SharePoint 2010 hospedado no IIS7, Kerberos ativado. Os clientes fazem logon pela Citrix em vários servidores de terminal. O Kerberos está trabalhando em vários clientes, portanto, os SPNs estão definidos corretamente, mas em alguns clientes isso não funciona.
Problema
- Autenticação do Windows ativada no Internet Explorer, provedores Negociam (primeiro) e NTLM (segundo)
- Funciona em alguns clientes. Se a "Autenticação integrada do Windows" estiver ativada no IE, o ticket Kerberos será enviado. Se a configuração estiver desativada, o NTLM será usado. Assim, como esperado.
- Em alguns "clientes inválidos" recebo "Esta página não pode ser exibida" (Erro de DNS / conectividade) após + - 20 segundos. Se eu olhar para o Fiddler, vejo apenas uma resposta 401 do servidor da web. Se eu virar os provedores no IIS, assim, NTLM (primeiro), Negociar (segundo), funciona! Resposta NTLM é enviada. Se eu, em seguida, alterá-lo de volta para Negociar (primeiro), NTLM (segundo) ainda funciona após a redefinição do IIS, até que eu faça logoff e logon no Citrix; então novamente "Esta página não pode ser exibida".
- O site é adicionado à intranet local. Se funciona no NTLM em "clientes ruins", posso ver no canto inferior direito "intranet local". Nos "bons clientes", o Kerberos também funciona na zona da intranet local.
Também tentei adicionar site em "clientes ruins" a sites confiáveis, mas isso não faz diferença.
Eu não tenho idéia porque ainda não está funcionando. O problema parece que o IE não quer responder ao pedido HTTP / 401 com Negotiate, NTLM como auth. cabeçalhos em alguns clientes, mas eu realmente não tenho idéia porque não.
RESOLVIDO.
Tudo bem, Kerberos e LDAP para o DC não estavam disponíveis em alguns DC's. Então, alterar as configurações no firewall resolveu o problema.