none
Авторизация пользователей в домене RRS feed

  • Вопрос

  • Доброго дня.

    Есть единственный домен в лесу. Режим работы windows 2003. Несколько контроллеров домена.
    Какое необходимое и достаточное условие возможности авторизоваться пользователю в домене и в случае удачной авторизации получать доступ к ресурсам ?
    Поясню:
    Допустим контроллеров домена два. Один оказался не доступен. Смогут ли пользователи продолжать авторизоваться в домене ? Те в плане авторизации (в случае одного домена в лесу) все контроллеры равноценны ?
    При наличии более одного контроллера домена, как выбирается тот контроллер на котором происходит авторизация ?
     
    1 июля 2009 г. 21:07

Ответы

  • Аутентификация в домене средствами Kerberos возможна при наличии доступа к одному из контроллеров домена (Kerberos KDC - key distribution center). Но! Есть роль эмулятора PDC, которая находится на одном из контроллеров в своем лесу. Так вот, если контроллер, владеющий этой ролью, окажется недоступен, то, например, аутентификация пользователя может завершиться неудачей, если пользователь предоставил в первый раз неверные верительные данные, а только потом - верные. Также в домене для обеспечения аутентификации должен быть доступен по крайней мере один контроллер домена, несущий глобальный каталог, иначе аутентификация может быть неудачной ввиду того, что запрашивающий аутентификацию не сможет быть описан полностью, поскольку глобальный каталог обладает сведениями о членстве запрашивающего в универсальных группах. В общем, вариантов масса. Нужно еще помнить про кешированнй вход, кеш билетов Kerberos, механизм аутентификации NTLM и пр. пр.

    Алексей, Вы путаетесь. Не "авторизация", а "аутентификация". Аутентификация Kerberos происходит в общем случае на случайно выбранном контроллере своего сайта, а если первая попытка оказывается неудачной - на PDC-эмуляторе.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    • Помечено в качестве ответа Alexey IT 2 июля 2009 г. 20:55
    1 июля 2009 г. 21:45
    Отвечающий

Все ответы

  • Аутентификация в домене средствами Kerberos возможна при наличии доступа к одному из контроллеров домена (Kerberos KDC - key distribution center). Но! Есть роль эмулятора PDC, которая находится на одном из контроллеров в своем лесу. Так вот, если контроллер, владеющий этой ролью, окажется недоступен, то, например, аутентификация пользователя может завершиться неудачей, если пользователь предоставил в первый раз неверные верительные данные, а только потом - верные. Также в домене для обеспечения аутентификации должен быть доступен по крайней мере один контроллер домена, несущий глобальный каталог, иначе аутентификация может быть неудачной ввиду того, что запрашивающий аутентификацию не сможет быть описан полностью, поскольку глобальный каталог обладает сведениями о членстве запрашивающего в универсальных группах. В общем, вариантов масса. Нужно еще помнить про кешированнй вход, кеш билетов Kerberos, механизм аутентификации NTLM и пр. пр.

    Алексей, Вы путаетесь. Не "авторизация", а "аутентификация". Аутентификация Kerberos происходит в общем случае на случайно выбранном контроллере своего сайта, а если первая попытка оказывается неудачной - на PDC-эмуляторе.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    • Помечено в качестве ответа Alexey IT 2 июля 2009 г. 20:55
    1 июля 2009 г. 21:45
    Отвечающий
  • Аутентификация в домене средствами Kerberos возможна при наличии доступа к одному из контроллеров домена (Kerberos KDC - key distribution center). Но! Есть роль эмулятора PDC, которая находится на одном из контроллеров в своем лесу. Так вот, если контроллер, владеющий этой ролью, окажется недоступен, то, например, аутентификация пользователя может завершиться неудачей, если пользователь предоставил в первый раз неверные верительные данные, а только потом - верные. Также в домене для обеспечения аутентификации должен быть доступен по крайней мере один контроллер домена, несущий глобальный каталог, иначе аутентификация может быть неудачной ввиду того, что запрашивающий аутентификацию не сможет быть описан полностью, поскольку глобальный каталог обладает сведениями о членстве запрашивающего в универсальных группах. В общем, вариантов масса. Нужно еще помнить про кешированнй вход, кеш билетов Kerberos, механизм аутентификации NTLM и пр. пр.

    Алексей, Вы путаетесь. Не "авторизация", а "аутентификация". Аутентификация Kerberos происходит в общем случае на случайно выбранном контроллере своего сайта, а если первая попытка оказывается неудачной - на PDC-эмуляторе.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)

    Спасибо за развернутый ответ !
    2 июля 2009 г. 20:56
  • Алексей, еще вот что важно. Мой учитель напомнил мне, что аутентфикацию Kerberos на КД при отсутствии доступного глобального каталога может "спасти" наличие доступного мастера инфраструктуры. Ну и еще, нужно помнить, что функционал глобального каталога может заменить (в плане содействия аутентификации) кеширование членства в универсальных группах на сайте.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    2 июля 2009 г. 21:28
    Отвечающий

  • Все же, хотелось бы более четко понять, каков список того (в плане инфраструктурных служб Microsoft), что должно быть развернуто в отдельном сайте (к примеру, домена, состоящего из двух сайтов), чтобы при разрыве связи между сайтами пользователи компьютеры могли нормально авторизоваться в домене и получать доступ к сетевым ресурсам, расположенным в своем сайте?

    Может есть документ, описывающий такой сценарий?
    5 июля 2009 г. 13:57
  • Сергей, в изолированном размещении должен быть доступен контроллер домена, несущий глобальный каталог, либо осуществляющий кеширование членства в универсальных группах.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    5 июля 2009 г. 15:05
    Отвечающий