Warum fragt mich Internet Explorer in einer Intranetzone ständig nach NTLM-Anmeldeinformationen?

23

Langtext, sorry dafür. Ich versuche so genau wie möglich zu sein.

Ich arbeite unter Windows 7 und habe ein sehr frustrierendes Verhalten von Internet Explorer 8. Ich bin in einem Firmen-LAN mit einigen Intranetservern und einem Proxy für die Verbindung mit der Außenwelt.

Auf Websites, die eindeutig als "Lokales Intranet" (wie in der IE-Statusleiste angegeben) erkannt werden, werden immer wieder Dialogfelder "Windows-Sicherheit" angezeigt, in denen ich zur Anmeldung aufgefordert werde. Diese Seiten werden von einem IIS6 mit "Integrierter Windows-Sicherheit" bereitgestellt. aktiviert, NTFS erlaubt jedem: Lesen Sie die Dateien selbst.

  • Wenn ich meine Windows-Anmeldeinformationen eingebe, wird die Seite ordnungsgemäß geladen. Die Dialogfelder werden jedoch beim nächsten Mal angezeigt, unabhängig davon, ob ich "Anmeldeinformationen speichern" aktiviert habe oder nicht. (Anmeldeinformationen werden im "Anmeldeinformations-Manager" gespeichert, dies spielt jedoch keine Rolle, wie oft diese Anmeldeinformationen angezeigt werden.)
  • Wenn ich auf "Abbrechen" klicke, kann eine der beiden folgenden Situationen eintreten: Entweder wird die Seite mit bestimmten fehlenden Ressourcen geladen (Bilder, Stylesheets usw.) oder sie wird überhaupt nicht geladen, und ich erhalte HTTP 401.2 (Nicht autorisiert: Anmeldung fehlgeschlagen aufgrund des Servers Aufbau). Dies hängt davon ab, ob das Anmeldefeld von der Seite selbst oder von einer referenzierten Ressource ausgelöst wurde.
  • Das Verhalten scheint völlig unberechenbar zu sein, manchmal werden die Seiten reibungslos geladen, manchmal löst eine Ressource eine Anmeldemeldung aus, manchmal nicht. Schon ein einfaches Neuladen der Seite kann zu einem veränderten Verhalten führen.

Ich verwende WPAD als Proxy-Erkennungsmechanismus. Alle Intranet-Hosts umgehen den Proxy in der PAC-Datei.

Ich habe alle mir in den Sinn kommenden IE-Einstellungen überprüft, Hostmuster, einzelne Hostnamen und IP-Bereiche in jeder denkbaren Konfiguration in die Zone "Lokales Intranet" eingegeben und "Alle Sites einbeziehen, die den Proxyserver umgehen" angekreuzt. Es läuft auf "manchmal funktioniert es einfach nicht" hinaus und langsam verliere ich meinen Verstand. ;-)

Mir ist bewusst, dass dies damit zusammenhängt, dass der Internet Explorer meine NTLM-Anmeldeinformationen nicht automatisch an den Webserver weitergibt, sondern stattdessen nachfragt. Normalerweise sollte dies nur für NTLM-gesicherte Sites geschehen, die nicht als in der Zone "Intranet" befindlich erkannt werden.

Dies ist hier, wie erläutert, nicht der Fall. Zumal eine halbe Seite perfekt und ohne Unterbrechung geladen werden kann und einige Seitenressourcen (vom selben Server!) Die Login-Nachricht auslösen.

Ich habe mir http://support.microsoft.com/kb/303650 angesehen , was den Eindruck erweckt, das Problem zu beschreiben, aber dort scheint nichts zu funktionieren. Und ehrlich gesagt bin ich mir nicht sicher, ob "die Registrierung manuell bearbeiten" die richtige Lösung für diese Art von Problem ist. Schließlich bin ich nicht die einzige Person auf der Welt mit einer IE / Intranet / IIS-Konfiguration.

Ich bin ratlos, kann mir jemand einen Hinweis geben?

Tomalak
quelle
Entschuldigung, ich konnte nicht widerstehen: Also, Captain, wie lange sollen wir uns in der neutralen Zone gegenseitig anstarren ?!
Allquixotic

Antworten:

11

Dies wird nur angezeigt, wenn das Kennwort eines Benutzers abgelaufen ist. Wann immer wir dies sehen, werden wir den Benutzer auffordern, ihr Passwort zu ändern und sich mit den neuen Anmeldeinformationen ab- und wieder anzumelden. Die Intranet-Site fordert keine Anmeldeinformationen mehr an.

Ermöglicht viele schnelle Supportanrufe ...

