Nhận lời nhắc đăng nhập bằng xác thực cửa sổ tích hợp

Tôi có ứng dụng .NET 3.5 đang chạy dưới IIS 7 trên máy chủ Windows 2003 và không thể nhận được xác thực cửa sổ tích hợp hoạt động bình thường khi tôi tiếp tục nhận được thông báo đăng nhập. Tôi đã đặt Xác thực Windows thành bật trong IIS với tất cả các loại bảo mật khác bị tắt và xác thực / ủy quyền tệp web.config ứng dụng của tôi được thiết lập thành:

<system.web>
    <compilation debug="true" strict="false" explicit="true" targetFramework="3.5" />
    <authenticationmode="Windows"/>
    <authorization>
    <deny users = "?" />
    </authorization>
</system.web>

Với thiết lập này, tôi mong đợi xác minh hiện trường của người dùng Windows để cho phép truy cập và từ chối người dùng ẩn danh. Tuy nhiên, những gì tôi nhận được là một cửa sổ bật lên đăng nhập Windows khi tôi cố gắng truy cập trang web.

Tôi đã khắc phục sự cố này vài ngày nay và không thể tìm ra sự cố. Dựa trên các bài đăng có vấn đề tương tự, tôi đã xác nhận URL của mình không bao gồm bất kỳ dấu chấm nào, kiểm tra kỹ xem cài đặt IE của tôi có được đặt thành Bật Xác thực Windows Tích hợp không và cũng đã thêm URL của tôi vào các trang web mạng nội bộ của tôi, nhưng vẫn nhận được cửa sổ bật lên.

Để khắc phục sự cố thêm, tôi đã bật Xác thực ẩn danh trong IIS và sửa đổi tệp web.config của mình để cho phép tôi truy cập ngay và sau đó thêm Response.Write (System.Security.Principal.WindowsIdentifity.getcurrent (). User.name.toString () ) để thử xem người dùng nào đang được sử dụng trong xác thực. Kết quả tôi nhận được là IIS APPPOOL \ myapp rõ ràng là nhóm ứng dụng IIS cho ứng dụng của tôi.

Tôi thực sự đánh giá cao bất kỳ sự trợ giúp nào mà mọi người có thể cung cấp để tôi vẫn chỉ sử dụng xác thực cửa sổ nhưng không nhận được cửa sổ bật lên và xác thực cửa sổ được thực hiện với người dùng Windows thực sự.

Cảm ơn.

Lưu ý bổ sung sau khi khắc phục sự cố thêm:

Chỉ cần nhận thấy rằng khi đăng nhập không thành công và lời nhắc đăng nhập Windows hiển thị lại, nó đang hiển thị tên người dùng đã cố gắng đăng nhập là "SERVERNAME" \ "USERNAME" khiến tôi tin rằng nó đang cố gắng xác thực người dùng đối với máy chủ so với miền. Để xác nhận điều này, tôi đã tạo tài khoản người dùng cục bộ trực tiếp trên máy chủ ứng dụng với cùng tên người dùng và mật khẩu với người dùng miền mạng và cố gắng đăng nhập lại. Kết quả là tôi lại nhận được lời nhắc đăng nhập nhưng khi tôi nhập tên người dùng và mật khẩu lần này, tôi đã có thể đăng nhập thành công. Người dùng mạng và máy chủ ứng dụng nằm trên cùng một miền nên thực sự không chắc tại sao xác thực IIS lại trỏ đến tài khoản máy chủ ứng dụng cục bộ chứ không phải tài khoản miền. Tôi nhận ra đây là một câu hỏi IIS tại thời điểm này nên đăng trên forum.iis.

Tôi có một máy chủ Windows 2008 mà tôi đang làm việc, vì vậy câu trả lời của tôi không hoàn toàn giống với những gì OP có trên máy chủ Windows 2003.

Đây là những gì tôi đã làm (ghi lại điều này ở đây để tôi có thể tìm thấy nó sau này).

Tôi đã gặp vấn đề tương tự:

Trong tệp Web.config của tôi , tôi có phần này:

<system.web>
    <authentication mode="Windows" />
    <authorization>
        <allow users="*" />
        <deny users="?" />
    </authorization>
</system.web>

Trong IIS, tất cả những điều này dường như được giải quyết dưới biểu tượng Xác thực .

