IIS7 Lenta para alguns usuários ao usar a Autenticação do Windows

Navegue suas respostas
3

Temos um site na Internet contendo um arquivo .html "hello world" no IIS7 com a autenticação do Windows ativada. Os usuários são usuários do Windows da máquina local no servidor da web. Para alguns usuários, o site é muito lento. Usando fiddler2, eu o localizei em um atraso de 15 segundos entre o navegador se conectando e o navegador iniciando a solicitação GET inicial: 

ACTUAL PERFORMANCE
--------------
ClientConnected:    15:28:09.737
ClientBeginRequest: 15:28:24.750
ClientDoneRequest:  15:28:24.750
...

O site então responde com um HTTP 401, o navegador responde imediatamente com uma segunda solicitação GET (presumivelmente com o token de autenticação relevante) que retorna com um HTTP 200 imediatamente.

O problema acontece independentemente de qual máquina eu o acesso. O problema só ocorre no IE (v6 - v8), o Firefox e o Chrome funcionam bem.

Na minha máquina, usar o endereço IP do site em vez do nome DNS resolve o problema, mas isso não resolve o problema para todos os outros.

Eu tentei alterar a configuração em este artigo , mas não corrigi-lo.

Alguma idéia?

    
por d4nt 27.07.2010 / 16:53

2 respostas

3

Eu tive uma situação semelhante com um cliente. Os controladores de domínio foram configurados incorretamente (no modo NT4) e o IE teve a opção "Ativar segurança integrada do Windows" marcada.

O que o IE faz quando está no modo Segurança Integrada do Windows tenta o pedido com um tíquete AD / Kerberos no modo Windows 2000+. Quando o servidor da Web falha ao autenticar o ticket, ele volta ao NTLM.

Você tem 3 opções.

  1. Descubra o que há de mais detalhado na sua configuração do AD. Poderia ser seus controladores de domínio são todos bons e seu servidor web está fora de espécie. Este artigo da base de conhecimento é antigo, mas pode ajudar no link .
  2. Mude o IIS para o modo somente NTLM. Você vai estar hackeando a metabase para fazer isso. Isso é muito fácil, na verdade, mas você não quer usar o NTLM se não for necessário, já que é mais lento e menos seguro que o Kerberos.
  3. Limpe a caixa de seleção "Segurança integrada do Windows" no IE. Você também não quer fazer isso porque pode quebrar outros aplicativos da web na sua rede.
Infelizmente, na minha situação, eu tive que escolher a opção nº 2 por causa dos egos envolvidos, mas funcionou excepcionalmente bem.

    
por 29.07.2010 / 17:54
0

Apenas pensando em voz alta aqui, mas as máquinas clientes estão em um domínio ou em um grupo de trabalho?
(Sim, se eu tivesse o representante, este seria um comentário!)

    
por 28.07.2010 / 00:27

Tags

Existe uma solução hotspot WLAN autônoma, fácil de usar e segura? Getty inundando o syslog após a atualização do kernel com “não é possível abrir como entrada padrão”