Stellen Sie außerdem sicher, dass die Zone Lokales Intranet auf Automatische Anmeldung mit dem aktuellen Benutzernamen und Kennwort eingestellt ist. Sie können dies tun, indem Sie:

  1. Werkzeuge
  2. Internet Optionen
  3. Klicken Sie mit der linken Maustaste auf die Registerkarte Sicherheit
  4. Klicken Sie mit der linken Maustaste auf Stufe anpassen
  5. Scrollen Sie nach unten zu Benutzerauthentifizierung
  6. Wählen Sie unter Anmelden die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort aus
Windos
quelle
Nein, Passwörter sind in Ordnung. Das war natürlich das erste, was ich überprüfte. Außerdem würde es keine partiellen Seitenladevorgänge geben und ein fehlerhaftes Verhalten "manchmal funktioniert es, manchmal funktioniert es nicht", wenn das Kennwort abgelaufen wäre.
Tomalak
2

Vielleicht geht ein Teil des vierteiligen Handshakes, der mit ntlm läuft, im Gespräch mit dem Proxy verloren? Das heißt, wenn zB der Proxy nach Intranetseiten fragt ...

Ich weiß, Sie sagten, Sie haben versucht, Websites in die Intranetzone zu verschieben und sie so einzustellen, dass sie den Proxy umgehen. Nur neugierig, was passiert, wenn Sie die Proxy-Konfiguration im Browser insgesamt deaktivieren? Keine Popups mehr, oder?

noobish
quelle
Die Intranetseiten werden nicht über den Proxy geladen. Aber ich kann es versuchen.
Tomalak
1
Nach dem Ausschalten des Proxys und dem manuellen Hinzufügen unseres Intranet-FQDN zur "Intranet" -Zone im Internet Explorer scheint es wie am Geldautomaten zu funktionieren. Ich habe nicht lange getestet, daher kann ich nicht absolut sicher sein. Vielleicht ist es eine WPAD-Besonderheit? Immerhin gibt die PAC-Datei auch für diesen FQDN "DIRECT" zurück ...
Tomalak
Scheint, als hätten Sie Ihre Antwort gefunden, wenn das Deaktivieren des Proxys funktioniert hat. Ich würde vorschlagen, Firefox auszuprobieren und den Namen der Site zur Einstellung ntlm auf der Seite about: config hinzuzufügen und zu prüfen, ob dies funktioniert.
Marlon
0

Versuchen Sie, unter Verwaltungstools im Steuerungsfeld zu suchen. Öffnen Sie die .NET 1.1-Assistenten und stellen Sie die .NET-Sicherheit für das Intranet auf "Volle Vertrauenswürdigkeit" ein.

TheDudeAbides
quelle
Es gibt keine .NET beteiligte überhaupt auf den Seiten in Frage. Es ist egal, was ich dort konfiguriere.
Tomalak
0

Haben Sie Ihre "Netzwerksicherheit: LAN Manager-Authentifizierungsstufe" in "Systemsteuerung / Verwaltung / Lokale Sicherheitsrichtlinie / Lokale Richtlinien / Sicherheitsoptionen" überprüft / geändert? ( Q823659 )

Wir betreiben hier eine Arbeitsgruppe (keine Windows-Server) mit einem lokalen Intranet und einer weit verbreiteten Nutzung von MySQL ... Bis wir den obigen Schlüssel / die obige Option geändert (oder aktiviert) hatten, schien nichts in 100% der Fälle zu funktionieren, dies war jedoch nicht der Fall nur ein Windows 7 Problem. Wir haben auch die Option "128-Bit-Verschlüsselung erforderlich" für die 2 darunter liegenden NTLM-Schlüssel auf Windows 7-PCs deaktiviert. Es treten immer noch gelegentliche Datenbankprobleme auf, aber SQL war in Ordnung, seitdem wir dies getan haben.

HaydnWVN
quelle
Das kann ich leider nicht ändern. Domänen-GPOs steuern diese Einstellung. Auch dies erklärt nicht das fehlerhafte Verhalten. Ich würde erwarten, dass es die ganze Zeit fehlschlägt, wenn die Authentifizierungseinstellungen auf niedriger Ebene falsch sind. : - \
Tomalak
0

Da Sie auf einer Domain sind und das Problem unerwartet ist, frage ich mich immer zwei Dinge ...

  1. Tritt das gleiche Verhalten für andere Benutzer auf?
  2. Tritt dasselbe Verhalten für einen anderen Domänenbenutzer auf Ihrem Computer auf?
Paul D'Ambra
quelle
Zu 1 und 2: Ja. Sehr rätselhaft.
Tomalak
Das macht das Gefühl, dass GPO oder die IIS-Konfiguration schuld sind ...
Paul D'Ambra
0

Haben Sie diese Vorschläge auf der MS-Antwortseite überprüft ? (wahrscheinlich hast du ...)

Frank Meulenaar
quelle
Ich würde, aber diese Verbindung ist unterbrochen.
Tomalak
Es tut mir leid, der Link ist repariert.
Frank Meulenaar
Hm. Kein Würfel. Ich verwende den Anmeldeinformations-Manager auch lieber nicht für etwas, das eine transparente Authentifizierung mit meinem eigenen Konto sein soll.
Tomalak