Заголовок авторизации повреждения клиента Windows (Kerberos) => IIS 400 (неверный запрос)
Мы сталкиваемся со странным поведением примерно на 5% клиентских компьютеров Windows (7 Pro и XP Pro, 32- и 64-разрядные версии). Эти компьютеры получают случайную ошибку от сервера IIS - 400 Плохой запрос. Мы используем домен Windows, и эти клиенты пытаются авторизоваться в IIS через Kerberos.
Симптомы:
- Клиент пытается подключиться к серверу IIS через Internet Explorer к сайту, требующему аутентификации (Kerberos).
- Сервер IIS возвращает ошибку 400 Bad Request.
- Ошибка не исчезнет, пока клиентский компьютер не будет перезапущен. Другого способа «исправить» это состояние мы не нашли. Удачный перезапуск означает, что вы можете перезапустить несколько раз. Иногда работает, иногда нет. Если он работает, он будет безопасно работать до следующего перезапуска. Если это не так, не работайте до следующего перезапуска. :)
Что мы знаем
Мы используем больше групп. Так что у наших пользователей обычно больший Kerberos TGT. MaxTokenSize увеличен до 48000.
Мы прослушиваем сетевой трафик затронутых клиентов и обнаружили, что этот клиент отправляет сломанный заголовок авторизации. Часть с заголовком авторизации kerberos вырезана - не закончилась должным образом. Так что ответ сервера IIS правильный и логичный. Так проблема на стороне клиента.
Мы безуспешно пытались найти разницу между рабочим состоянием и состоянием ошибки на пораженных компьютерах.
В нашей сети больше серверов IIS. У затронутого компьютера одинаковая проблема на всех из них в «состоянии ошибки».
Надеюсь, наши мысли верны, что Internet Explorer использует .NET Framework для HTTP-запросов и авторизации. Так что, вероятно, причина где-то в .NET? Все клиенты используют версию 4.
Может ли кто-нибудь помочь нам раскрыть эту тайну? :)
Решено. Eset NOD32 Antivirus версии 4 изменял заголовки авторизации HTML на некоторых компьютерах. После отключение защиты доступа в Интернет все работает как шарм. 