เหตุใด Internet Explorer จึงถามฉันเกี่ยวกับข้อมูลรับรอง NTLM ในโซนอินทราเน็ต


23

ข้อความยาว ๆ ขอโทษด้วย ฉันพยายามที่จะเฉพาะเจาะจงมากที่สุด

ฉันใช้ Windows 7 และฉันพบกับพฤติกรรมที่น่าผิดหวังของ Internet Explorer 8 ฉันอยู่ใน บริษัท LAN ที่มีเซิร์ฟเวอร์อินทราเน็ตและพร็อกซีสำหรับเชื่อมต่อกับโลกภายนอก

ในเว็บไซต์ที่ได้รับการยอมรับอย่างชัดเจนว่าเป็น "Local Intranet" (ตามที่ระบุในแถบสถานะ IE) ฉันยังคงได้รับกล่องโต้ตอบ "Windows Security" ที่ขอให้ฉันเข้าสู่ระบบหน้าเหล่านี้จะปิด IIS6 ด้วย "Integrated Windows Security" เปิดใช้งาน NTFS อนุญาตให้ทุกคน: อ่านไฟล์ด้วยตัวเอง

  • หากฉันป้อนข้อมูลประจำตัว Windows ของฉันหน้าเว็บจะโหลดได้ดี อย่างไรก็ตามกล่องโต้ตอบจะปรากฏขึ้นในครั้งต่อไปไม่ว่าฉันจะเลือก "จดจำข้อมูลรับรองของฉัน" หรือไม่ก็ตาม (ข้อมูลรับรองจะถูกเก็บไว้ใน "ตัวจัดการข้อมูลรับรอง" แต่ไม่ได้สร้างความแตกต่างใด ๆ กับความถี่ที่กล่องล็อกอินเหล่านี้ปรากฏขึ้น)
  • หากฉันคลิก "ยกเลิก" อาจเกิดจากหนึ่งในสองสิ่ง: หน้าเว็บโหลดโดยมีทรัพยากรบางอย่างหายไป (รูปภาพสไตล์ชีต ฯลฯ ) หรือไม่โหลดเลยและฉันได้รับ HTTP 401.2 (ไม่ได้รับอนุญาต: การเข้าสู่ระบบล้มเหลวเนื่องจากเซิร์ฟเวอร์ การตั้งค่า) สิ่งนี้ขึ้นอยู่กับว่ากล่องเข้าสู่ระบบนั้นถูกเรียกใช้โดยหน้าเว็บเองหรือทรัพยากรที่อ้างอิง
  • พฤติกรรมดูเหมือนจะผิดปกติอย่างสมบูรณ์บางครั้งหน้าโหลดอย่างราบรื่นบางครั้งทรัพยากรหนึ่งเรียกข้อความเข้าสู่ระบบบางครั้งก็ไม่ แม้แต่การโหลดหน้าซ้ำอีกครั้งอาจส่งผลให้เกิดพฤติกรรมที่เปลี่ยนไป

ฉันใช้ WPAD เป็นกลไกตรวจจับพร็อกซีของฉัน โฮสต์อินทราเน็ตทั้งหมดจะเลี่ยงผ่านพร็อกซีในไฟล์ PAC

ฉันได้ตรวจสอบการตั้งค่า IE ทุกอย่างที่ฉันสามารถนึกได้ป้อนรูปแบบโฮสต์ชื่อโฮสต์แต่ละรายการช่วง IP ในการกำหนดค่าที่คิดได้ทั้งหมดไปยังโซน "Local Intranet" เลือก "รวมไซต์ทั้งหมดที่ผ่านพร็อกซีเซิร์ฟเวอร์" คุณตั้งชื่อ มันเดือดลงมาถึง "บางครั้งมันก็ไม่ทำงาน" และช้าฉันก็สูญเสียความคิดของฉัน ;-)

ฉันทราบว่าสิ่งนี้เกี่ยวข้องกับ IE โดยอัตโนมัติไม่ผ่านข้อมูลรับรอง NTLM ของฉันไปยังเว็บเซิร์ฟเวอร์ แต่ขอให้ฉันแทน โดยปกติสิ่งนี้จะเกิดขึ้นกับไซต์ที่มีความปลอดภัยของ NTLM ที่ไม่ได้รับการยอมรับว่าอยู่ในโซน "อินทราเน็ต"

