Нужна помощь по аутентификации. В наших журналах заметили, что у пользователя user1 множество ошибок предварительной аутентификации Kerberos. У пользователя User1 неверный пароль. Однако, когда я смотрю на журналы более внимательно, я немного запутался в событиях.
Пользователь1 аутентифицируется против DC2. Я вижу вторую попытку аутентификации с DC2 на DC1 для User1. DC1 и DC2 принадлежат области обочин. Почему auth переходит с DC2 на DC1? Почему на DC2 не происходит авторизация?
Предположительно DC1 - это контроллер домена, который выполняет роль FSMO PDCemulator. Соответственно, при каждой попытке ввода неверного пароля аутентифицирующий контроллер домена проверяет PDCe перед неудачей входа в систему.
Причина этого в том, что при изменении пароля пользователем запускается специальная репликация. Контроллер домена, который обрабатывает изменение пароля, уведомляет PDCe о том, что пароль был изменен вне обычного цикла уведомления / репликации. Затем контроллер домена переходит к репликации пароля для всех своих партнеров в соответствии с обычным циклом репликации.
Таким образом, поскольку PDCe почти всегда уведомляется (почти сразу) о смене пароля, в случае, если пользователь отправляет неверный пароль, контроллер домена почти всегда проверяет PDCe в случае, если у DC есть устаревший пароль. хэш.