У нас есть несколько экземпляров IIS, распределенных по удаленным региональным филиалам. Каждый экземпляр IIS (v.7.5) запускает одно и то же приложение и аутентифицирует своих пользователей с помощью встроенной аутентификации (NTLM в списке поставщиков).
Некоторые ветки часто отключаются от HQ, так что контроллер домена недоступен. Когда связь со штаб-квартирой не работает, мы наблюдаем, что некоторые пользователи все еще могут пройти аутентификацию на сервере IIS, тогда как другие не могут.
Документация MSFT, которую мы могли найти как для проверки подлинности NTLM, так и для проверки подлинности Kerberos, не включает информацию о том, как эти механизмы (и / или IIS) работают с ситуацией временно отключенного контроллера домена. Информация легко доступна для рабочих станций: параметр политики определяет, сколько учетных записей должно оставаться в кэше локально, что позволяет интерактивный вход с автономным контроллером домена. Но что происходит с IIS?
Любая помощь или указатели на документацию по этой теме будут очень благодарны,
С уважением, сб
Windows кеширует учетные данные аутентификации на ограниченный срок. Вполне вероятно, что на ваших веб-серверах пользователи проходят аутентификацию при подключении к DC. Эти пользователи смогут использовать сайт во время перерывов в общении, но новые пользователи, которые недавно не пользовались сайтом, будут заблокированы.
Если соединения ненадежны, лучше всего будет активировать роль контроллера домена в филиалах, чтобы обеспечить полную репликацию AD.