Cabeçalho de autorização de danos do cliente Windows (Kerberos) = IIS 400 (Solicitação incorreta)

Estamos enfrentando um comportamento estranho em cerca de 5% dos computadores clientes Windows (7 Pro e XP Pro, 32 e 64 bits). Esses computadores recebe aleatoriamente erro do servidor IIS - 400 Solicitação incorreta. Estamos usando o domínio do Windows e esses clientes estão tentando autorizar o IIS por meio do Kerberos.

Symtomps:

• O cliente tenta se conectar ao servidor IIS via Internet Explorer ao site que exige autenticação (Kerberos).
• O servidor IIS retorna erro 400 Solicitação incorreta.
• O erro não desaparecerá até que o computador cliente seja "reiniciado feliz". Nós não encontramos outra maneira de "reparar" este estado. Felizmente reiniciado significa que você pode reiniciar mais de uma vez. Às vezes funciona, às vezes não. Se funcionar, funcionará com segurança até a próxima reinicialização. Se não o fizer com segurança não funciona até o próximo reinício. :)

O que sabemos

• Estamos usando mais grupos. Portanto, nossos usuários têm maior Kerberos TGT normalmente. MaxTokenSize aumentado para 48000.

• Detectamos o tráfego de rede nos clientes afetados e descobrimos que o cliente envia o cabeçalho de autorização quebrado . Parte com cabeçalho de autorização do kerberos é cortada - não foi finalizada corretamente. Portanto, a resposta do servidor IIS é correta e lógica. Então, o problema está no lado do cliente .

• Estávamos tentando encontrar alguma diferença entre o estado de trabalho e estado de erro nos computadores afetados sem sorte.

• Temos mais servidores IIS em nossa rede. Computador afetado está tendo mesmo problema em todos eles em "estado de erro".

• Espero que nossos pensamentos estejam certos, que o Internet Explorer esteja usando o .NET Framework para solicitações e autorização HTTP. Então provavelmente é porque em algum lugar no .net? Todos os clientes estão usando a versão 4.

Alguém pode nos ajudar a esclarecer este mistério? :)