我在RODC转发方面遇到问题。
有一个WPF应用程序正在调用使用Net配置的WCF服务。Tcp绑定和Windows身份验证(如这里所示(https://learn.microsoft.com/en-us/dotnet/framework/wcf/feature-details/message-security-with-a-windows-client在非现场场景中。
出于安全考虑,在场外只安装了一个RODC。现在的问题是,如果WCF在客户端(WPF(上请求Kerberos票证,它会请求RODC,而此控制器会将其请求重定向到RWDC(位于其他连接缓慢的地方(。
因此,由于AD通信,呼叫变得非常缓慢,有时还会超时。
那么,有没有一种方法可以告诉WCF使用带有兑现凭据的RODC,以便RODC可以直接使用Kerberos票证进行响应
非常感谢您提前输入
•当用户/服务向RODC进行身份验证时,将执行检查以查看密码是否已缓存。如果缓存了密码,RODC将在本地对用户帐户进行身份验证。如果未缓存用户的密码,则RODC将身份验证请求转发到可写的Windows Server域控制器,该域控制器进而对帐户进行身份验证,并将经过身份验证的请求传递回RODC。一旦对用户帐户进行了身份验证,RODC就会再次请求在单向复制中复制用户密码,前提是该帐户已配置为允许复制。因此,请检查您的凭据是否正确缓存在"控制面板"中的凭据管理器/保管库中。
•在您的情况下,如果您希望WCF优先考虑缓存凭据的身份验证请求以将其发送到RODC,则应将RODC的权重配置为高于站点的其他DC,因为身份验证由AD环境中的站点和服务管理。正如您所说,这是一个非现场,您出于安全原因设置了RODC,然后相应地在主域控制器中正确配置相应的站点及其相关子网,以便相应地将该站点中的身份验证请求优先级重定向到该子网/站点中的DC。这可能有助于解决身份验证重定向问题。
您还可以执行以下操作来为该站点中的身份验证排定RODC的优先级:-
-
将RODC移动到Active Sites&服务,然后将子网分配给该新站点。请记住创建网站链接以将新网站链接到其他网站。
-
将RDOC的LdapSrvPriority设置为零,并将可写DC的优先级增加到更高的值。(HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\LdapSrvPriority(