iis: встроенная проверка подлинности Windows все еще выскакивает

Question

У меня есть веб-сайт, работающий на сервере Windows 2003 на IIS 6, который обслуживает страницы для локальной сети, где все работают с учетной записью домена. На других машинах это работает нормально, никто не должен входить на сайт, динамические сценарии выбирают имя учетной записи из HTTP-запроса.

Только при просмотре с самого сервера (например, через удаленный рабочий стол) Internet Explorer по-прежнему вызывает диалог domain-login-login при переходе на этот сайт. (и обычный URL, и http://localhost/). Это не было проблемой на сервере Windows 2000, с которого мы недавно перенесли сайт.

Answer 1

У меня была эта или похожая проблема, и я решил ее:

• добавление http://localhost в список сайтов интрасети через IE> Сервис> параметры> безопасность> Локальная интрасеть> Сайты> дополнительно> добавить http://localhost. (Это необходимо, если у вас установлен IE Enhanced Security , который назначает все веб-сайты интрасети и все UNC-пути, которые явно не указаны в зоне локальной интрасети, в зону Интернета, даже локальный или другие домены, которые t содержит символ «.», который по умолчанию обычно считается интранетом.)

• также в разделе Безопасность> Локальная интрасеть> посмотрите, на каком уровне безопасности вы находитесь, чтобы гарантировать, что данные для входа пройдены. Если это «Пользовательский», нажмите кнопку «Пользовательский уровень ...», прокрутите вправо до низа, в разделе «Аутентификация пользователя> вход в систему> для меня это« Автоматический вход только в зоне интрасети », который работает.

Answer 2

Вы настроили IE на вашем Windows 2003 для «Включить встроенную проверку подлинности Windows»? Это необходимо настроить в IE6 для автоматического использования учетных данных вошедшего в систему пользователя.

Answer 3

Вероятно, вам больше повезет с ServerFault для этой проблемы, поскольку, вероятно, это связано с настройкой сервера. Взгляните на эту статью KBAlertz.com , да, она специфична для SharePoint, но некоторые подробности носят более общий характер. Я подозреваю (учитывая, что вы сказали, что мигрировали на новую машину), что проблема заключается в том, что новая машина не является «доверенной для делегирования», поэтому посмотрите на часть под названием «Настройка доверия для делегирования для веб-частей»

Настройка доверия для делегирования для Web части Чтобы настроить сервер IIS на быть доверенным для делегирования, следовать эти шаги:

1. Запустите Active Directory - пользователи и компьютеры.
2. На левой панели щелкните Компьютеры.
3. На правой панели щелкните правой кнопкой мыши имя сервера IIS, а затем нажмите Свойства.
4. Перейдите на вкладку Общие, нажмите, чтобы выбрать Доверенный компьютер для флажок делегирования, а затем нажмите OK.
5. Выйти из Active Directory - пользователи и компьютеры.

Если идентификатор пула приложений настроен на использование пользователя домена учетная запись, учетная запись пользователя должна быть доверенный для делегирования, прежде чем вы можете использовать аутентификацию Kerberos. к настроить учетную запись домена, чтобы быть доверенный для делегирования, следуйте этим шаги:

1. На контроллере домена запустите Active Directory - пользователи и компьютеры.
2. На левой панели щелкните Пользователи.
3. В правой панели щелкните правой кнопкой мыши имя учетной записи пользователя, а затем нажмите Свойства.
4. Перейдите на вкладку «Учетная запись», в разделе «Параметры учетной записи» нажмите, чтобы выбрать Аккаунт доверен для делегирования установите флажок и нажмите кнопку ОК.
5. Выйти из Active Directory - пользователи и компьютеры.

Если идентификатор пула приложений является учетная запись пользователя домена, вы должны настроить имя участника-службы для этой учетной записи. к настроить имя участника-службы для пользователя домена учетной записи, выполните следующие действия:

1. Загрузите и установите средство командной строки Setspn.exe. Сделать Итак, посетите следующий веб-сайт Microsoft сайт: http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)

2. Используйте средство Setspn.exe, чтобы добавить имя участника-службы для учетной записи домена. Сделать Итак, введите следующую строку в командной строки, а затем нажмите клавишу ВВОД, где ServerName является полностью квалифицированное доменное имя (FQDN) Сервер, Домен это имя домен, а UserName является именем учетная запись пользователя домена:

   Setspn -A Домен HTTP / ServerName \ Имя пользователя