Strano IIS con Windows Authentication + IE problema

Ho un sito web in esecuzione su IIS e utilizzando l'authentication di Windows. Tutti gli utenti configurati per accedere al sito formano un dominio AD (non gli utenti locali). Nelle properties; di un sito web, ho impostato di utilizzare il dominio AD come regno.

Ora, quando si utilizza Firefox, Safari o Chrome – Tutto va bene. Quando l'utente cerca di aprire il sito, ottiene la casella di accesso. entra semplicemente "username" e "password" (facciamo fingere che sia un login effettivo e una password: P) ed entra nel sito.

  • Chrome riferisce ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY di connettersi al server web locale su HTTPS
  • Misurazione dei tempi di accesso dell'utente di Windows 7
  • Motivi per la mancanza di informazioni IP nell'ultima output su pts login?
  • Cosa devo sapere quando crei un command non shell per il login di un utente?
  • Schermata nera quando si connette tramite RDP a un server Win 2003
  • Windows 2003 Server IIS SMTP Invio di SPAM
  • Tuttavia, quando si utilizza IE, le cose diventano brutte. Quando l'utente cerca di aprire il sito, ottiene la casella di accesso. L'utente inserisce nuovamente "username" e "password", ma quelli vengono rifiutati! E quando viene visualizzata la casella di login di secondo tempo, il nome utente è compilato come "web-server-domain-name \ username" che è errato, perché il nome del dominio web-server non è il dominio in cui tutti gli utenti risiedono (è "ad-dominio"). Ho trascorso giorni a cercare di capire cosa sta succedendo … Nota, che se inserisco manualmente "username di dominio di dominio" – mi accetto nel sito senza problemi. Quindi, la mia ipotesi è che IE invia un nome utente errato se il dominio non è specificato.

    Comunque, IE è l'unico browser che triggers questo comportmento!

    È ansible eseguire una correzione sul server? Forse è ansible in qualche modo mappare automaticamente gli utenti agli utenti AD?

    Se non è solvabile sul lato server – c'è una correzione sul lato client per questo?

    Grazie.

    PS: sono più di un programmatore che di un amministratore di sistema, quindi i server di progettazione non sono il lato forte della mia …: P

    UPDATE :

    @Evan: Sì, è abilitata anche l'authentication Digest per i server di dominio di Windows.

    @Eric: la versione IIS è 6.0. I methods di authentication abilitati sono: Integrated and digest – tutti gli altri methods sono disabilitati. Per quanto riguarda il log di sicurezza. L'ho guardato quando faccio il login "username" e "password" in Chrome / Firefox e quando faccio login da "ad-domain \ username" e "password" da IE – i messaggi di registro generati sono uguali (non vedo alcuna differenza, comunque). Quando si inserisce "username" e "password" non vedo alcun errore nel registro di protezione (o altro), quindi non riesco a capire quale metodo sta cercando di utilizzare.

    UPDATE 2 :

    Come suggerito da Eric nei commenti – ho giocato con Fiddler … Mentre giocavo con esso, ho notato che quando "nome utente" e "password" vengono inseriti in FF e IE – il valore di intestazione "Autorizzazione" (cifrato) inviato da IE è più lungo (quasi due volte) di quello inviato da FF.

    Ho provato a distriggersre l'authentication integrata di Windows e lascio solo il Digest abilitato – che ha risolto il problema (il che significa che IE ha usato il regno giusto come altri browser), ma ha provocato altre problematiche con il mio sito, perché con Digest – il server non funziona (che causa problemi, quando si connette al database ecc.).

    Qualche idea?

    2 Solutions collect form web for “Strano IIS con Windows Authentication + IE problema”

    Ciò può accadere se il server Windows (che esegue IIS 6.0) ei client Windows (utilizzando IE per accedere al tuo sito web) fanno parte di una networking locale (LAN).

    È inoltre importnte che sia abilitata l'authentication "Integrated Windows" come è necessario utilizzare e validationre gli utenti da un dominio AD.

    Chiamiamo il nome di questo dominio AD ad_domain_name .

    In questo scenario (LAN + auth integrata), il process di authentication tra i client Windows e il server utilizza la protezione del dominio AD per progettazione.

    È ansible verificare se questo è il caso di provare questo (nel client Windows):

    1. Chiudere tutte le windows IE
    2. Apri IE
    3. Accedi al tuo sito web e ottieni la casella di accesso
    4. Nel field "username" scrivi: ad_domain_name\username
    5. Nel file "password" scrivere la password di questo utente

    Questa procedura dovrebbe consentire l'accesso al primo tentativo.

    Ho osservato questo aspetto molte volte e di solito tutto questo è considerato dalla gente di Microsoft come "funzionalità di protezione desiderata" in caso di networking locale. E di solito è stato trattato come un problema non come la procedura di login può essere fatta comunque.

    Non so se esiste una configuration IIS (e / o Windows server) che possa evitare tutto questo confusione, ma sono curioso come sapere.

    Di solito risolvo questo, assicurandomi che il sito cada nella zona Intranet in IE, che farà authentication prompt-less.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.