Почему Internet Explorer продолжает запрашивать у меня учетные данные NTLM в зоне интрасети?

84328
Tomalak

Длинный текст, извините за это. Я пытаюсь быть максимально конкретным.

Я нахожусь на Windows 7, и я испытываю очень расстраивающее поведение Internet Explorer 8. Я нахожусь в локальной сети компании с некоторыми серверами интрасети и прокси-сервером для связи с внешним миром.

На сайтах, которые явно распознаются как «Локальная интрасеть» (как указано в строке состояния IE), я продолжаю получать диалоговые окна «Безопасность Windows», в которых предлагается войти в систему. Эти страницы обслуживаются IIS6 с помощью «Интегрированной безопасности Windows» включен, NTFS разрешает всем: читать сами файлы.

  • Если я ввожу свои учетные данные Windows, страница загружается нормально. Тем не менее, диалоговые окна будут появляться в следующий раз, независимо от того, выбрал ли я «Запомнить мои учетные данные» или нет. (Учетные данные хранятся в «Диспетчере учетных данных», но это не влияет на частоту появления этих полей входа.)
  • Если я нажимаю «Отмена», может произойти одно из двух: либо страница загружается с отсутствующими определенными ресурсами (изображения, таблицы стилей и т. Д.), Либо она не загружается вообще, и я получаю HTTP 401.2 (неавторизовано: вход в систему не выполнен из-за сервера Конфигурация). Это зависит от того, было ли окно входа в систему инициировано самой страницей или ссылочным ресурсом.
  • Поведение выглядит совершенно нестабильным, иногда страницы загружаются плавно, иногда один ресурс вызывает сообщение о входе в систему, иногда - нет. Даже простая перезагрузка страницы может привести к изменению поведения.

Я использую WPAD в качестве механизма обнаружения прокси. Все хосты интрасети обходят прокси в файле PAC.

Я проверил все настройки IE, которые я могу придумать, ввел шаблоны хостов, отдельные имена хостов, диапазоны IP-адресов в каждой мыслимой конфигурации в зону «Локальная интрасеть», поставил галочку «Включить все сайты, которые пропускают прокси-сервер», назовите его. Это сводится к «иногда это просто не работает», и постепенно я схожу с ума. ;-)

Я знаю, что это связано с тем, что IE не передает мои учетные данные NTLM на веб-сервер, а спрашивает меня об этом. Обычно это должно происходить только для сайтов, защищенных NTLM, которые не распознаются как находящиеся в зоне «Интранет».

Как объяснено, это не тот случай, здесь. Тем более, что половина страницы может загружаться идеально и без перебоев, а некоторые ресурсы страницы (поступающие с одного сервера!) Вызывают сообщение для входа.

Я посмотрел на http://support.microsoft.com/kb/303650, который дает впечатление описания проблемы, но, похоже, ничего не работает. И, честно говоря, я не уверен, является ли «ручное редактирование реестра» правильным решением для такого рода проблем. В конце концов, я не единственный человек в мире с конфигурацией IE / intranet / IIS.

Я в недоумении, может кто-нибудь дать мне подсказку?

22
Извините, я не удержался. Итак, капитан, как долго мы будем смотреть друг на друга через нейтральную зону ?! Horn OK Please 10 лет назад 0

6 ответов на вопрос

11
Windos

Единственный раз, когда мы видим это, если срок действия пароля пользователя истек. Всякий раз, когда мы видим это, мы заставляем пользователя сменить свой пароль, и для правильной меры выйдите и снова войдите с новыми учетными данными. Сайт Интранет больше не запрашивает учетные данные.

Делает много быстрых звонков в службу поддержки ...