ตามที่อธิบายไว้นี่ไม่ใช่กรณีที่นี่ โดยเฉพาะอย่างยิ่งเนื่องจากครึ่งหนึ่งของหน้าสามารถโหลดได้อย่างสมบูรณ์แบบและไม่มีการหยุดชะงักและทรัพยากรของหน้าเว็บบางส่วน(มาจากเซิร์ฟเวอร์เดียวกัน!)ทำให้เกิดข้อความเข้าสู่ระบบ

ฉันดูที่http://support.microsoft.com/kb/303650ซึ่งให้ความประทับใจในการอธิบายปัญหา แต่ดูเหมือนจะไม่มีอะไรเกิดขึ้น และตรงไปตรงมาฉันไม่แน่ใจว่า "การแก้ไขรีจิสทรีด้วยตนเอง" เป็นวิธีแก้ไขปัญหาที่เหมาะสมสำหรับปัญหาประเภทนี้ ฉันไม่ใช่คนเดียวในโลกที่มีการกำหนดค่า IE / อินทราเน็ต / IIS หลังจากทั้งหมด

ฉันหลงทางใครบางคนสามารถให้คำแนะนำแก่ฉันได้ไหม


ขออภัยฉันอดไม่ได้: ดังนั้นกัปตันเราจะจ้องหน้ากันในโซนที่เป็นกลางนานแค่ไหน!
allquixotic

คำตอบ:


11

ครั้งเดียวที่เราเห็นนี่คือถ้ารหัสผ่านของผู้ใช้หมดอายุ เมื่อใดก็ตามที่เราเห็นสิ่งนี้เราจะได้รับผู้ใช้เปลี่ยนรหัสผ่านของพวกเขาและเพื่อการออกจากระบบที่ดีและกลับมาพร้อมกับข้อมูลประจำตัวใหม่ ไซต์อินทราเน็ตไม่ขอหนังสือรับรองอีกต่อไป

ทำให้การโทรด่วนสนับสนุนจำนวนมาก ...

ตรวจสอบให้แน่ใจว่าโซนอินทราเน็ตเฉพาะที่ตั้งค่าเป็นล็อกออนอัตโนมัติด้วยชื่อผู้ใช้และรหัสผ่านปัจจุบัน คุณสามารถทำได้โดย:

  1. เครื่องมือ
  2. ตัวเลือกอินเทอร์เน็ต
  3. คลิกซ้ายที่แท็บความปลอดภัย
  4. คลิกซ้ายที่ระดับกำหนดเอง
  5. เลื่อนลงไปที่การตรวจสอบผู้ใช้
  6. ภายใต้การเข้าสู่ระบบเลือกเข้าสู่ระบบอัตโนมัติด้วยชื่อผู้ใช้และรหัสผ่านปัจจุบัน

ไม่รหัสผ่านไม่เป็นไร นั่นคือสิ่งแรกที่ฉันตรวจสอบตามธรรมชาติ นอกจากนี้จะไม่มีการโหลดหน้าเว็บบางส่วนและบางครั้งก็ใช้งานไม่ได้ "บางครั้งก็ไม่ทำงาน" หากรหัสผ่านหมดอายุ
Tomalak

2

บางทีการจับมือ 4 ส่วนที่เกิดขึ้นกับntlmกำลังจะหายไปนั่นคือกำลังคุยกับพร็อกซี? กล่าวคือหากถามพร็อกซีเกี่ยวกับหน้าอินทราเน็ต

ฉันรู้ว่าคุณบอกว่าคุณได้ลองใส่ไซต์ในอินทราเน็ตโซนแล้วตั้งค่าให้ข้ามพร็อกซี แค่อยากรู้ว่าจะเกิดอะไรขึ้นถ้าคุณปิดใช้งานการกำหนดค่าพร็อกซีในเบราว์เซอร์ทั้งหมด ไม่มีป๊อปอัปใช่ไหม


ไซต์อินทราเน็ตไม่ได้ถูกโหลดผ่านพร็อกซี แต่ฉันสามารถยิงได้
Tomalak

1
หลังจากปิดพรอกซีไปพร้อม ๆ กันและเพิ่ม Intranet FQDN ของเราไปยังโซน "Intranet" ใน IE ดูเหมือนว่าจะทำงานกับ ATM ฉันไม่ได้ทดสอบมานานดังนั้นฉันจึงไม่แน่ใจอย่างแน่นอน บางทีมันอาจเป็นคุณสมบัติพิเศษของ WPAD? ท้ายที่สุดไฟล์ PAC จะส่งกลับ "DIRECT" สำหรับ FQDN นี้เช่นกัน ...
Tomalak

