Internet Explorer neden intranet bölgesindeki NTLM kimlik bilgilerini soruyor?


22

Uzun metin, bunun için üzgünüm. Mümkün olduğunca spesifik olmaya çalışıyorum.

Windows 7'deyim ve çok sinir bozucu bir Internet Explorer 8 davranışı yaşıyorum. Bazı intranet sunucuları ve dış dünyayla bağlantı kurmak için bir proxy olan bir şirket LAN'dayım.

"Yerel İntranet" olarak açıkça tanınan sitelerde (IE durum çubuğunda belirtildiği gibi) Oturum açmamı isteyen "Windows Güvenliği" iletişim kutularını almaya devam ediyorum. Etkinleştirildiğinde, NTFS Herkes'e izin verir: Dosyaları kendi oku.

  • Windows kimlik bilgilerimi girersem, sayfa düzgün yüklenir. ancak "Kimlik bilgilerimi hatırla" seçeneğini işaretlesem de, iletişim kutuları bir dahaki sefere açılır. (Kimlik bilgileri "Kimlik Bilgileri Yöneticisi" nde saklanır, ancak bu giriş kutuları ne sıklıkta göründüğü konusunda herhangi bir fark yaratmaz.)
  • "İptal" i tıklatırsam, iki şeyden biri olabilir: Sayfa belirli kaynakların eksik olduğu (resimler, stil sayfaları, vb.) İle yüklenir veya hiç yüklenmez ve HTTP 401.2 (Yetkisiz: Oturum Açma Sunucusu Nedeniyle Başarısız Oldu) Yapılandırma). Bu, oturum açma kutusunun sayfanın kendisi tarafından mı yoksa başvurulan bir kaynak tarafından mı tetiklendiğine bağlıdır.
  • Davranış tamamen değişken görünüyor, bazen sayfalar sorunsuz yükleniyor, bazen bir kaynak oturum açma iletisini tetikliyor, bazen vermiyor. Sayfayı yeniden yüklemek bile değişmiş davranışa neden olabilir.

WPAD'ı proxy algılama mekanizmam olarak kullanıyorum. Tüm Intranet ana bilgisayarları, PAC dosyasındaki proxy'yi atlar.

Düşünebildiğim her IE ayarını kontrol ettim, girilen ana bilgisayar kalıplarını, tek tek ana bilgisayar adlarını, her düşünceli yapılandırmada IP aralıklarını "Yerel İntranet" bölgesine, "Proxy sunucusunu atlayan tüm siteleri dahil et" seçeneğini işaretledim. "Bazen işe yaramıyor" 'a kadar kaynıyor ve yavaş yavaş aklımı kaybediyorum. ;-)

Bunun IE ile ilgili olduğunun farkındayım, NTLM bilgilerimi otomatik olarak web sunucusuna iletmemek yerine bana sormak. Genellikle bu, yalnızca "İntranet" bölgesinde kabul edilmeyen NTLM güvenlikli siteler için yapılmalıdır.

Açıklandığı gibi, bu durum böyle değil. Özellikle bir sayfanın yarısı mükemmel bir şekilde ve kesintisiz olarak yüklenebildiğinden ve bazı sayfaların kaynaklarından (aynı sunucudan geliyor!) giriş mesajını tetikleyin.

Baktım http://support.microsoft.com/kb/303650 Bu, problemin tanımlanması izlenimini veriyor, ama hiçbir şey işe yaramadı. Ve açıkçası, "kayıt defterini el ile düzenleme" nin bu tür bir sorun için doğru çözüm olup olmadığından emin değilim. Ne de olsa dünyada IE / intranet / IIS yapılandırmasına sahip tek kişi ben değilim.

Kayboldum, biri bana bir ipucu verebilir mi?


Üzgünüm, karşı koyamadım: Peki, Kaptan, tarafsız bölgede ne kadar dayanacağız ?!
allquixotic

Yanıtlar:


11

Bunu gördüğümüz tek zaman, bir kullanıcının şifresinin süresinin dolmuş olması. Bunu gördüğümüzde, kullanıcının parolasını değiştirmesini ve iyi bir önlem alması için yeni kimlik bilgileriyle oturum açıp tekrar girmesini sağlıyoruz. İntranet sitesi artık kimlik bilgisi istemiyor.

Birçok hızlı destek görüşmesi yapar ...

