Os usuários experimentam o prompt de autenticação do Windows para um único servidor de página ASPX 2012 IIS 8.5

Navegue suas respostas
3

Eu tenho um aplicativo publicado por meio do IIS 8.5 no Windows Server 2012 que pode aproveitar as credenciais integradas do Windows para SSO. Os usuários podem entrar com êxito no aplicativo e navegar até a grande maioria das páginas aspx. No entanto, quando os usuários tentam entrar em uma página aspx específica, eles recebem um prompt de autenticação do Windows onde devem preencher suas credenciais de domínio 10 vezes literais antes de permitir que eles acessem a página.

De uma perspectiva do IIS, para o diretório virtual do aplicativo, temos SOMENTE a autenticação do Windows especificada. Eu posso contornar o problema se eu ativar a autenticação anônima (os usuários não são solicitados com o prompt de autenticação do Windows quando eles tentam navegar para a página aspx), mas isso obviamente quebra a capacidade dos usuários finais para entrar usando credenciais do Windows integrado - o que é inaceitável para eles. Como tal, eu suspeitava que isso fosse algum tipo de problema com permissões de compartilhamento / NTFS em uma das páginas ASPX ou nas DLLs do aplicativo. No entanto, verifiquei todas as permissões de arquivo simples relevantes ad nauseum sem sucesso.

Eu fiz o seguinte: -Eu verifiquei as permissões para a página aspx que os usuários estão tentando acessar e, do ponto de vista do AD, tudo parece bem. Os usuários parecem ter as permissões corretas. -O problema não ocorre quando conectado diretamente ao servidor de aplicativos. -Os administradores de domínio também enfrentam o problema ao fazer login no aplicativo por meio de uma estação de trabalho cliente. -Execute um rastreio Fiddler e Wireshark e, como esperado, estou encontrando um erro 401. -Issue não ocorre para usuários que se integram ao aplicativo usando credenciais que não sejam do Windows.

Estou quase sem ideias em termos de coisas que posso verificar - alguém mais tem alguma ideia?

    
por Solomons_Ecclesiastes 03.03.2014 / 20:52

2 respostas

0

Então, a descrição do erro diz:

Erro HTTP 401.2 - Não autorizado: o acesso é negado devido à configuração do servidor .

Basicamente, seus clientes estão esperando um tipo de autenticação, e o servidor não está configurado para fornecê-lo, então a autenticação falha durante a comunicação inicial cliente-servidor onde eles tentam negociar um método de autenticação.

Na minha experiência, isso geralmente é um problema relacionado ao Kerberos, se não por outro motivo que as configurações padrão parecem incluir a autenticação Kerberos em um estado não funcional ... então é aí que eu olharia primeiro. Especificamente, verifique se se o IIS está sendo executado em uma conta de serviço de domínio, você tem um SPN (Service Principal Name) registrado , qual sua descrição me leva a acreditar que você não o faz.

É claro que também pode ser uma questão de delegação , para a qual existem um casal de KBs ou até mesmo um problema de autenticação não-Kerberos .

Tempos divertidos, né? E apenas no caso de nada disso fazer isso para você, aqui está uma coisa que eu prendo que remonta aos dias de 2003, mas ainda se aplica à solução de problemas básicos de autenticação. Se nada mais, deve ajudá-lo a refinar o problema, ou talvez resolvê-lo, forçando um método de autenticação mais simples em todos.

    
por 03.03.2014 / 22:03
0

A resolução final para esse problema foi encontrada nas configurações do IE. Quando marcamos a opção para verificar versões mais recentes de páginas armazenadas em todas as visitas, isso fez com que o problema desaparecesse. Ao reativá-lo, a questão reapareceu.

    
por 12.03.2014 / 23:05

Tags

Alternativas do System Center 2012 [fechadas] dispositivos iSCSI adicionados ao servidor de armazenamento durante os backups do DPM 2012 SPI