Tại sao Internet Explorer cứ hỏi tôi về thông tin NTLM trong vùng mạng nội bộ?

23

Văn bản dài, xin lỗi vì điều đó. Tôi đang cố gắng cụ thể nhất có thể.

Tôi đang dùng Windows 7 và tôi gặp phải một hành vi Internet Explorer 8 rất bực bội. Tôi đang ở trong mạng LAN của công ty với một số máy chủ mạng nội bộ và proxy để kết nối với thế giới bên ngoài.

Trên các trang web được công nhận rõ ràng là "Mạng nội bộ cục bộ" (như được chỉ định trong thanh trạng thái IE) Tôi liên tục nhận được hộp thoại "Windows Security" yêu cầu tôi đăng nhập. Các trang này được cung cấp IIS6 với "Bảo mật Windows tích hợp" đã bật, NTFS cho phép mọi người: Đọc trên các tệp.

  • Nếu tôi nhập thông tin đăng nhập Windows của mình, trang sẽ tải tốt. Tuy nhiên , các hộp thoại sẽ xuất hiện vào lần tới, bất kể tôi có đánh dấu vào "Ghi nhớ thông tin đăng nhập của tôi" hay không. (Thông tin xác thực được lưu trữ trong "Trình quản lý thông tin xác thực" nhưng điều đó không tạo ra bất kỳ sự khác biệt nào về tần suất các hộp đăng nhập này xuất hiện.)
  • Nếu tôi nhấp vào "Hủy", một trong hai điều có thể xảy ra: Trang bị tải với một số tài nguyên bị thiếu (hình ảnh, biểu định kiểu, v.v.) hoặc hoàn toàn không tải và tôi nhận được HTTP 401.2 (Không được phép: Đăng nhập thất bại do máy chủ Cấu hình). Điều này phụ thuộc vào việc hộp đăng nhập được kích hoạt bởi chính trang đó hay tài nguyên được tham chiếu.
  • Hành vi dường như hoàn toàn thất thường, đôi khi các trang tải trơn tru, đôi khi một tài nguyên kích hoạt thông điệp đăng nhập, đôi khi không. Thậm chí chỉ cần tải lại trang có thể dẫn đến thay đổi hành vi.

Tôi đang sử dụng WPAD làm cơ chế phát hiện proxy của mình. Tất cả các máy chủ Intranet đều bỏ qua proxy trong tệp PAC.

Tôi đã kiểm tra mọi cài đặt IE mà tôi có thể nghĩ đến, đã nhập các mẫu máy chủ lưu trữ, tên máy chủ riêng lẻ, dải IP trong mọi cấu hình có thể nghĩ đến vùng "Mạng nội bộ cục bộ", đánh dấu "Bao gồm tất cả các trang web bỏ qua máy chủ proxy", bạn đặt tên cho nó. Nó sôi sùng sục xuống "đôi khi nó không hoạt động", và dần dần tôi mất trí. ;-)

Tôi biết rằng điều này có liên quan đến IE không tự động chuyển thông tin xác thực NTLM của tôi đến máy chủ web mà thay vào đó hỏi tôi. Thông thường, điều này chỉ xảy ra đối với các trang web được bảo mật NTLM không được công nhận là nằm trong vùng "Intranet".

Như đã giải thích, đây không phải là trường hợp ở đây. Đặc biệt là vì một nửa trang có thể tải hoàn hảo và không bị gián đoạn và một số tài nguyên của trang (đến từ cùng một máy chủ!) Kích hoạt thông báo đăng nhập.

Tôi đã xem http://support.microsoft.com/kb/303650 , mang lại ấn tượng mô tả vấn đề, nhưng dường như không có gì hoạt động. Và thành thật mà nói, tôi không chắc chắn nếu "chỉnh sửa sổ đăng ký" là giải pháp phù hợp cho loại vấn đề này. Rốt cuộc, tôi không phải là người duy nhất trên thế giới có cấu hình IE / intranet / IIS.

Tôi thua lỗ, ai đó có thể cho tôi một gợi ý?

windows-7  internet-explorer-8  authentication  intranet  ntlm 
Tomalak
nguồn
Xin lỗi, tôi không thể cưỡng lại: Vậy thưa thuyền trưởng, chúng ta sẽ nhìn chằm chằm vào nhau trong khu vực trung lập bao lâu?!
allquixotic

Câu trả lời:

11

Lần duy nhất chúng ta thấy điều này là nếu mật khẩu của người dùng đã hết hạn. Khi chúng tôi thấy điều này, chúng tôi sẽ khiến người dùng thay đổi mật khẩu của họ và để có biện pháp tốt hãy đăng xuất và đăng nhập lại bằng thông tin đăng nhập mới. Trang web Intranet không còn yêu cầu thông tin đăng nhập.

Làm cho rất nhiều cuộc gọi hỗ trợ nhanh chóng ...