1. Chỉnh sửa quyền: Đảm bảo rằng tài khoản ASP.NET của bạn có quyền. Của tôi ban đầu không được thêm vào.

Bây giờ đi vào các tính năng của Xác thực :

Bật Xác thực Ẩn danh với IUSR:

Bật Xác thực Windows , sau đó Nhấp chuột phải để đặt Nhà cung cấp .

NTLM cần phải là ĐẦU TIÊN!

Tiếp theo, kiểm tra xem dưới Advanced Settings ... các bảo vệ mở rộng là Chấp nhận và Enable authentication Kernel-mode được CHECKED:

Sau khi thực hiện việc này, tôi quay lại ứng dụng web của mình, nhấp vào liên kết Duyệt qua và đăng nhập mà không cần phải cung cấp lại thông tin đăng nhập của mình.

Tôi hy vọng điều này có lợi cho nhiều người trong số các bạn, và tôi hy vọng nó cũng hữu ích cho tôi sau này.

Chỉ vì lợi ích của người khác. Nếu lỗi là a 401.1 Unauthorizedvà mã lỗi của bạn khớp 0xc000006d, thì bạn thực sự đang sử dụng một "tính năng" bảo mật chặn các yêu cầu tới FQDN hoặc tiêu đề máy chủ lưu trữ tùy chỉnh không khớp với tên máy cục bộ của bạn:

Làm theo bài viết hỗ trợ này để khắc phục sự cố:

https://webconnection.west-wind.com/docs/_4gi0ql5jb.htm (bản gốc, hiện không còn tồn tại: http://support.microsoft.com/kb/896861 )

Từ bài viết hỗ trợ, để đảm bảo nó không bị mất:

Công việc xung quanh là một cuộc tấn công đăng ký vô hiệu hóa chính sách này một cách rõ ràng.

Để thực hiện cấu hình này theo cách thủ công, hãy tìm khóa này trong sổ đăng ký trên máy chủ:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

và chỉnh sửa hoặc thêm khóa mới:

DisableLoopbackCheck (DWORD)

sau đó gửi giá trị đến 1 để vô hiệu hóa kiểm tra lặp lại (xác thực cục bộ hoạt động) hoặc về 0 (xác thực cục bộ không được phép).

Hoặc dễ dàng hơn, bạn có thể sử dụng Powershell:

New-ItemProperty HKLM:\System\CurrentControlSet\Control\Lsa -Name "DisableLoopbackCheck" -Value "1" -PropertyType dword

Có vẻ như các bản dựng gần đây của Windows 10 (1803 trở lên?) Cũng yêu cầu cài đặt cấu hình này để xác thực cục bộ.

Điều này khiến tôi mất một lúc vì những bình luận của mọi người khác ở đây không giúp được tôi. Tôi tìm thấy bài viết này và nó đã sửa nó!

Tôi đã gặp sự cố tương tự, theo đó tôi chỉ muốn bảo vệ một phần nhất định của trang web của mình. Mọi thứ đều hoạt động tốt ngoại trừ IE. Tôi đã bật cả Xác thực ẩn danh và Xác thực Windows. Đối với Ẩn danh, Danh tính được đặt thành Danh tính Nhóm ứng dụng. Vấn đề là với Xác thực Windows. Sau một số tìm hiểu xung quanh, tôi đã kích hoạt fiddler và nhận thấy rằng nó đang sử dụng Kerberos làm nhà cung cấp (thực ra nó được đặt thành Thương lượng theo mặc định). Tôi đã chuyển nó sang NTLM và điều đó đã sửa nó. HTH

Daudi

Thêm quyền [Người dùng miền] vào bảo mật web của bạn.

