Dlaczego Internet Explorer wciąż pyta mnie o poświadczenia NTLM w strefie intranetowej?


23

Długi tekst, przepraszam za to. Staram się być jak najbardziej konkretny.

Korzystam z systemu Windows 7 i mam bardzo frustrujące zachowanie w programie Internet Explorer 8. Jestem w firmowej sieci LAN z niektórymi serwerami intranetowymi i proxy do łączenia się ze światem zewnętrznym.

W witrynach, które są wyraźnie rozpoznawane jako „Lokalny intranet” (jak wskazano na pasku stanu IE), wciąż pojawiają się okna dialogowe „Zabezpieczenia systemu Windows”, które proszą mnie o zalogowanie się. Strony te są obsługiwane przez IIS6 z „Zintegrowanym zabezpieczeniem systemu Windows” włączone, NTFS zezwala wszystkim: Czytaj same pliki.

  • Jeśli wprowadzę moje poświadczenia systemu Windows, strona ładuje się dobrze. Jednak okna dialogowe pojawią się następnym razem, niezależnie od tego, czy zaznaczyłem opcję „Zapamiętaj moje dane uwierzytelniające”, czy nie. (Poświadczenia są przechowywane w „Menedżerze poświadczeń”, ale nie ma to znaczenia, jak często pojawiają się te pola logowania).
  • Jeśli kliknę „Anuluj”, może się zdarzyć jedna z dwóch rzeczy: albo strona ładuje się z pewnymi brakującymi zasobami (obrazy, arkusze stylów itp.), Albo w ogóle się nie ładuje i otrzymuję HTTP 401,2 (Nieautoryzowane: Logowanie nie powiodło się z powodu serwera Konfiguracja). Zależy to od tego, czy okno logowania zostało uruchomione przez samą stronę, czy odnośny zasób.
  • Zachowanie wydaje się być całkowicie nieobliczalne, czasami strony ładują się płynnie, czasem jeden zasób wyzwala komunikat logowania, czasem nie. Nawet proste ponowne załadowanie strony może spowodować zmianę zachowania.

Używam WPAD jako mechanizmu wykrywania proxy. Wszystkie hosty intranetowe omijają proxy w pliku PAC.

Sprawdziłem każde ustawienie IE, jakie mogę wymyślić, wprowadziłem wzorce hosta, poszczególne nazwy hosta, zakresy adresów IP w każdej konfigurowalnej konfiguracji do strefy „Lokalny intranet”, zaznaczyłem „Uwzględnij wszystkie witryny, które omijają serwer proxy”, nazywasz to. Sprowadza się do „czasem po prostu nie działa” i powoli tracę rozum. ;-)

Wiem, że jest to związane z tym, że IE nie automatycznie przekazuje moje poświadczenia NTLM do serwera WWW, ale pyta mnie. Zwykle powinno to się zdarzyć tylko w przypadku witryn zabezpieczonych NTLM, które nie są rozpoznawane jako znajdujące się w strefie „Intranet”.

Jak wyjaśniono, tutaj tak nie jest. Zwłaszcza, że ​​połowa strony może ładować się idealnie i bez zakłóceń, a niektóre zasoby strony (pochodzące z tego samego serwera!) Wyzwalają komunikat logowania.

Obejrzałem http://support.microsoft.com/kb/303650 , co sprawia wrażenie opisywania problemu, ale wydaje się, że nic tam nie działa. I szczerze mówiąc, nie jestem pewien, czy „ręczna edycja rejestru” jest właściwym rozwiązaniem dla tego rodzaju problemu. W końcu nie jestem jedyną osobą na świecie z konfiguracją IE / intranet / IIS.

Jestem zagubiony, czy ktoś może mi podpowiedzieć?


Przepraszam, nie mogłem się oprzeć: Więc, kapitanie, jak długo będziemy się na siebie gapić w strefie neutralnej ?!
allquixotic

Odpowiedzi:


11

Widzimy to tylko wtedy, gdy hasło użytkownika wygasło. Kiedykolwiek to widzimy, zachęcamy użytkownika do zmiany hasła i, na wszelki wypadek, wyloguj się i ponownie z nowymi danymi uwierzytelniającymi. Witryna intranetowa nie wymaga już poświadczeń.

Umożliwia wiele szybkich połączeń z pomocą techniczną ...

