我在 Windows Server 2003 和 Windows Server 2008 上使用 IIS 运行了多个网站。这些网站使用 Windows 身份验证,并且仅指定了 NTLM 选项(没有 Kerberos)。
这些服务器都是同一个活动目录域的成员,功能级别为 Windows Server 2003。有运行 Windows Server 2008 和 Windows Server 2012 的域控制器。
该域与其自身林中的另一个活动目录域具有双向信任。
有时,当使用来自受信任域的用户帐户时,用户无法验证 IIS 网站。浏览器反复提示他们输入凭据,尝试几次后,显示空白页。凭据有效。作为故障排除步骤,我授予来自受信任域的测试帐户本地登录 Web 服务器的权限,并且能够使用该帐户登录 Web 服务器,同时 IIS 不允许用户使用相同的凭据登录。
该问题不会同时发生在所有 Web 服务器上,其中一个服务器会受到影响,而其他服务器则继续成功处理来自受信任域的登录请求。
重新启动工作站服务可解决问题(以及重新启动整个服务器)。
我的问题是:
如何确定哪个活动目录域控制器正在处理来自 IIS 的登录请求:a:主域 b:受信任域
当 IIS 收到受信任域的登录请求时,该请求将如何处理?具体来说,该请求是发送到主域还是辅助域中的域控制器,以及如何选择特定的域控制器?
谢谢,
答案1
首先回答你的第二个问题:
由于您仍在使用 NTLM,因此阅读有关多域环境中的 NTLM 流程可能会对您有所帮助。 IIS 将联系其域中的域控制器 (DC),后者又将联系受信任域中的 DC。
信任 DC 根据受信任域名进行 DNS 查找,并向该查询返回的所有 DC 发送 LDAP 和 NetBIOS 请求。第一个响应的 DC 将“获胜”。这可能是您在此过程中看到一些不确定性的原因。您可以通过修改 DNS 来影响此过程。
定位身份验证 DC 要么需要捕获身份验证流量,要么需要查看可能发生身份验证的所有 DC 的安全事件日志。