Ngoài ra, hãy đảm bảo vùng Intranet cục bộ được thiết lập thành Đăng nhập tự động với tên người dùng và mật khẩu hiện tại. Bạn có thể làm điều này bằng cách:

  1. Công cụ
  2. Tùy chọn Internet
  3. Nhấp chuột trái vào tab Bảo mật
  4. Nhấp chuột trái vào cấp độ tùy chỉnh
  5. Cuộn xuống Xác thực người dùng
  6. Trong Đăng nhập, chọn Đăng nhập tự động với tên người dùng và mật khẩu hiện tại
Windos
nguồn
Không, mật khẩu vẫn ổn. Đó là điều đầu tiên tôi kiểm tra, một cách tự nhiên. Ngoài ra, sẽ không có tải trang một phần và hành vi "đôi khi nó hoạt động, đôi khi không" nếu mật khẩu đã hết hạn.
Tomalak
2

Có lẽ một số bắt tay 4 phần đang diễn ra với ntlm đang bị mất trong khi nói chuyện với proxy? Đó là, nếu tức là đang hỏi proxy về các trang mạng nội bộ ...

Tôi biết bạn đã nói rằng bạn đã thử đặt các trang web vào vùng mạng nội bộ và đặt chúng để bỏ qua proxy. Mặc dù chỉ tò mò, điều gì xảy ra nếu bạn tắt hoàn toàn cấu hình proxy trong trình duyệt? Không có nhiều cửa sổ bật lên, phải không?

noobish
nguồn
Các trang web mạng nội bộ không được tải thông qua proxy. Nhưng tôi có thể cho nó một shot.
Tomalak
1
Sau khi tắt proxy hoàn toàn và thêm thủ công FQDN Intranet của chúng tôi vào vùng "Intranet" trong IE, nó dường như hoạt động ATM. Tôi đã không thử nghiệm lâu, vì vậy tôi không thể hoàn toàn chắc chắn. Có lẽ đó là một số đặc thù của WPAD? Rốt cuộc, tệp PAC trả về "TRỰC TIẾP" cho FQDN này cũng như Tiết
kiệm
Có vẻ như bạn đã tìm thấy câu trả lời của mình nếu vô hiệu hóa proxy hoạt động. Tôi sẽ đề nghị dùng thử Firefox và thêm tên của trang vào cài đặt ntlm trong trang about: config và xem nó có hoạt động không.
Marlon
0

Hãy thử tìm kiếm dưới các công cụ hành chính dưới bảng điều khiển; mở trình hướng dẫn .NET 1.1 và điều chỉnh bảo mật .NET thành "Tin cậy hoàn toàn" cho mạng nội bộ.

TheDudeAdides
nguồn
Không có .NET liên quan đến tất cả trong các trang trong câu hỏi. Nó không quan trọng những gì tôi cấu hình ở đó.
Tomalak
0

Bạn đã kiểm tra / thay đổi 'Bảo mật mạng: Cấp độ xác thực của Trình quản lý LAN' trong 'Bảng điều khiển / Công cụ quản trị / Chính sách bảo mật cục bộ / Chính sách cục bộ / Tùy chọn bảo mật'? ( Q823659 )

Chúng tôi điều hành một nhóm làm việc ở đây (không có máy chủ windows) với mạng nội bộ cục bộ và sử dụng rộng rãi MySQL ... Cho đến khi chúng tôi thay đổi (hoặc bật), khóa / tùy chọn ở trên dường như không hoạt động 100%, đây không phải là hoạt động chỉ là một vấn đề Windows 7. Chúng tôi cũng đã vô hiệu hóa các tùy chọn 'Yêu cầu mã hóa 128 bit' trên 2 khóa NTLM bên dưới điều này trên PC của Windows 7 ... Vẫn gặp sự cố cơ sở dữ liệu không thường xuyên nhưng SQL vẫn ổn vì chúng tôi đã làm tốt.

HaydnWVN
nguồn
Thật không may, điều này là không có gì tôi có thể thay đổi. GPO tên miền đang kiểm soát cài đặt này. Ngoài ra, điều này không giải thích được hành vi thất thường, tôi hy vọng nó sẽ thất bại mọi lúc khi cài đặt xác thực cấp thấp bị sai. : - \
Tomalak
0

Vì bạn đang ở trên một miền và vấn đề là bất ngờ, tôi luôn tự hỏi hai điều ...

  1. Liệu hành vi tương tự xảy ra cho người dùng khác?
  2. Có hành vi tương tự xảy ra cho một người dùng tên miền khác trên máy của bạn không?
Paul D'Ambra
nguồn
Đến 1 và 2: Có. Rất khó hiểu.
Tomalak
Điều đó khiến cho cảm giác như GPO hoặc cấu hình IIS bị đổ lỗi ...
Paul D'Ambra
0

Bạn đã kiểm tra đề xuất này trên trang web trả lời MS ? (có lẽ bạn đã làm ...)

Frank Meulenaar
nguồn
Tôi sẽ, nhưng liên kết đó bị hỏng.
Tomalak
Tôi xin lỗi, liên kết là cố định.
Frank Meulenaar
Hừm. Không có con xúc xắc. Tôi cũng không sử dụng trình quản lý thông tin xác thực cho một cái gì đó cần được xác thực minh bạch bằng tài khoản của riêng tôi.
Tomalak
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.