Также убедитесь, что для зоны локальной интрасети задан автоматический вход в систему с использованием текущего имени пользователя и пароля. Вы можете сделать это:

  1. инструменты
  2. Настройки интернета
  3. Щелкните левой кнопкой мыши на вкладке «Безопасность».
  4. Щелкните левой кнопкой мыши на пользовательском уровне
  5. Прокрутите вниз до аутентификации пользователя
  6. В разделе «Вход» выберите «Автоматический вход с текущим именем пользователя и паролем».
Нет, пароли в порядке. Естественно, это было первое, что я проверил. Кроме того, не было бы частичной загрузки страницы и нестабильного поведения «иногда это работает, иногда нет», если срок действия пароля истек. Tomalak 12 лет назад 0
Это исправило это для меня. Спасибо! nathanbedford 9 лет назад 0
1
noobish

Возможно, некоторые из 4-х частей рукопожатия, происходящего с ntlm, теряются, т.е. разговаривают с прокси? То есть если т.е. спрашивает прокси о страницах интранета ...

Я знаю, вы сказали, что пытались поместить сайты в зону интрасети и настроить их для обхода прокси. Просто любопытно, что произойдет, если вы вообще отключите конфигурацию прокси в браузере? Больше никаких всплывающих окон, верно?

Сайты интрасети не загружаются через прокси. Но я могу дать ему шанс. Tomalak 12 лет назад 0
После полного отключения прокси и ручного добавления нашего полного доменного имени в интрасети в зону «Интранет» в IE, похоже, работает ATM. Я не проверял долго, поэтому не могу быть абсолютно уверен. Может быть, это какая-то особенность WPAD? В конце концов, файл PAC также возвращает «DIRECT» для этого полного доменного имени ... Tomalak 12 лет назад 0
Похоже, вы нашли свой ответ, если отключение прокси сработало. Я собирался предложить попробовать Firefox и добавить имя сайта в настройку ntlm на странице about: config и посмотреть, работает ли это. Marlon 12 лет назад 0
0
TheDudeAbides

Попробуйте поискать под административными инструментами под панелью управления; откройте мастера .NET 1.1 и установите для безопасности .NET значение «Полное доверие» для интрасети.

На рассматриваемых страницах нет .NET * вообще * вовлечен. Не имеет значения, что я настраиваю там. Tomalak 13 лет назад 0
0
HaydnWVN

Вы проверили / изменили свой «Сетевая безопасность: уровень аутентификации LAN Manager» в «Панели управления / Администрирование / Локальная политика безопасности / Локальные политики / Параметры безопасности»? ( Q823659 )

Мы запускаем здесь рабочую группу (без серверов Windows) с локальной интрасетью и широким использованием MySQL ... До тех пор, пока мы не изменили (или не включили) вышеуказанный ключ / параметр, казалось, что ничто не работало 100% времени, это не было просто проблема Windows 7. Мы также отключили параметры «Требовать 128-битное шифрование» для двух ключей NTLM, указанных ниже, на ПК с Windows 7 ... Все еще иногда возникают проблемы с базой данных, но с тех пор SQL работает нормально.

К сожалению, я ничего не могу изменить. GPO домена контролируют этот параметр. Кроме того, это не объясняет ошибочное поведение, я ожидаю, что он будет терпеть неудачу все время, когда настройки низкоуровневой аутентификации неверны. : - \ Tomalak 12 лет назад 0
0
Paul D'Ambra

Поскольку вы находитесь в домене, и проблема неожиданная, я всегда задаюсь вопросом о двух вещах ...

  1. То же самое происходит с другими пользователями?
  2. Такое же поведение происходит для другого пользователя домена на вашем компьютере?
До 1 и 2: да. Очень загадочно. Tomalak 12 лет назад 0
Это дает ощущение, что виноваты GPO или конфиг IIS ... Paul D'Ambra 12 лет назад 0
0
Frank Meulenaar

Вы проверяли эти предложения на сайте ответов MS ? (вероятно, вы сделали ...)

Я бы, но эта ссылка не работает. Tomalak 12 лет назад 0
Извините, ссылка исправлена. Frank Meulenaar 12 лет назад 0
Гектометр Нет кости. Я также скорее не использую диспетчер учетных данных для чего-то, что должно быть * прозрачной * аутентификацией с моей собственной учетной записью. Tomalak 12 лет назад 0

Похожие вопросы