ดูเหมือนว่าคุณจะพบคำตอบของคุณหากปิดใช้งานพร็อกซีทำงาน ฉันจะแนะนำให้ลองใช้ Firefox และเพิ่มชื่อไซต์ลงในการตั้งค่า ntlm ในหน้า about: config และดูว่ามันใช้งานได้หรือไม่
Marlon

0

ลองค้นหาภายใต้เครื่องมือการดูแลภายใต้แผงควบคุม เปิด. NET 1.1 ตัวช่วยสร้างและปรับ. NET การรักษาความปลอดภัยเพื่อ "ความน่าเชื่อถือเต็ม" สำหรับอินทราเน็ต


ไม่มี. NET ที่เกี่ยวข้องกับทุกหน้าในคำถาม มันไม่สำคัญว่าฉันจะตั้งค่าอะไร
Tomalak

0

คุณได้ตรวจสอบ / เปลี่ยน 'ความปลอดภัยเครือข่าย: ระดับการตรวจสอบความถูกต้อง LAN Manager' ใน 'แผงควบคุม / เครื่องมือการดูแลระบบ / นโยบายความปลอดภัยท้องถิ่น / นโยบายท้องถิ่น / ตัวเลือกความปลอดภัย' หรือไม่ ( Q823659 )

เรารันเวิร์กกรุ๊ปที่นี่ (ไม่มีเซิร์ฟเวอร์ windows) ที่มีอินทราเน็ตเฉพาะที่และใช้งาน MySQL อย่างกว้างขวาง ... จนกว่าเราจะเปลี่ยน (หรือเปิดใช้งาน) คีย์ / ตัวเลือกข้างต้นไม่มีอะไรที่ดูเหมือนจะทำงานได้ 100% ในเวลานี้ แค่ปัญหาของ Windows 7 เราได้ปิดการใช้งานตัวเลือก 'ต้องการการเข้ารหัส 128 บิต' บนปุ่ม 2 NTLM ด้านล่างนี้ในพีซี Windows 7 ... ยังคงได้รับปัญหาฐานข้อมูลเป็นครั้งคราว แต่ SQL นั้นใช้ได้เนื่องจากเราทำเช่นนั้น


น่าเสียดายที่นี่ไม่มีอะไรที่ฉันสามารถเปลี่ยนแปลงได้ GPO ของโดเมนกำลังควบคุมการตั้งค่านี้ นอกจากนี้สิ่งนี้ไม่ได้อธิบายพฤติกรรมที่ผิดปกติฉันคาดหวังว่ามันจะล้มเหลวตลอดเวลาเมื่อการตั้งค่าการรับรองความถูกต้องระดับต่ำผิด : - \
Tomalak

0

เนื่องจากคุณอยู่ในโดเมนและปัญหาไม่คาดคิดฉันมักจะสงสัยสองสิ่ง ...

  1. พฤติกรรมเดียวกันนี้เกิดขึ้นกับผู้ใช้รายอื่นหรือไม่?
  2. พฤติกรรมเดียวกันนี้เกิดขึ้นกับผู้ใช้โดเมนรายอื่นบนเครื่องของคุณหรือไม่

ถึง 1 และ 2: ใช่ งงมาก
Tomalak

ที่ทำให้มันรู้สึกเหมือน GPO หรือ IIS การตั้งค่าที่จะตำหนิ ...
พอล D'Ambra

0

คุณตรวจสอบคำแนะนำนี้ในเว็บไซต์คำตอบ MSหรือไม่ (คุณน่าจะ ... )


ฉันต้องการ แต่ลิงก์นั้นเสีย
Tomalak

ขออภัยลิงค์ได้รับการแก้ไขแล้ว
Frank Meulenaar

ฮึ่ม ไม่มีลูกเต๋า ฉันยังไม่ได้ใช้ตัวจัดการข้อมูลประจำตัวสำหรับสิ่งที่ควรเป็นการรับรองความถูกต้องโปร่งใสกับบัญชีของฉันเอง
Tomalak
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.