Isso se tornou um problema com o Kerberos. Eu habilitei a confiança para delegação para a conta de computador no Active Directory, e as coisas começaram a funcionar.
Atualmente, estou reorganizando sub-redes em minha organização. A sub-rede New é 10.65.0.0/24 e a sub-rede antiga é 172.16.0.0/21.
Clientes em uma nova sub-rede não podem acessar um aplicativo da Web em 172.16.9.0/24 - eles são solicitados por credenciais e, em seguida, por um erro 401.2 (o tráfego é roteado, mas a autenticação falha).
Clientes em uma sub-rede antiga (até mesmo os mesmos clientes movidos para um local de rede diferente) podem acessar sem receber solicitações de credenciais ou erros.
O webapp é executado no IIS6 - nenhuma alteração foi feita no aplicativo da web - a única coisa (estou ciente) que mudou é o local de rede dos clientes.
Atualização 1 : simplifiquei o caso de teste para eliminar qualquer passagem estranha para o servidor SQL, etc. Agora estou apenas solicitando um arquivo de texto estático do servidor - ainda recebo o 401.2 erro. Se eu alternar da autenticação integrada para a autenticação básica, a página será entregue corretamente.
Atualização 2 : parece que os aplicativos afetados estão limitados ao uso de NTLM - os aplicativos que usam autenticação Kerberos parecem funcionar bem.
Atualização 3 : A nova sub-rede é atualmente roteada para a sub-rede com os servidores nela através de um firewall Cisco Meraki MX - não há regras de firewall negando tráfego, mas essa parece ser a grande diferença entre as duas sub-redes.
Alguém mais se deparou com isso?
Isso se tornou um problema com o Kerberos. Eu habilitei a confiança para delegação para a conta de computador no Active Directory, e as coisas começaram a funcionar.
Tags authentication iis subnet