• Nhấp chuột phải vào trang web của bạn trong IIS trong thư mục Trang web
• Nhấp vào Chỉnh sửa quyền ...
• Chọn tab Bảo mật
• Trong phần Nhóm hoặc tên người dùng, nhấp vào nút Chỉnh sửa ...
• Trong cửa sổ Quyền bật lên, bên dưới Nhóm hoặc tên người dùng, bấm Thêm ...
• Nhập [Người dùng miền] vào tên đối tượng để chọn vùng văn bản và nhấp vào OK để áp dụng thay đổi
• Bấm OK để đóng cửa sổ bật lên Quyền
• Nhấp vào OK để đóng cửa sổ bật lên Thuộc tính và áp dụng cài đặt mới của bạn

Đừng tạo ra lỗi trên máy chủ của bạn bằng cách thay đổi mọi thứ. Nếu bạn có cửa sổ nhắc đăng nhập khi sử dụng Xác thực Windows trên 2008 R2, chỉ cần truy cập Providersvà chuyển LÊN NTLMcho từng ứng dụng của bạn. Khi Negotiatelà ứng dụng đầu tiên trong danh sách, Windows Authentication có thể dừng hoạt động thuộc tính cho ứng dụng cụ thể trên 2008 R2 và bạn có thể được nhắc nhập tên người dùng và mật khẩu hơn là không bao giờ hoạt động. Điều đó đôi khi xảy ra khi bạn cập nhật ứng dụng của mình. Chỉ cần chắc chắn hơn vị trí NTLMđầu tiên trong danh sách và bạn sẽ không bao giờ gặp lại vấn đề này.

Nếu URL của bạn có dấu chấm trong tên miền, IE sẽ coi nó như một địa chỉ internet chứ không phải cục bộ. Bạn có ít nhất hai lựa chọn:

1. Lấy bí danh để sử dụng trong URL để thay thế server.domain. Ví dụ: myapp.
2. Làm theo các bước dưới đây trên máy tính của bạn.

Truy cập trang web và hủy hộp thoại đăng nhập. Hãy để điều này xảy ra:

Trong cài đặt của IE:

WindowsIdentity.GetCurrentlà chính xác: bạn sẽ có được người dùng APPPOOL. Điều này là do quá trình ASP.NET, đang thực thi mã của bạn, là danh tính hiện tại. Nếu bạn muốn nó trả về cho người dùng nhận dạng trang web, bạn sẽ cần thêm dòng sau vào web.config của mình:

<identity impersonate="true" />

Điều này khiến quá trình giả định danh tính của người dùng yêu cầu trang. Tất cả các hành động sẽ được thực hiện thay mặt cho họ, vì vậy bất kỳ nỗ lực nào để đọc các thư mục trên mạng hoặc truy cập tài nguyên cơ sở dữ liệu và tương tự sẽ có nghĩa là người dùng hiện tại sẽ cần quyền đối với những thứ đó. Bạn có thể đọc thêm về mạo danh tại đây . Lưu ý rằng tùy thuộc vào cách cấu trúc liên kết máy chủ web / cơ sở dữ liệu của bạn được thiết lập, bạn có thể gặp sự cố ủy quyền khi bật tính năng mạo danh.

Nhưng vấn đề ban đầu của bạn là có vẻ như không thể xác định được danh tính và bạn nhận được một cửa sổ bật lên đăng nhập. Tôi lưu ý rằng bạn không cần <deny>khối nếu bạn đã tắt xác thực ẩn danh trong IIS. Chúng tôi không bao giờ bao gồm nó (ngoại trừ trong các <location>khối đặc biệt và như vậy) vì vậy tôi muốn nói rằng bạn có thể thử xóa nó và thử lại. Tuy nhiên, mọi thứ khác đều có vẻ đúng.

Bạn không chỉ định người dùng nào đang chạy nhóm ứng dụng trong IIS. Đó là tài khoản tùy chỉnh hay là tài khoản mặc định? Nếu là tùy chỉnh, đó là tài khoản miền hay tài khoản cục bộ trên máy chủ web? Tài khoản tùy chỉnh đôi khi có thể yêu cầu thêm một vài bước, chẳng hạn như đăng ký SPN. Ngoài ra, có thể có vấn đề với tài khoản tùy chỉnh không có quyền trong AD để giải quyết tài khoản của người dùng đến.

Bạn cũng có thể kiểm tra nhật ký IIS để xem phản hồi nào đang được trả về. Nó rất có thể sẽ là 401, nhưng nó phải có một số phụ sau nó như 401.2 hoặc gì đó. Con số phụ đó đôi khi có thể giúp xác định vấn đề gốc rễ. Bài viết KB này liệt kê năm.

