Назад |
Перейти на главную страницу
IIS7, Kerberos, иногда нет ответа от браузера на 401
SharePoint 2010 размещен на IIS7, включен протокол Kerberos. Клиенты входят в систему через Citrix на нескольких терминальных серверах. Kerberos работает на нескольких клиентах, поэтому SPN определены правильно, но на некоторых клиентах он не работает.
Проблема
- Проверка подлинности Windows включена в Internet Explorer, согласование поставщиков (первое) и NTLM (второе)
- Работает на некоторых клиентах. Если в IE включена «встроенная проверка подлинности Windows», отправляется билет Kerberos. Если параметр отключен, используется NTLM. Таким образом, как и ожидалось.
- На некоторых "плохих клиентах" я получаю сообщение "Эта страница не может быть отображена" (ошибка DNS / подключения) через + - 20 секунд. Если я посмотрю на Fiddler, я вижу только ответ 401 от веб-сервера. Если я переворачиваю провайдеров в IIS, таким образом NTLM (первый), Negotiate (второй), он работает! Отправлен ответ NTLM. Если я затем верну его обратно на Negotiate (первое), NTLM (второе), он все равно будет работать после сброса IIS, пока я не выйду из системы и не войду в Citrix; затем снова «Эта страница не может быть отображена».
- Сайт добавлен в местную интрасеть. Если он работает в NTLM в «плохих клиентах», я могу видеть в правом нижнем углу «Местная интрасеть». На «хороших клиентах» Kerberos работает и в зоне Local Intranet. Также пытался добавить сайт в "плохие клиенты" в список надежных сайтов, но это не имеет значения.
Я понятия не имею, почему он все еще не работает. Проблема выглядит так, как будто IE не хочет отвечать на запрос HTTP / 401 с помощью Negotiate, NTLM как auth. заголовки на некоторых клиентах, но я понятия не имею, почему бы и нет.
РЕШИЛ ЭТО. Хорошо, Kerberos и LDAP для DC были недоступны на некоторых DC. Итак, изменение настроек в брандмауэре решило проблему.