当 Windows 服务器需要使用 NTLM 对域用户进行身份验证时,它会询问本地域控制器。
我的问题是该域控制器(假设用户在该域中)是否可以完全在本地处理 NTLM 身份验证,或者它是否必须将请求转发到主域控制器来执行部分身份验证?
我本以为它完全在本地执行,但 NTLM 自 NT 4 以来就已存在,PDC 承担着 PDC 模拟器的职责。此外,DC 应该与 PDC 保持持续联系,否则可能会发生奇怪的事情,但这种奇怪的事情并没有得到很好的定义。
我询问的原因是想确定服务器和 DC 之间的特定身份验证问题(这里我就不深入讨论了)是否会受到 DC 和 PDC 之间的 WAN 故障的影响。
谢谢。
答案1
我不能声称自己拥有详尽的知识,但是主域控制器的概念在 Windows 2000 中逐渐消失。从 Windows 2000 开始,DC 基本上是对等的,尽管各种 FSMO 角色将有单个权威服务器。(使用的数据库旨在复制到所有 DC,但如果发生冲突,则将指定一个角色持有者。)因此,回答您的问题,身份验证确实来自首先实际联系的 DC,不需要或不参考权威角色持有者;但如果权威角色持有者由于 WAN 问题长时间失去联系,则各个 DC 可能会彼此不同步,从而导致您暗示的奇怪情况。