Проверка подлинности NTLM завершается неудачно ТОЛЬКО с IE на сервере приложений 2k8 за обратным прокси-сервером IIS7 2k8

Question

Я занимаюсь разработкой приложения ASP.NET для сайта интрасети, использующего Windows / NTLM / WIA / любую другую аутентификацию. Приложение размещено на сервере Windows 2k8, но доступ к нему осуществляется через обратный прокси-сервер с использованием IIs7 на другом компьютере 2k8.

Аутентификация отлично работает в FireFox, Chrome и Safari, но не работает в IE8. Если я обхожу Прокси и обращаюсь к серверу приложений напрямую, он работает нормально, так что он как-то связан с прокси.

В средстве просмотра событий на любом из трех компьютеров нет ничего, что указывало бы на то, что может происходить.

Если вы подключаетесь с помощью IE8, он запрашивает ваши учетные данные вместо автоматической их передачи, да, я настроил явное доверие над доверием домена выше указанного, но оно по-прежнему выдает ошибку 401, возвращаемую прокси-сервером.

Есть идеи, с чего начать устранение неполадок?

Answer 1

Оказывается, что обратные прокси-серверы IIS 7 не поддерживают аутентификацию Kerberos, поэтому вы должны отключить ее на своих внутренних серверах, чтобы они использовали NTLM.

К сожалению, на 2k8 нет простого способа сделать это, вы должны возиться с реестром. Однако в 2k8 R2 в IIS 7 есть параметры графического интерфейса для управления поставщиками проверки подлинности.

Answer 2

Запуск Fiddler на клиентском компьютере будет местом для запуска, чтобы увидеть, как заголовки аутентификации, возвращающиеся с прокси, отличаются от заголовков с прямым соединением.

Вы захотите проверить, используется ли NTLMv1, NTLMv2 или Kerberos в ситуациях, когда он работает. IE8 на Win7 теперь блокирует NTLMv1 по умолчанию, что может быть связано с проблемой?