Можете ли вы переключиться на Kerberos вместо NTLM?
Вы сталкиваетесь с «проблемой двойного прыжка», при которой аутентификация NTLM не может проходить прокси или серверы.
Это указано в этом месте:
http://blogs.msdn.com/knowledgecast/archive/2007/01/31/the-double-hop-problem.aspx
И здесь:
http://support.microsoft.com/default.aspx?scid=kb;en-us;329986
Double-Hop Issue
Проблема двойного перехода заключается в том, что страница ASPX пытается использовать ресурсы, расположенные на сервере, который отличается от сервера IIS. В нашем случае первый «переход» происходит от клиента веб-браузера до страницы IIS ASPX; Второй прыжок в нашей эры. Для AD требуется основной токен. Поэтому сервер IIS должен знать пароль, чтобы клиент мог передать основной токен в AD. Если у сервера IIS есть дополнительный токен, используются учетные данные учетной записи NTAUTHORITY \ ANONYMOUS. Эта учетная запись не является учетной записью домена и имеет очень ограниченный доступ к AD.
Двойной переход с использованием вторичного токена происходит, например, когда клиент браузера проходит проверку подлинности на странице IIS ASPX с использованием проверки подлинности NTLM. В этом примере сервер IIS имеет хешированную версию пароля в результате использования NTLM. Если IIS поворачивается и передает учетные данные в AD, IIS передает хешированный пароль. AD не может проверить пароль и, вместо этого, аутентифицируется с помощью NTAUTHORITY \ ANONYMOUS LOGON.
С другой стороны, если ваш клиент браузера аутентифицируется на странице IIS ASPX с помощью обычной аутентификации, сервер IIS имеет пароль клиента и может создать основной токен для передачи в AD. AD может проверить пароль и аутентифицируется как пользователь домена.
Для получения дополнительной информации щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
264921 (http://support.microsoft.com/kb/264921/) Как IIS проверяет подлинность клиентов браузера
Если переход на Kerberos не возможен, вы исследовали проект Squid NTLM?
http://devel.squid -cache.org / NTLM /