CÁi này đã sửa nó giúp tôi.

Máy chủ và Máy khách Pc của tôi là Windows 7 và ở trong cùng một miền

1. trong iis7.5-bật xác thực windows cho Intranet của bạn (tắt tất cả các xác thực khác .. cũng không cần đề cập đến xác thực windows trong tệp web.config

2. sau đó đi tới Máy tính khách .. IE8 hoặc 9- Công cụ-tùy chọn internet-Bảo mật-Mạng nội bộ cục bộ-Trang web-nâng cao-Thêm trang web của bạn (bỏ dấu kiểm "yêu cầu máy chủ verfi ... "..không cần

3. IE8 hoặc 9- Tools-internet Options-Security-Local Intranet-Custom level-userauthentication-logon-chọn đăng nhập tự động với tên người dùng và mật khẩu hiện tại

4. lưu cài đặt này..bạn đã hoàn tất .. Không cần nhắc nhập tên người dùng và mật khẩu nữa.

5. Đảm bảo rằng, vì máy khách của bạn là một phần của miền, bạn phải có GPO cho cài đặt này, .. tiếp theo cài đặt này sẽ hoàn nguyên khi người dùng đăng nhập vào windows lần sau

Có thể liên quan đến trình duyệt. Nếu bạn đang sử dụng IE, bạn có thể đi tới Cài đặt nâng cao và kiểm tra xem hộp kiểm "Bật xác thực tích hợp Windows" được chọn.

Trong trường hợp của tôi, cài đặt ủy quyền không được thiết lập đúng cách.

tôi phải

1. mở Quy tắc ủy quyền .NET trong Trình quản lý IIS

   

2. và loại bỏ các quy tắc từ chối

   

Trong Intranet của chúng tôi, vấn đề đã được giải quyết ở phía máy khách bằng cách điều chỉnh cài đặt bảo mật như được hiển thị ở đây. Một trong các hộp kiểm bên phải phù hợp với chúng tôi.

Tôi vừa giải quyết một vấn đề tương tự với một ứng dụng ASP.Net.

Hiện tượng: Tôi có thể đăng nhập vào ứng dụng của mình bằng người dùng cục bộ chứ không phải người dùng miền, ngay cả khi máy được kết nối chính xác với miền (như bạn nói trong Ghi chú bổ sung của mình). Trong trình xem sự kiện bảo mật, có một sự kiện với ID = 4625 "Không nhất quán bên miền".

Giải pháp: Tôi đã tìm thấy giải pháp ở đây . Vấn đề là các máy thử nghiệm của tôi có các máy ảo được sao chép (Windows Server 2008 R2; một Bộ điều khiển miền và một máy chủ web). Cả hai đều có cùng một SID máy, điều này dường như gây ra sự cố. Đây là những gì tôi đã làm:

1. Xóa máy chủ web khỏi miền.
2. Chạy c: \ Windows \ System32 \ Sysprep \ Sysprep.exe trong VM.
3. Khởi động lại máy ảo.
4. Tham gia máy chủ web vào miền.

Bạn đã mất một số cài đặt trong quá trình này (tùy chọn người dùng, IP tĩnh, tạo lại chứng chỉ tự ký), nhưng bây giờ tôi đã tạo lại chúng, mọi thứ đều hoạt động bình thường.

Tôi cũng có cùng một vấn đề. Đã thử hầu hết những thứ được tìm thấy trên diễn đàn này và các diễn đàn khác.

Cuối cùng đã thành công sau khi thực hiện một chút RnD của riêng mình.

Tôi đã vào Cài đặt IIS và sau đó vào các tùy chọn quyền trang web của tôi, đã thêm Nhóm người dùng miền tổ chức của tôi.

Bây giờ vì tất cả người dùng miền của tôi đã được cấp quyền truy cập vào trang web đó, tôi không gặp phải vấn đề đó.

Hi vọng điêu nay co ich

Bạn đã thử đăng nhập bằng tiền tố tên miền của mình, ví dụ: DOMAIN \ Tên người dùng chưa? IIS 6 mặc định sử dụng máy tính chủ làm miền mặc định nên việc chỉ định miền khi đăng nhập có thể giải quyết vấn đề.

