Устранение проблем с проверкой подлинности Windows (без проблем) в IIS 7.5?

Я знаю, что есть тысячи отчетов о людях, у которых проблемы с установкой интегрированной проверки подлинности Windows для работы с IIS, но все они, похоже, приводят к неприменимым веб-страницам или решениям, которые я уже пробовал. Я уже развернул десятки подобных сайтов, так что либо с сервером / конфигурацией происходит что-то странное, либо я слишком долго смотрел на это и не видел очевидного.

Проще говоря, все работает отлично на моем локальном компьютере, но разваливается на рабочем сервере, который, насколько я могу судить, имеет точно такая же конфигурация.

На локальной машине:

• Машина работает под управлением Windows 7 Ultimate, Service Pack 1, IIS 7.5.
• Сайт был успешно протестирован с использованием IIS и VS Web Development Server.
• В конфигурации сайта IIS отключены все методы аутентификации. Кроме Проверка подлинности Windows.
• Локальный компьютер не находится ни в одном домене.
• Установленные поставщики - это согласование и NTLM (не согласование: Kerberos).
• Расширенная защита отключена.
• Все протестированные браузеры (IE, Firefox, Chrome) показывают запрос и позволяют мне войти в localhost домен с моей (локальной) учетной записью Windows.
• Все протестированные браузеры также работают с непрозрачным локальным IP-адресом, поэтому сами браузеры, похоже, не заботятся о том, выглядит ли сайт «локальным» или «удаленным».
• Я добавил строку отображения на веб-страницу, которая показывает текущего пользователя, вошедшего в систему, и показывает именно то, что я ожидал (с каким бы локальным пользователем я ни вошел).

На удаленной машине:

• Сервер работает под управлением Windows Server 2008 R2, IIS 7.5.
• Загрузка веб-страницы приводит к немедленный 401.2 ошибка: У вас нет прав для просмотра этой страницы из-за неверных заголовков аутентификации. Запрос на вызов никогда не появляется.
• В конфигурации сайта IIS отключены все методы аутентификации. Кроме Проверка подлинности Windows.
• Удаленный компьютер не находится ни в одном домене.
• Установленные поставщики - это согласование и NTLM (не согласование: Kerberos).
• Расширенная защита отключена.
• На удаленном компьютере (сеанс удаленного рабочего стола) такая же ошибка появляется в Internet Explorer независимо от того, является ли домен localhost или внешний IP-адрес.
• Если я попытаюсь просмотреть удаленный веб-сайт с моего местный машина, ошибка все еще 401, но немного другая 401. Нет подкода, с текстом: В доступе отказано из-за неверных учетных данных.
• В Проверка подлинности Windows Функция роли IIS является установлены.
• В WindowsAuthentication Модуль является добавлено (на уровне Сервера).
• Точно такая же ошибка возникает, если я отключу проверку подлинности Windows и включу базовую проверку подлинности.
• Сайт делает загрузить, если я отключу проверку подлинности Windows и включу анонимный (очевидно).
• Я уже выполнил все шаги по устранению неполадок в службе поддержки Microsoft: Устранение ошибок HTTP 401 в IIS
• Я уже пробовал обходной путь показан на другой странице поддержки Microsoft (якобы заставить NTLM как единственный метод).

И последнее, но не менее важное: я попытался включить FREB для ошибок 401.2, и результаты, похоже, не говорят мне ничего полезного, все, что я вижу, это следующее предупреждение:

MODULE_SET_RESPONSE_ERROR_STATUS

ModuleName IIS Web Core
Уведомление 2
HttpStatus 401
HttpReason неавторизован
HttpSubStatus 2
Код ошибки 2147942405
ConfigExceptionInfo
Уведомление AUTHENTICATE_REQUEST
ErrorCode Доступ запрещен. (0x80070005)

... похоже, это просто говорит мне то, что я уже знаю (что он просто отклоняет запрос вместо согласования учетных данных).

Трассировка действительно указывает, что модуль WindowsAuthentication загружен правильно, потому что существует NOTIFY_MODULE_START линия с ModuleName знак равно WindowsAuthentication (и различные другие последующие события ASP.NET - [не] к счастью, здесь нет никаких интересных ошибок или предупреждений).

Может ли кто-нибудь сказать мне, чего мне здесь не хватает?

Быстрое обновление:

Мне немного неудобно отправлять весь дамп Wireshark, поскольку он раскрывает IP-адреса, URL-адреса и другие вещи, но я провел параллельное сравнение HTTP-ответов от localhost и удаленного сервера в Fiddler, и это кажется довольно самодостаточным -видно, в чем проблема:

Локальный хост:

HTTP/1.1 401 Unauthorized
Cache-Control: private
Content-Type: text/html; charset=utf-8
Server: Microsoft-IIS/7.5
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
X-Powered-By: ASP.NET
Date: Sat, 17 Dec 2011 23:42:34 GMT
Content-Length: 6399
Proxy-Support: Session-Based-Authentication

Удаленный:

HTTP/1.1 401 Unauthorized
Content-Type: text/html
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sat, 17 Dec 2011 23:43:13 GMT
Content-Length: 1293

Помимо нескольких, казалось бы, несущественных отличий, таких как управление кешем, основное отличие состоит в том, что удаленный сервер не отправляет клиенту заголовки WWW-Authenticate.

Итак, я полагаю, это сужает вопрос до: Почему IIS не отправляет заголовки WWW-Authenticate, если проверка подлинности Windows установлена, загружена и включена исключительно?