Upewnij się również, że strefa lokalnego intranetu jest skonfigurowana do automatycznego logowania przy użyciu bieżącej nazwy użytkownika i hasła. Możesz to zrobić przez:

  1. Przybory
  2. Opcje internetowe
  3. Kliknij lewym przyciskiem myszy kartę Zabezpieczenia
  4. Kliknij lewym przyciskiem myszy na poziomie niestandardowym
  5. Przewiń w dół do opcji Uwierzytelnianie użytkownika
  6. W obszarze Logowanie wybierz Logowanie automatyczne przy użyciu bieżącej nazwy użytkownika i hasła

Nie, hasła są w porządku. Oczywiście, to była pierwsza rzecz, którą sprawdziłem. Poza tym nie byłoby częściowego wczytywania strony i błędne zachowanie „czasami działa, a czasem nie”, jeśli hasło wygasło.
Tomalak,

2

Być może część 4-częściowego uzgadniania, które dzieje się z ntlm, gubi się, tzn. Rozmawia z serwerem proxy? To znaczy, jeśli np. Pyta proxy o strony intranetowe ...

Wiem, że powiedziałeś, że próbowałeś umieścić witryny w strefie intranetowej i ustawić je tak, aby pomijały serwer proxy. Ciekawe, co się stanie, jeśli całkowicie wyłączysz konfigurację proxy w przeglądarce? Nigdy więcej wyskakujących okienek, prawda?


Witryny intranetowe nie są ładowane przez serwer proxy. Ale mogę spróbować.
Tomalak,

1
Po całkowitym wyłączeniu proxy i ręcznym dodaniu naszej intranetowej nazwy FQDN do strefy „Intranet” w IE wydaje się, że działa ATM. Nie testowałem długo, więc nie mogę być absolutnie pewien. Może to jakaś osobliwość WPAD? W końcu plik PAC zwraca również „DIRECT” dla tej nazwy FQDN…
Tomalak,

Wygląda na to, że znalazłeś odpowiedź, jeśli wyłączenie proxy działało. Chciałem zasugerować wypróbowanie Firefoksa i dodanie nazwy strony do ustawienia ntlm na stronie about: config i sprawdzenie, czy to działa.
Marlon

0

Spróbuj zajrzeć do narzędzi administracyjnych w panelu sterowania; otwórz kreatory .NET 1.1 i dostosuj zabezpieczenia .NET do „Pełnego zaufania” dla intranetu.


Nie ma zaangażowany .NET w ogóle na łamach których mowa. Nie ma znaczenia, co tam skonfiguruję.
Tomalak

0

Czy sprawdziłeś / zmieniłeś „Bezpieczeństwo sieci: poziom uwierzytelniania LAN Managera” w „Panelu sterowania / Narzędzia administracyjne / Zasady bezpieczeństwa lokalnego / Zasady lokalne / Opcje bezpieczeństwa”? ( Q823659 )

Prowadzimy tutaj grupę roboczą (bez serwerów Windows) z lokalnym intranetem i szerokim wykorzystaniem MySQL ... Do czasu zmiany (lub włączenia) powyższego klucza / opcji nic nie działało w 100% przypadków, to nie było tylko problem z Windows 7. Wyłączyliśmy również opcje „Wymagaj szyfrowania 128-bitowego” na 2 niższych kluczach NTLM na komputerach z systemem Windows 7 ... Nadal pojawiają się sporadyczne problemy z bazą danych, ale SQL jest w porządku, odkąd to zrobiliśmy.


Niestety nie mogę tego zmienić. GPO domeny kontrolują to ustawienie. Nie tłumaczy to również błędnego zachowania. Spodziewałbym się, że cały czas zawiedzie, gdy ustawienia uwierzytelniania niskiego poziomu są nieprawidłowe. : - \
Tomalak,

0

Ponieważ jesteś w domenie, a problem jest nieoczekiwany, zawsze zastanawiam się nad dwiema rzeczami ...

  1. Czy to samo zachowanie występuje w przypadku innych użytkowników?
  2. Czy to samo zachowanie występuje w przypadku innego użytkownika domeny na twoim komputerze?

Do 1 i 2: Tak. Bardzo zagadkowe.
Tomalak

To sprawia, że ​​wydaje się, że wina GPO lub konfiguracji IIS jest winna ...
Paul D'Ambra

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.