Tôi đã thử các thủ thuật cấu hình IIS ở trên và hack đăng ký vòng lặp, đồng thời tôi đã xem xét và tạo lại các quyền của nhóm ứng dụng và hàng tá thứ khác nhưng vẫn không thể thoát khỏi vòng lặp xác thực đang chạy trên máy trạm phát triển của tôi với IIS Express hoặc IIS 7.5, từ một phiên duyệt web cục bộ hoặc từ xa. Tôi đã nhận được bốn phản hồi trạng thái 401.2 và một trang trống. Trang web chính xác được triển khai cho máy chủ dàn IIS 8.5 của tôi hoạt động hoàn hảo.

Cuối cùng, tôi nhận thấy đánh dấu trong Phần phản hồi được trình duyệt hiển thị trống chứa trang mặc định để đăng nhập thành công. Tôi xác định rằng việc xử lý Lỗi tùy chỉnh cho ASP.NET và HTTP cho lỗi 401 đang ngăn chặn / can thiệp vào Xác thực Windows trên máy trạm của tôi nhưng không phải máy chủ dàn. Tôi đã dành vài giờ để giải quyết vấn đề này, nhưng ngay sau khi tôi loại bỏ xử lý tùy chỉnh chỉ cho lỗi 401, máy trạm đã trở lại bình thường. Tôi trình bày đây là một cách khác để bắn vào chân của bạn.

Xác thực Windows trong IIS7.0 hoặc IIS7.5 không hoạt động với kerberos (nhà cung cấp = Thương lượng) khi danh tính nhóm ứng dụng là ApplicationPoolIdentity Một người phải sử dụng Dịch vụ mạng hoặc tài khoản tích hợp khác. Một khả năng khác là sử dụng NTLM để Windows Authenticatio hoạt động (trong Windows Authentication, Nhà cung cấp, đặt NTLM lên trên hoặc xóa thương lượng)

chris van de vijver

Tôi đã gặp sự cố tương tự vì người dùng (Danh tính) mà tôi đã sử dụng trong nhóm ứng dụng không thấp hơn nhóm IIS_IUSRS. Đã thêm người dùng vào nhóm và mọi thứ hoạt động

Trong trường hợp của tôi, giải pháp là (ngoài các điều chỉnh được đề xuất ở trên) để khởi động lại máy tính phát triển cục bộ của tôi / người dùng / IIS (máy chủ lưu trữ). Người dùng của tôi vừa được thêm vào nhóm bảo mật AD mới được tạo - và chính sách không áp dụng cho tài khoản AD của người dùng cho đến khi tôi đăng xuất / khởi động lại máy tính của mình.

Hy vọng điều này sẽ giúp một ai đó.

Tôi gặp phải vấn đề nhắc nhở thông tin đăng nhập tương tự và đã thực hiện tìm kiếm nhanh và không có gì trên internet có thể khắc phục được sự cố này. Phải mất một thời gian để tìm ra vấn đề, một vấn đề ngớ ngẩn.

Trong IIS -> Cài đặt nâng cao -> Thông tin đăng nhập đường dẫn vật lý (trống)

Ngay sau khi tôi thêm ID máy (miền / người dùng) có quyền truy cập vào máy ảo / máy chủ, lời nhắc mật khẩu sẽ dừng lại.

Hi vọng điêu nay co ich

Tôi đã gặp sự cố này trên .net core 2 và sau khi xem qua hầu hết các đề xuất từ ​​đây, có vẻ như chúng tôi đã bỏ lỡ một cài đặt trên web.config

<aspNetCore processPath="dotnet" arguments=".\app.dll" forwardWindowsAuthToken="false" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" />

Cài đặt chính xác là về phía trước

Chỉnh sửa: tôi cũng thấy hữu ích trong bài viết Msdn sau để khắc phục sự cố.

Tôi gặp vấn đề tương tự và nó đã được giải quyết bằng cách thay đổi danh tính nhóm ứng dụng của nhóm ứng dụng mà ứng dụng web đang chạy tới NetworkService