Ayrıca, Yerel İntranet bölgesinin geçerli kullanıcı adı ve şifreyle Otomatik oturum açma olarak ayarlandığından emin olun. Bunu yaparak yapabilirsiniz:

  1. Araçlar
  2. İnternet Seçenekleri
  3. Güvenlik sekmesine sol tıklayın
  4. Özel seviyede sol tıklama
  5. Kullanıcı Doğrulama'ya doğru aşağı kaydır
  6. Oturum Aç altında, Geçerli kullanıcı adı ve şifreyle Otomatik oturum aç'ı seçin.

Hayır, şifreler iyi. Doğal olarak ilk kontrol ettiğim şey buydu. Ayrıca, kısmi sayfa yükleme ve şifre zaman aşımına uğrarsa "bazen çalışır, bazen olmaz" davranışı olmaz.
Tomalak

1

Belki de 4 bölümlü el sıkışmasının bazıları ntlm yani proxy ile konuşurken kayboluyor mu? Yani, eğer proxy'ye intranet sayfalarını soruyorsa ...

Siteleri intranet bölgesine yerleştirmeyi ve proxy'yi atlamaları için ayarlamayı denediğinizi söylediğinizi biliyorum. Sadece merak ediyorum, tarayıcıdaki proxy yapılandırmasını tamamen devre dışı bırakırsanız ne olur? Artık pop-up yok, değil mi?


İntranet siteleri proxy üzerinden yüklenmiyor. Ama bir şans verebilirim.
Tomalak

Proxy'yi tamamen kapattıktan ve Intranet FQDN'imizi IE'deki "Intranet" bölgesine manuel olarak ekledikten sonra, ATM çalışıyor gibi görünüyor. Uzun süredir test etmediğimden emin olamadım. Belki de bazı WPAD özellikleri? Sonuçta, PAC dosyası bu FQDN için de "DIRECT" değerini döndürür…
Tomalak

Proxy'yi devre dışı bırakmak işe yaradıysa cevabınızı bulmuş gibisiniz. Firefox’u denemeyi ve sitenin adını about: config sayfasındaki ntlm ayarına eklemenizi önerecektim ve çalışıp çalışmadığını göreceğim.
Marlon

0

Kontrol panelinin altındaki yönetimsel araçlara bakmayı deneyin; .NET 1.1 sihirbazlarını açın ve .NET güvenliğini intranet için "Full Trust" olarak ayarlayın.


İlgili bir .NET yok hiç söz konusu sayfalarda. Orada ne yapılandırdığım önemli değil.
Tomalak

0

'Denetim Masası / Yönetimsel Araçlar / Yerel Güvenlik Politikası / Yerel İlkeler / Güvenlik Seçenekleri' bölümündeki 'Ağ güvenliği: LAN Yöneticisi kimlik doğrulama seviyesini' kontrol ettiniz / değiştirdiniz mi? ( Q823659 )

Burada yerel bir intranet ve geniş MySQL kullanımı olan bir çalışma grubu (windows server yok) kullanıyoruz ... Yukarıdaki anahtar / seçenek değiştirilene (veya etkin olana) kadar hiçbir şey zamanın% 100'ünde işe yaramaz gibi görünmüyordu. Sadece bir Windows 7 sorunu. Ayrıca Windows 7 PC'lerde bunun altındaki 2 NTLM anahtarında '128 bit şifreleme iste' seçeneklerini devre dışı bıraktık ... Yine de zaman zaman veritabanı sorunları ile karşılaşıyoruz, ancak SQL bizden beri iyi durumda.


Maalesef, bu değiştirebileceğim bir şey değil. Etki alanı GPO'ları bu ayarı kontrol ediyor. Ayrıca bu hatalı davranışları açıklamıyor, düşük seviyeli kimlik doğrulama ayarları yanlış olduğunda her zaman başarısız olmasını bekliyorum. : - \
Tomalak

0

Bir etki alanında olduğunuz ve sorun beklenmedik olduğu için her zaman iki şeyi merak ediyorum ...

  1. Aynı davranış diğer kullanıcılar için de oluyor mu?
  2. Aynı davranış, makinenizdeki farklı bir etki alanı kullanıcısı için de geçerli mi?

1 ve 2'ye: Evet. Çok şaşırtıcı.
Tomalak

Bu GPO ya da IIS yapılandırma gibi hissediyorum yapar suçlu ...
Paul D'Ambra

0

Bu önerileri kontrol ettiniz mi MS cevap sitesi ? (muhtemelen yaptın ...)


Yapardım, ama bu bağlantı koptu.
Tomalak

Üzgünüm, bağlantı düzeltildi.
Frank Meulenaar

Hm. Nafile. Ayrıca, kimlik bilgisi yöneticisini olması gereken bir şey için kullanmamayı tercih ederim. şeffaf kendi hesabımla kimlik doğrulama.
Tomalak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.