为什么Internet Explorer在Intranet区域中不断询问我NTLM凭据?


23

长文本,对此表示抱歉。我正在尝试尽可能具体。

我在Windows 7上,并且遇到非常令人沮丧的Internet Explorer 8行为。我在公司局域网中,那里有一些Intranet服务器和一个用于与外界连接的代理。

在明显被识别为“本地Intranet”(如IE状态栏所示)的网站上,我不断收到“ Windows Security”对话框,要求我登录。这些页面在带有“ Integrated Windows Security”的IIS6上提供。启用后,NTFS允许Everyone:Read读取文件本身。

  • 如果输入Windows凭据,则页面加载正常。但是,无论我是否勾选“记住我的凭据”,对话框都将在下一次弹出。(凭据存储在“凭据管理器”中,但是这些登录框的显示频率没有任何区别。)
  • 如果单击“取消”,则可能发生以下两种情况之一:页面加载时缺少某些资源(图像,样式表等),或者根本不加载,并且我收到HTTP 401.2(未授权:由于服务器登录失败)组态)。这取决于登录框是由页面本身还是由引用的资源触发的。
  • 该行为似乎是完全不稳定的,有时页面加载流畅,有时一种资源触发登录消息,有时却没有。即使只是简单地重新加载页面也可能导致行为改变。

我正在使用WPAD作为我的代理检测机制。所有Intranet主机都会绕过PAC文件中的代理。

我已经检查了我能想到的每个IE设置,输入了主机模式,单个主机名,每个可想到的配置中的IP范围到“本地Intranet”区域,并勾选了“包括绕过代理服务器的所有站点”,为它命名。归结为“有时它不起作用”,然后我逐渐失去了理智。;-)

我知道这与IE无关,IE不会自动将我的NTLM凭据传递到Web服务器,而是询问我。通常,这种情况仅应发生在未被NTLM保护的“内部网”区域中的站点上。

如前所述,这里不是这种情况。尤其是因为页面的一半可以完美加载且不会中断,并且页面的某些资源(来自同一服务器!)会触发登录消息。

我看过http://support.microsoft.com/kb/303650,它给人以描述问题的印象,但是似乎没有任何作用。坦率地说,我不确定“手动编辑注册表”是否是解决此类问题的正确方法。毕竟,我不是世界上唯一拥有IE / Intranet / IIS配置的人。

我很茫然,有人可以给我提示吗?


抱歉,我无法抗拒:那么,上尉,我们要在中立区彼此凝视多长时间?
allquixotic

Answers:


11

我们唯一看到的是用户密码是否已过期。每当我们看到此消息时,我们都会要求用户更改密码,并注销并使用新凭据重新登录。Intranet站点不再请求凭据。

进行了许多快速支持电话...

另外,请确保使用当前用户名和密码将“本地Intranet”区域设置为“自动登录”。您可以通过以下方式做到这一点:

  1. 工具类
  2. 互联网选项
  3. 左键单击“安全性”选项卡
  4. 左键点击自定义级别
  5. 向下滚动到用户身份验证
  6. 在登录下,选择使用当前用户名和密码自动登录

不,密码很好。自然,那是我检查的第一件事。此外,如果密码已过期,则不会部分加载页面,并且不稳定的“有时可以正常工作,有时不能正常工作”。
Tomalak

2

也许与ntlm进行的4部分握手中的一些正在迷失,即与代理交谈?也就是说,如果ie正在询问代理有关Intranet页面的信息...

我知道您说过您曾尝试将网站放在Intranet区域中,并将其设置为绕过代理。不过,只是好奇,如果完全禁用浏览器中的代理配置会怎样?没有更多的弹出窗口,对不对?


Intranet站点未通过代理加载。但是我可以试一试。
Tomalak

1
在完全关闭代理并手动将我们的Intranet FQDN添加到IE中的“ Intranet”区域后,它似乎可以在ATM上运行。我没有经过很长时间的测试,所以我不能完全确定。也许是WPAD的特殊之处?毕竟,PAC文件也为此FQDN返回“ DIRECT”…
Tomalak

如果禁用代理,似乎您找到了答案。我将建议尝试使用Firefox,并将该站点的名称添加到about:config页面的ntlm设置中,看看是否可行。
马龙

0

尝试查看控制面板下的管理工具;打开.NET 1.1向导,并将.NET安全性调整为Intranet的“完全信任”。


有没有涉及.NET 在所有的有问题的网页。我在那里配置什么都没有关系。
Tomalak 2010年

0

您是否在“控制面板/管理工具/本地安全策略/本地策略/安全选项”中检查/更改了“网络安全:LAN Manager身份验证级别”?(Q823659

我们在这里运行一个工作组(没有Windows服务器),该工作组具有本地Intranet和MySQL的广泛使用...直到我们更改(或启用)上述键/选项,似乎100%的时间都无法正常工作,但这并不是只是Windows 7问题。在Windows 7 PC上,我们还禁用了下面这2个NTLM密钥上的“需要128位加密”选项。


不幸的是,这是我无法改变的。域GPO正在控制此设置。这也不能解释不稳定的行为,我希望低级别的身份验证设置错误时,它会一直失败。:-\
Tomalak

0

由于您使用的是域,而且问题出乎意料,所以我总是想知道两件事...

  1. 其他用户也会发生相同的行为吗?
  2. 计算机上的其他域用户是否会发生相同的行为?

至1和2:是。非常令人困惑。
Tomalak

这让人觉得应该怪罪GPO或IIS配置...
Paul D'Ambra

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.