Все было хорошо, когда мы уехали в пятницу. После выходных все пользователи получают 401 попытку аутентификации на веб-сайте. Наш веб-сервер - IIS 7.5 в Windows Server 2008 R2. Настройки SSL сайта: Требуется SSL и требуется сертификат клиента. Параметры проверки подлинности на уровне веб-сервера отключены, за исключением проверки подлинности с помощью сертификата клиента Active Directory. На уровне сайта все параметры аутентификации имеют значение «Отключено». Правила аутентификации имеют единственную запись, которая разрешает указанную группу пользователей webUser.
Используя Редактор конфигурации, я настроил многие приложения ToToneCertificateMappings для каждого пользователя, используя свой CN и эмитента из его смарт-карты, DoD CAC. Они отображаются на локального пользователя, который является членом группы webUser.
Когда пользователь заходит на сайт, он получает сообщение «401 - Несанкционировано: доступ запрещен из-за неверных учетных данных».
«У вас нет разрешения на просмотр этого каталога или страницы с использованием предоставленных вами учетных данных.»
В журнале событий я обнаружил ошибки, но они уходят задолго до того, как у нас возникли проблемы. Это меня смущает, потому что служба NetLogon работает.
Информация об отказе:
Причина сбоя: компонент NetLogon не активен.
Статус: 0xc0000192
Дополнительный статус: 0x80090325
Я пытался повысить привилегию учетной записи локального пользователя до администратора, но без изменений. Я подтвердил, что сертификаты проверяются с использованием OCSD и проверяются с хорошими и отозванными сертификатами. Все сертификаты все еще действительны.
Несмотря на то, что все рабочие станции обновлялись в выходные, никто не менял сервер. Я полагаю, что первопричина истекла.
Как узнать, является ли сертификат, соответствующий учетной записи локального пользователя, проблемой, или проблема локальной учетной записи пользователя?