIS 本身)如何处理域控制器暂时断开连接的情况的信息。工作站可以轻松获取信息:策略设置定义了应在本地缓存多少个登录名,从而允许使用脱机 DC 进行交互式登录。但 IIS 会发生什么情况?

  • 当 DC 不可用时可以进行身份​​验证吗?
  • 若是,要求是什么?
  • 是否涉及某种缓存?(通常是:如果 DC 关闭,域成员工作站是否可以重新启动并仍能访问 NTLM 身份验证的 IIS 应用程序?)

任何有关此主题的帮助或文档指示都将非常感激,

问候,某人

答案1

视窗缓存身份验证凭据在有限的时间内。您的 Web 服务器可能已让用户在连接到 DC 时进行身份验证。这些用户将能够在通信中断期间使用该网站,但最近未使用该网站的新用户将被阻止。

如果连接不可靠,最好通过在分支机构激活域控制器角色来进行完整的 AD 复制。

相关内容