Проверка подлинности NTLM завершается неудачно ТОЛЬКО с IE на сервере приложений 2k8 за обратным прокси-сервером IIS7 2k8
Я занимаюсь разработкой приложения ASP.NET для сайта интрасети, использующего Windows/NTLM/WIA/ любую другую аутентификацию. Приложение размещено на сервере Windows 2k8, но доступ к нему осуществляется через обратный прокси-сервер с использованием IIs7 на другом компьютере 2k8.
Аутентификация отлично работает в FireFox, Chrome и Safari, но не работает в IE8. Если я обхожу Прокси и обращаюсь к серверу приложений напрямую, он работает нормально, так что он как-то связан с прокси.
Ни в одной из трех машин нет ничего, что могло бы указывать на просмотр событий.
Если вы подключаетесь с помощью IE8, он запрашивает ваши учетные данные, а не автоматически передает их, да, я настроил явное доверие над доверием домена выше указанного, но все равно выдает ошибку с ошибкой 401, возвращенной прокси.
Любые идеи, где начать устранение неполадок этого?
2 ответа
Оказывается, что обратные прокси-серверы IIS 7 не поддерживают аутентификацию Kerberos, поэтому вы должны отключить ее на своих внутренних серверах, чтобы они использовали NTLM.
К сожалению, на 2k8 нет простого способа сделать это, вы должны возиться с реестром. Однако в 2k8 R2 в IIS 7 есть параметры графического интерфейса для управления поставщиками проверки подлинности.
Запуск Fiddler на клиентском компьютере будет тем местом, с которого стоит начать, чтобы увидеть, как заголовки аутентификации, возвращаемые с прокси-сервера, отличаются от заголовков с прямым подключением.
Вы захотите проверить, используется ли NTLMv1, NTLMv2 или Kerberos в ситуациях, когда он работает. IE8 на Win7 теперь блокирует NTLMv1 по умолчанию, что может быть связано с проблемой?