Назад | Перейти на главную страницу

Переход ISA 2006 на Kerberos вызывает проблемы с аутентификацией у некоторых пользователей

В нашей крупной корпоративной среде установлено 4 сервера ISA 2006. Пользователи (WinXP IE8) настраиваются с помощью сценария автоматической настройки прокси. Недавно PAC был изменен, чтобы возвращать полное доменное имя вместо IP-адресов серверов ISA. Это было сделано для принудительной проверки подлинности Kerberos вместо NTLM.

Это изменение вызывало периодические проблемы у некоторых пользователей. При доступе к сайтам через SSL они получают несколько запросов на аутентификацию от прокси-сервера. Это касается не всех пользователей. Затронуты разные сайты. В какой-то момент один из прокси-серверов начал выдавать «Ошибка прокси-сервера 502. Буферное пространство не поддерживается». Он был перезагружен и снова заработал.

Лучшее, что мы можем предположить, это то, что это связано с большим размером токена Kerberos (мы являемся крупной операцией с сотнями / тысячами групп безопасности AD).

У некоторых пользователей MaxPacketSize и MaxTokenSize настроены для Kerberos. Некоторые этого не делают. У двух проблемных пользователей, на которых я смотрел, были эти настройки.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

Откат PAC к использованию IP-адресов (и NTLM) решает проблему для пользователей. Но администраторы прокси по-прежнему хотят использовать Kerberos по следующим причинам: Зачем использовать Kerberos вместо NTLM в IIS?.

Поможет ли распространение этих параметров реестра всем пользователям решить проблему, или эти параметры являются корнем проблемы?

Есть ли параметр на ISA-сервере, который необходимо настроить в соответствии с настройками размера токена на рабочих столах?

Спасибо.

Может быть проблема с размером токена. В любом случае все компьютеры должны иметь эти настройки с такими значениями.

Другая возможность - наличие каких-либо фильтров политики, определяющих максимальную длину заголовка http.
Поскольку kerberos хранит членство в группе в пакете, при использовании встроенной аутентификации, которая кодируется и вставляется в каждый заголовок HTTP-запроса. Любой http, который включает интегрированную аутентификацию с Kerberos, должен быть очень щедрым с максимальным размером заголовка запроса.

Также существует исправление для симптома с таким описанием.

Клиент веб-прокси ISA Server 2006 получает код ошибки 502, когда пользователь пытается посетить определенные веб-сайты.
http://support.microsoft.com/kb/935693

http://www.isaserver.org/tutorials/configuring-isa-server-2006-http-filter.html

http://technet.microsoft.com/en-us/library/bb838827.aspx