當域不可用時使用NegotiateStream

Question

我正在使用NegotiateStream來驗證客戶端/服務器應用程序。服務器端代碼看起來是這樣的：

SecureStream = new NegotiateStream(Stream, true); 

SecureStream.AuthenticateAsServer(
    CredentialCache.DefaultNetworkCredentials, 
    ProtectionLevel.EncryptAndSign, 
    TokenImpersonationLevel.Identification); 

if (!SecureStream.IsAuthenticated) 
{ 
    return false; 
} 
WindowsPrincipal principal = new WindowsPrincipal(
    (WindowsIdentity)SecureStream.RemoteIdentity); 

// ExpectedRoles is a string[] of possible roles 
foreach (string role in ExpectedRoles) 
{ 
    if (principal.IsInRole(role)) 
     return true; 
} 

的客戶端代碼看起來是這樣的：

SecureStream = new NegotiateStream(Stream, true); 
SecureStream.AuthenticateAsClient(); 
if (!SecureStream.IsAuthenticated) 
{ 
    return false; 
} 

客戶端和服務器可以在同一個域的單獨的網絡段上運行。因此，如果他們位於與域控制器不同的部分，並且互聯網連接斷開，他們應該能夠以離線方式運行。問題是，一些域配置使用戶無法在域斷開連接模式下進行身份驗證（顯然將該功能關閉是一種安全措施）。

所以我想弄清楚一個身份驗證模型，該身份驗證模型將允許我在域不可用時將非域用戶認證爲回退位置。

Answer 1

Kerberos（以及較低程度的NTLM）非常容忍服務器和DC之間的暫時網絡中斷。一旦用戶獲得了服務器的有效限制標籤，即使服務器（或客戶端）無法聯繫DC，服務器仍將繼續對用戶進行身份驗證。此類門票的默認使用期限爲10小時，通常涵蓋人們在日常工作日期間的暫時停電。

NTLM會話被緩存了15分鐘（最後我檢查了這個，這是4-5年前），所以暫時停機將不得不比「一小時或三小時」更短暫。

客戶端（或服務器）與DC之間的預期中斷時間段是多少？ [另外：如果確實是不好，爲什麼不考慮在有損網段的附近丟掉一個低功率DC（即使是隻讀副本，如果你正在運行2008 AD）？]