Сводка
Ошибка HTTP 401.2 - Неавторизовано Вы не авторизованы для просмотра этой страницы из-за неверных заголовков аутентификации.
Некоторые новые пользователи на моем веб-сайте не могут войти в систему из-за 401.2 и 401.1ошибки.Другие новые пользователи подключаются без проблем.У пользователей есть смарт-карта DoD CAC, и они действительны для входа на свои рабочие станции.Все сертификаты указывают на один и тот же корневой орган, DOD Root 3, но имеют разные промежуточные сертификаты, от DOD CA 38 до DOD CA 51. Пользователи с промежуточными сертификатами с номером 48 или выше получают ошибку 401.2 и не могут войти в систему.
Я предполагаю, что проблема в том, что более поздние промежуточные сертификаты не установлены или настроены неправильно.Я установил самые последние сертификаты из центра сертификации с помощью их инструмента InstallRoot.exe.MMC подтвердил, что промежуточные сертификаты находятся в сертификатах (локальный компьютер) -> промежуточные центры сертификации -> сертификаты.
Сервер использует инструмент Axway для проверки сертификатов.В журнале событий приложений для этой попытки было указано «Состояние отзыва: исправно», поэтому я предполагаю, что мой OCSP и его кэш настроены правильно.
После каждой ошибки 401.2 возникает ошибка 401.1.Состояние sc-win32 для ошибки 401.1 - -1073741715.Это число значимо?
Подробное описание конфигурации:
Я использую IIS 7.5 в Windows Server 2008 R2.Я настроил веб-сервер и веб-сайт так, чтобы при открытии веб-сайта требовалась смарт-карта.С этой целью я настроил iisClientCertificateMappingAuthentication со многими инструментами ToOneMappings.Я настроил трех новых пользователей таким же образом.Два из трех новых пользователей не могут войти в систему и получить как 401.2 (sc-status = 401 sc-substatus = 2 sc-win32-status = 5), так и «Не удается перейти на эту страницу» с кодом ошибки: INET_E_DOWNLOAD_FAILURE.
Ошибка в клиентском браузере
Пользователи получают это на своих рабочих станциях и рабочих станциях людей, которые могут успешно войти в систему.По этой причине это не может быть проблемой браузера клиента.
Невозможно перейти на эту страницу
• Убедитесь, что веб-адрес https://MyWebSite правильный
• Искать этот сайт на Bing
• Обновитьстраница
Дополнительная информация Подключение к веб-сайту было сброшено.Код ошибки: INET_E_DOWNLOAD_FAILURE
Записи журнала IIS
Здесь представлены записи журнала IIS для успешного пользователя, первого IP и неудачного пользователя, второго IP.Ошибка 500 для sc-win32-status = 64 («указанное сетевое имя больше не доступно») одинакова для успешного и неудачного входа в систему.
time c-ip cs-username s-port cs-method sc-status sc-substatus sc-win32-status time cs-uri-stem
1/1/2000 19:32 Second IP 443 GET 401 2 5 1734 /
1/1/2000 19:32 Second IP 443 GET 500 0 64 16 /
1/1/2000 19:31 Second IP 443 GET 401 1 -1073741715 2 /
1/1/2000 19:31 Second IP 443 GET 401 2 5 2011 /
1/1/2000 19:31 Second IP 443 GET 500 0 64 118 /
1/1/2000 19:30 First IP Server\User 443 GET 200 0 0 17 /HMSLoginController.asp
1/1/2000 19:30 First IP Server\User 443 POST 302 0 0 4 /EntryBanner.asp
1/1/2000 19:30 First IP Server\User 443 GET 200 0 0 22 /EntryBanner.asp
1/1/2000 19:30 First IP Server\User 443 GET 200 0 0 4164 /
1/1/2000 19:30 First IP 443 GET 500 0 64 637 /
Запрос трассировки
Частичносписок трассировки ошибки 402.2:
-GENERAL_REQUEST_HEADERS Подключение заголовков: Keep-Alive Accept: text / html, application / xhtml + xml, image / jxr, / Accept-Encoding: gzip, deflate Accept-Language: en-US Host: пользовательский агент X.com: Mozilla / 5.0 (Windows NT 10.0; WOW64; Trident / 7.0; rv: 11.0), например, Gecko DNT: 1
-GENERAL_GET_URL_METADATA PhysicalPath
AccessPerms 617
-HANDLER_CHANGED OldHandlerName
NewHandlerName StaticFile NewHandlerModules StaticFileModule, DefaultDocumentModule, DirectoryListingModuleAuthTypeSupported Basic
-AUTH_END
-AUTH_START AuthTypeSupported 128 AuthTypeSupported MapCliCert
-AUTH_END*
-AUTH_START AuthTypeSupported 4 AuthTypeSupported NT
-AUTH_END
-AUTH_START AuthTypeSupported 128 AuthTypeSupported MapCliCert
-AUTH_REQUEST_AUTH_TYPE RequestAuthType 128 RequestAuthType CertMap
-AUTH_END
* 10 час.6 AuthTypeSupported Digest
-AUTH_END
-AUTH_START AuthTypeSupported 1 AuthTypeSupported Anonymous
-AUTA_HTY_PE1 RequestAuthType Anonymous
-AUTH_SUCCEEDED AuthType 4 NTLMUsed false RemoteUserName
AuthUserName
TokenImpersonationLevel 2 AuthType NT TokenImpersonationLevel * 11-й уровень
имя_пользователя
SupportsIsInRole true
-AUTH_END
-GENERAL_SEND_CUSTOM_ERROR HttpStatus 401 HttpSubStatus 2 FileNameOrURm 430
* 401. **
-GENERAL_FLUSH_RESPONSE_START
-GENERAL_RESPONSE_HEADERS Заголовки Тип содержимого: текст / html Сервер: Microsoft-IIS / 7.5 WWW-Authenticate: переговоры WWW-Authenticate: NTLPowered-By: ASP.NET
Конфигурация
Я подтвердил, что на сервере установлены все последние сертификаты usiПрограмма, распространяемая объектом, который создал наш корневой сертификат.Я проверил клиентские сертификаты по CRL и OCSD-вызову сервера.
IIS Server Config
Аутентификация: включена только аутентификация сертификата клиента Active Directory - другие отключены Правила авторизации: запрещать только анонимные пользователи - толькозапись
Конфигурация сайта
Аутентификация: анонимная аутентификация включена и аутентификация Windows включена Правила авторизации: разрешить webUsers (группа пользователей локального сервера) - только запись Редактор конфигурации: system.webServer / security /аутентификация / iisClientCertificateMappingAuthentication DefaultLogonDomain включена Правда LogonMethod ClearText manyToOneCertificateMappingsEnabled Истинную manyToOneMappinqs (Count = 19) oneToOneCertificateMappingsEnabled Ложные oneToOneMappings (Count = 0)
Пользователи
1155 * Каждый настройки в manyToOneMappinqs пользователь имеет соответствующий пользовательский локальный серверучетная запись.Все локальные учетные записи пользователей находятся в группе webUsers, которая имеет права доступа к веб-сайту.У каждого пользователя есть два правила сопоставления: эмитент («O»), который является сущностью, создавшей смарт-карты, и субъект («CN»), который является уникальным для каждого пользователя.
Список пользователей разделен на два файла: файл web.config веб-сайта и файл applicationhost.config сервера.Объединенные пользователи составляют список в редакторе конфигурации сайта.