Mengapa Internet Explorer terus meminta saya untuk kredensial NTLM di zona intranet?


23

Teks panjang, maaf untuk itu. Saya mencoba untuk sespesifik mungkin.

Saya menggunakan Windows 7 dan saya mengalami perilaku Internet Explorer 8 yang sangat membuat frustrasi. Saya berada di LAN perusahaan dengan beberapa server intranet dan proxy untuk terhubung dengan dunia luar.

Di situs yang jelas-jelas dikenal sebagai "Intranet Lokal" (seperti yang ditunjukkan pada bilah status IE), saya terus mendapatkan kotak dialog "Keamanan Windows" yang meminta saya untuk masuk. Halaman-halaman ini disajikan dengan IIS6 dengan "Keamanan Windows Terpadu" diaktifkan, NTFS mengizinkan Semua Orang: Baca sendiri di file.

  • Jika saya memasukkan kredensial Windows saya, halaman dimuat dengan baik. Namun , kotak dialog akan muncul di waktu berikutnya, terlepas dari apakah saya mencentang "Ingat kredensial saya" atau tidak. (Kredensial disimpan di "Manajer Kredensial" tetapi itu tidak membuat perbedaan tentang seberapa sering kotak-kotak login ini muncul.)
  • Jika saya mengklik "Batalkan", salah satu dari dua hal dapat terjadi: Entah halaman memuat dengan sumber daya tertentu hilang (gambar, styleheets, dll), atau tidak memuat sama sekali dan saya mendapatkan HTTP 401.2 (Tidak Diotorisasi: Logon Gagal Karena Server Konfigurasi). Ini tergantung pada apakah kotak masuk dipicu oleh halaman itu sendiri, atau sumber daya yang dirujuk.
  • Perilaku ini tampaknya benar-benar tidak menentu, terkadang halaman memuat dengan lancar, kadang-kadang satu sumber daya memicu pesan masuk, kadang-kadang tidak. Bahkan dengan memuat ulang halaman saja dapat mengakibatkan perubahan perilaku.

Saya menggunakan WPAD sebagai mekanisme deteksi proxy saya. Semua host Intranet melakukan bypass proxy di file PAC.

Saya telah memeriksa setiap pengaturan IE yang dapat saya pikirkan, memasukkan pola host, nama host individual, rentang IP di setiap konfigurasi yang masuk akal ke zona "Local Intranet", centang "Sertakan semua situs yang mem-bypass server proxy", sebut saja. Itu bermuara pada "kadang-kadang itu tidak berhasil", dan perlahan-lahan saya kehilangan akal. ;-)

Saya sadar bahwa ini terkait dengan IE yang tidak secara otomatis meneruskan kredensial NTLM saya ke server web tetapi meminta saya sebagai gantinya. Biasanya ini hanya akan terjadi untuk situs yang diamankan NTLM yang tidak diakui berada di zona "Intranet".

Sebagaimana dijelaskan, ini tidak terjadi di sini. Terutama karena setengah halaman dapat dimuat dengan sempurna dan tanpa gangguan dan beberapa sumber halaman (berasal dari server yang sama!) Memicu pesan masuk.

Saya telah melihat http://support.microsoft.com/kb/303650 , yang memberi kesan menggambarkan masalah, tetapi tampaknya tidak ada yang berhasil. Dan terus terang, saya tidak yakin apakah "mengedit registri secara manual" adalah solusi yang tepat untuk masalah seperti ini. Saya bukan satu-satunya orang di dunia dengan konfigurasi IE / intranet / IIS.

Saya bingung, bisakah seseorang memberi saya petunjuk?


Maaf, saya tidak bisa menahan: Jadi, Kapten, berapa lama kita akan saling menatap melintasi zona netral ?!
allquixotic

Jawaban:


11

Satu-satunya waktu kita melihat ini adalah jika kata sandi pengguna telah kedaluwarsa. Ketika kami melihat ini, kami meminta pengguna untuk mengubah kata sandi mereka, dan untuk mengukur logout yang baik dan kembali dengan kredensial baru. Situs Intranet tidak lagi meminta kredensial.

Melakukan banyak panggilan dukungan cepat ...

