題 為什麼Internet Explorer一直要求我在Intranet區域中獲取NTLM憑據?


長文,對不起。我想盡可能具體。

我在Windows 7上,我遇到了令人沮喪的Internet Explorer 8行為。我在一個公司局域網中,有一些內聯網服務器和一個用於連接外部世界的代理。

在明確被識別為“本地Intranet”的網站上(如IE狀態欄中所示),我不斷收到要求我登錄的“Windows安全”對話框。這些頁面通過“集成Windows安全”的IIS6提供啟用後,NTFS允許Everyone:讀取文件本身。

  • 如果我輸入我的Windows憑據,頁面加載正常。 然而,對話框將在下次彈出,無論我是否勾選“記住我的憑據”。 (憑據存儲在“憑據管理器”中,但這些登錄框的出現頻率沒有任何區別。)
  • 如果我單擊“取消”,可能會發生以下兩種情況之一:頁面加載缺少某些資源(圖像,樣式表等),或者根本沒有加載,我得到HTTP 401.2(未授權:由於服務器登錄失敗)組態)。這取決於登錄框是由頁面本身還是由引用的資源觸發的。
  • 行為似乎完全不穩定,有時頁面加載順利,有時一個資源觸發登錄消息,有時則不會。即使只是重新加載頁面也可能導致行為改變。

我正在使用WPAD作為我的代理檢測機制。所有Intranet主機都繞過PAC文件中的代理。

我已經檢查了我能想到的每個IE設置,輸入主機模式,單個主機名,每個可想到的配置中的IP範圍到“本地Intranet”區域,勾選“包括繞過代理服務器的所有站點”,您將其命名。它歸結為“有時它只是不起作用”,慢慢地我失去了理智。 ;-)

我知道這與IE沒有自動將我的NTLM憑證傳遞給網絡服務器有關,而是要求我。通常,這應該僅針對未被識別為位於“Intranet”區域的NTLM安全站點。

如上所述,這不是這種情況。特別是因為頁面的一半可以完美地加載而不會中斷和一些頁面的資源 (來自同一台服務器!) 觸發登錄消息。

我看了看 http://support.microsoft.com/kb/303650,給人的印像是描述問題,但似乎沒有任何效果。坦率地說,我不確定“手動編輯註冊表”是否是解決此類問題的正確方法。畢竟,我不是世界上唯一擁有IE / Intranet / IIS配置的人。

我不知所措,有人可以給我一個暗示嗎?


22
2018-06-02 13:21


起源


對不起,我無法抗拒:所以,船長,我們要在中立區間盯著對方多長時間?! - Horn OK Please


答案:


我們唯一一次看到這是因為用戶的密碼已過期。當我們看到這個時,我們會讓用戶更改他們的密碼,並且為了更好的措施註銷並重新使用新的憑據。 Intranet站點不再請求憑據。

做了很多快速支持電話......

此外,請確保將“本地Intranet”區域設置為“使用當前用戶名和密碼自動登錄”。你可以這樣做:

  1. 工具
  2. 互聯網選項
  3. 左鍵單擊“安全”選項卡
  4. 左鍵單擊自定義級別
  5. 向下滾動到用戶身份驗證
  6. 在“登錄”下,選擇“使用當前用戶名和密碼自動登錄”

11
2017-07-19 03:33



不,密碼很好。那是我自然檢查的第一件事。此外,如果密碼過期,將不會有部分頁面加載和不穩定的“有時它可以工作,有時它不會”行為。 - Tomalak
這為我修好了。謝謝! - nathanbedford


也許正在進行的4部分握手中的一些 NTLM 在與代理交談時迷失了嗎?也就是說,如果ie要求代理關於內部網頁...

我知道你說你已經嘗試將網站放在Intranet區域並將它們設置為繞過代理。但好奇的是,如果你在瀏覽器中完全禁用代理配置會怎麼樣?沒有更多的彈出窗口,對吧?


1
2017-08-22 13:42



Intranet站點未通過代理加載。但我可以試一試。 - Tomalak
在完全關閉代理並手動將我們的Intranet FQDN添加到IE中的“Intranet”區域後,它似乎工作在ATM上。我沒有經過長時間的測試,所以我不能完全確定。也許這是一些WPAD的特點?畢竟,PAC文件也為此FQDN返回“DIRECT”... - Tomalak
如果禁用代理工作,您似乎找到了答案。我打算建議嘗試Firefox並將網站的名稱添加到about:config頁面中的ntlm設置,看看是否有效。 - Marlon


嘗試在控制面板下查看管理工具;打開.NET 1.1嚮導並將.NET安全性調整為Intranet的“完全信任”。


0
2018-06-02 13:46



沒有涉及.NET 一點都不 在相關頁面中。我在那裡配置什麼都沒關係。 - Tomalak


您是否在“控制面板/管理工具/本地安全策略/本地策略/安全選項”中檢查/更改了“網絡安全:LAN Manager身份驗證級別”? (Q823659

我們在這裡運行一個工作組(沒有Windows服務器),使用本地內部網並廣泛使用MySQL ...直到我們改變(或啟用)上面的密鑰/選項,似乎沒有任何東西在100%的時間內都沒有工作,這不是只是一個Windows 7問題。我們還在Windows 7 PC上的2個NTLM鍵上禁用了“需要128位加密”選項......仍然偶爾會出現數據庫問題,但SQL自從我們做到以來一直很好。


0
2017-10-25 08:17



不幸的是,這是我無法改變的。域GPO正在控制此設置。這也不能解釋不穩定的行為,我希望它在低級別身份驗證設置錯誤時始終會失敗。 : - \ - Tomalak


既然你在一個領域而且問題出乎意料,我總是想知道兩件事......

  1. 其他用戶是否會出現相同的行為?
  2. 您的計算機上的其他域用戶是否會出現相同的行為?

0
2017-10-29 13:01



到1和2:是的。非常令人費解。 - Tomalak
這讓人覺得GPO或IIS配置應該歸咎於...... - Paul D'Ambra


你有沒有檢查過這個建議? MS答案網站 ? (可能你做過......)


0
2017-10-29 20:24



我願意,但那個鏈接壞了。 - Tomalak
對不起,鏈接是固定的。 - Frank Meulenaar
嗯。沒有骰子。我也不願意使用憑證管理器 透明 用我自己的帳戶驗證。 - Tomalak