В настоящее время я реорганизую подсети в своей организации. Новый подсеть - 10.65.0.0/24 и старый подсеть - 172.16.0.0/21.
Клиенты в новой подсети не могут получить доступ к веб-приложению в 172.16.9.0/24 - они получают запрос на ввод учетных данных, а затем ошибку 401.2 (трафик маршрутизируется, но аутентификация не выполняется).
Клиенты в старой подсети (даже те же самые клиенты, перемещенные в другое сетевое расположение) могут получить доступ без запросов учетных данных или каких-либо ошибок.
Веб-приложение работает в IIS6 - в веб-приложение не было внесено никаких изменений - единственное (я знаю), что изменилось, - это сетевое расположение клиентов.
Обновление 1: Я упростил тестовый пример, чтобы исключить любой случайный переход на SQL-сервер и т. Д. Теперь я просто запрашиваю статический текстовый файл с сервера - я все еще получаю ошибку 401.2. Если я переключусь со встроенной проверки подлинности на обычную проверку подлинности, страница будет доставлена нормально.
Обновление 2: Похоже, затронутые приложения ограничены использованием NTLM - приложения, использующие проверку подлинности Kerberos, работают нормально.
Обновление 3: Новая подсеть в настоящее время маршрутизируется в подсеть с серверами в ней через межсетевой экран Cisco Meraki MX - нет никаких правил межсетевого экрана, запрещающих трафик, но это, похоже, является основным различием между двумя подсетями.
Кто нибудь еще сталкивался с этим?
Оказалось, что это проблема с Kerberos. Я включил доверие для делегирования учетной записи компьютера в Active Directory, и все начало работать.