Почему Internet Explorer продолжает запрашивать учетные данные NTLM в зоне интрасети?


23

Длинный текст, извините за это. Я пытаюсь быть максимально конкретным.

Я нахожусь на Windows 7, и я испытываю очень расстраивающее поведение Internet Explorer 8. Я нахожусь в локальной сети компании с некоторыми серверами интрасети и прокси-сервером для связи с внешним миром.

На сайтах, которые явно распознаются как «Локальная интрасеть» (как указано в строке состояния IE), я продолжаю получать диалоговые окна «Безопасность Windows», в которых предлагается войти в систему. Эти страницы обслуживаются IIS6 с помощью «Интегрированной безопасности Windows» включен, NTFS разрешает всем: читать сами файлы.

  • Если я ввожу свои учетные данные Windows, страница загружается нормально. Тем не менее , диалоговые окна будут появляться в следующий раз, независимо от того, выбрал ли я «Запомнить мои учетные данные» или нет. (Учетные данные хранятся в «Диспетчере учетных данных», но это не влияет на частоту появления этих полей входа.)
  • Если я нажимаю «Отмена», может произойти одно из двух: либо страница загружается с отсутствующими определенными ресурсами (изображения, таблицы стилей и т. Д.), Либо она не загружается вообще, и я получаю HTTP 401.2 (неавторизовано: вход в систему не выполнен из-за сервера Конфигурация). Это зависит от того, было ли окно входа в систему инициировано самой страницей или ссылочным ресурсом.
  • Поведение выглядит совершенно нестабильным, иногда страницы загружаются плавно, иногда один ресурс вызывает сообщение о входе в систему, а иногда нет. Даже простая перезагрузка страницы может привести к изменению поведения.

Я использую WPAD в качестве механизма обнаружения прокси. Все хосты интрасети обходят прокси в файле PAC.

Я проверил все настройки IE, которые могу придумать, ввел шаблоны хостов, отдельные имена хостов, диапазоны IP-адресов в каждой мыслимой конфигурации в зону «Локальная интрасеть», поставил галочку «Включить все сайты, которые пропускают прокси-сервер», вы называете это имя. Это сводится к «иногда это просто не работает», и постепенно я схожу с ума. ;-)

Я знаю, что это связано с тем, что IE не передает мои учетные данные NTLM на веб-сервер автоматически, а спрашивает меня об этом. Обычно это должно происходить только для сайтов, защищенных NTLM, которые не распознаются как находящиеся в зоне «Интранет».

Как объяснено, это не тот случай, здесь. Тем более что половина страницы может загружаться идеально и без перебоев, а некоторые ресурсы страницы (поступающие с одного и того же сервера!) Вызывают сообщение для входа.

Я посмотрел на http://support.microsoft.com/kb/303650 , который дает впечатление описания проблемы, но, похоже, ничего не работает. И, честно говоря, я не уверен, является ли «ручное редактирование реестра» правильным решением для такого рода проблем. В конце концов, я не единственный человек в мире с конфигурацией IE / intranet / IIS.

Я в недоумении, может кто-нибудь дать мне подсказку?


Извините, я не удержался. Итак, капитан, как долго мы будем смотреть друг на друга через нейтральную зону ?!
allquixotic

Ответы:


11

Единственный раз, когда мы видим это, если срок действия пароля пользователя истек. Всякий раз, когда мы видим это, мы заставляем пользователя сменить свой пароль, а для правильной работы выйдите и вернитесь с новыми учетными данными. Сайт интрасети больше не запрашивает учетные данные.

Делает много быстрых звонков в службу поддержки ...

Также убедитесь, что для зоны локальной интрасети задан автоматический вход в систему с использованием текущего имени пользователя и пароля. Вы можете сделать это:

  1. инструменты
  2. Настройки интернета
  3. Щелкните левой кнопкой мыши на вкладке «Безопасность»
  4. Щелкните левой кнопкой мыши на пользовательском уровне
  5. Прокрутите вниз до аутентификации пользователя
  6. В разделе «Вход» выберите «Автоматический вход с текущим именем пользователя и паролем».

Нет, пароли в порядке. Естественно, это было первое, что я проверил. Кроме того, не было бы частичной загрузки страницы и нестабильного поведения «иногда это работает, иногда нет», если срок действия пароля истек.
Томалак

2

Возможно, некоторые из 4-х частей рукопожатия, происходящего с ntlm, теряются, т.е. разговаривают с прокси? То есть если т.е. спрашивает прокси о страницах интранета ...

Я знаю, что вы сказали, что пытались поместить сайты в зону интрасети и настроить их для обхода прокси. Просто любопытно, что произойдет, если вы вообще отключите конфигурацию прокси в браузере? Больше никаких всплывающих окон, верно?


Сайты интрасети не загружаются через прокси. Но я могу дать ему шанс.
Томалак

1
После полного отключения прокси и ручного добавления нашего полного доменного имени в интрасети в зону «Интранет» в IE, похоже, работает ATM. Я не проверял долго, поэтому не могу быть абсолютно уверен. Может быть, это какая-то особенность WPAD? В конце концов, файл PAC также возвращает «DIRECT» для этого полного доменного имени ...
Томалак

Похоже, вы нашли свой ответ, если отключение прокси сработало. Я собирался предложить попробовать Firefox и добавить имя сайта в настройку ntlm на странице about: config и посмотреть, работает ли это.
Марлон

0

Попробуйте поискать под административными инструментами под панелью управления; откройте мастера .NET 1.1 и установите для безопасности .NET значение «Полное доверие» для интрасети.


На рассматриваемых страницах нет .NET вообще . Не имеет значения, что я настраиваю там.
Томалак

0

Вы проверили / изменили свой «Сетевая безопасность: уровень аутентификации LAN Manager» в «Панели управления / Администрирование / Локальная политика безопасности / Локальные политики / Параметры безопасности»? ( Q823659 )

Здесь мы запускаем рабочую группу (без серверов Windows) с локальной интрасетью и широким использованием MySQL ... До тех пор, пока мы не изменили (или не включили) вышеуказанный ключ / параметр, казалось, что ничто не работало в 100% случаев, это не было просто проблема Windows 7. Мы также отключили параметры «Требовать 128-битное шифрование» для двух ключей NTLM, указанных ниже, на ПК с Windows 7 ... Все еще иногда возникают проблемы с базой данных, но с SQL все было в порядке с тех пор, как мы это сделали.


К сожалению, я ничего не могу изменить. GPO домена контролируют этот параметр. Также это не объясняет нестабильное поведение, я ожидаю, что оно будет терпеть неудачу все время, когда настройки низкоуровневой аутентификации неверны. : - \
Томалак

0

Поскольку вы находитесь в домене, и проблема неожиданная, я всегда задаюсь вопросом о двух вещах ...

  1. То же самое происходит с другими пользователями?
  2. Происходит ли такое же поведение для другого пользователя домена на вашем компьютере?

На 1 и 2: да. Очень загадочно.
Томалак

Это создает ощущение, что виноваты GPO или конфиг IIS ...
Пол Д'Амбра

0

Вы проверяли эти предложения на сайте ответов MS ? (вероятно, вы сделали ...)


Я бы, но эта ссылка не работает.
Томалак

Извините, ссылка исправлена.
Фрэнк Мейленаар

Гектометр Нет кости. Я также скорее не использую диспетчер учетных данных для чего-то, что должно быть прозрачной аутентификацией с моей собственной учетной записью.
Томалак
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.