Juga, pastikan zona Intranet Lokal diatur ke logon Otomatis dengan nama pengguna dan kata sandi saat ini. Anda dapat melakukannya dengan:

  1. Alat
  2. Pilihan internet
  3. Klik kiri pada tab Keamanan
  4. Klik kiri pada tingkat Kustom
  5. Gulir ke bawah ke Otentikasi Pengguna
  6. Di bawah Logon, pilih Logon otomatis dengan nama pengguna dan kata sandi saat ini

Tidak, kata sandi baik-baik saja. Itu adalah hal pertama yang saya periksa, secara alami. Selain itu, tidak akan ada sebagian halaman dimuat dan perilaku "kadang-kadang berfungsi, kadang tidak" tidak menentu jika kata sandi telah kedaluwarsa.
Tomalak

2

Mungkin beberapa jabat tangan 4 bagian yang terjadi dengan ntlm hilang yaitu berbicara dengan proxy? Yaitu, jika misalnya bertanya kepada proxy tentang laman intranet ...

Saya tahu Anda mengatakan Anda telah mencoba menempatkan situs di zona intranet dan mengaturnya untuk mem-bypass proxy. Hanya ingin tahu, apa yang terjadi jika Anda menonaktifkan konfigurasi proxy di browser sama sekali? Tidak ada lagi pop-up, kan?


Situs intranet tidak dimuat melalui proxy. Tapi aku bisa mencobanya.
Tomalak

1
Setelah mematikan proxy sama sekali dan secara manual menambahkan FQDN Intranet kami ke zona "Intranet" di IE, tampaknya berfungsi ATM. Saya belum diuji lama, jadi saya tidak bisa benar-benar yakin. Mungkin itu beberapa keanehan WPAD? Setelah semua, file PAC mengembalikan "LANGSUNG" untuk FQDN ini juga ...
Tomalak

Sepertinya Anda menemukan jawaban Anda jika menonaktifkan proxy berfungsi. Saya akan menyarankan mencoba Firefox dan menambahkan nama situs ke pengaturan ntlm di halaman about: config dan lihat apakah itu berfungsi.
Marlon

0

Coba cari di bawah alat administratif di bawah panel kontrol; buka penyihir .NET 1.1 dan sesuaikan keamanan .NET ke "Kepercayaan Penuh" untuk intranet.


Tidak ada. NET yang terlibat sama sekali di halaman yang dimaksud. Tidak masalah apa yang saya konfigurasikan di sana.
Tomalak

0

Sudahkah Anda memeriksa / mengubah 'Keamanan jaringan: Level otentikasi Manajer LAN' di 'Panel Kontrol / Alat Administratif / Kebijakan Keamanan Lokal / Kebijakan Lokal / Opsi Keamanan'? ( Q823659 )

Kami menjalankan workgroup di sini (tidak ada windows server) dengan intranet lokal dan penggunaan MySQL yang luas ... Sampai kami mengubah (atau mengaktifkan) kunci / opsi di atas sepertinya tidak berfungsi 100% dari waktu, ini bukan hanya masalah Windows 7. Kami juga telah menonaktifkan opsi 'Memerlukan enkripsi 128-bit' pada 2 kunci NTLM di bawah ini pada PC Windows 7 ... Masih mendapatkan masalah database sesekali tetapi SQL sudah baik sejak kami melakukannya.


Sayangnya, ini bukan apa-apa yang bisa saya ubah. Domain GPO mengendalikan pengaturan ini. Juga ini tidak menjelaskan perilaku yang tidak menentu, saya akan berharap itu gagal sepanjang waktu ketika pengaturan otentikasi tingkat rendah salah. : - \
Tomalak

0

Karena Anda menggunakan domain dan masalahnya tidak terduga, saya selalu bertanya-tanya dua hal ...

  1. Apakah perilaku yang sama terjadi untuk pengguna lain?
  2. Apakah perilaku yang sama terjadi untuk pengguna domain yang berbeda di mesin Anda?

Ke 1 dan 2: Ya. Sangat membingungkan.
Tomalak

Itu membuatnya merasa seperti GPO atau konfigurasi IIS yang harus disalahkan ...
Paul D'Ambra

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.