¿Por qué Internet Explorer sigue pidiéndome credenciales NTLM en una zona de intranet?

23

Texto largo, perdón por eso. Estoy tratando de ser lo más específico posible.

Estoy en Windows 7 y experimento un comportamiento muy frustrante en Internet Explorer 8. Estoy en una LAN de la empresa con algunos servidores de intranet y un proxy para conectarme con el mundo exterior.

En los sitios que se reconocen claramente como "Intranet local" (como se indica en la barra de estado de IE), sigo recibiendo cuadros de diálogo de "Seguridad de Windows" que me piden que inicie sesión. Estas páginas se sirven desde un IIS6 con "Seguridad de Windows integrada" habilitado, NTFS permite a todos: leer en los propios archivos.

  • Si ingreso mis credenciales de Windows, la página se carga bien. Sin embargo , los cuadros de diálogo aparecerán la próxima vez, independientemente de si marqué "Recordar mis credenciales" o no. (Las credenciales se almacenan en el "Administrador de credenciales", pero eso no hace ninguna diferencia en cuanto a la frecuencia con la que aparecen estos cuadros de inicio de sesión).
  • Si hago clic en "Cancelar", puede ocurrir una de dos cosas: o la página se carga con ciertos recursos faltantes (imágenes, hojas de estilo, etc.), o no se carga en absoluto y obtengo HTTP 401.2 (No autorizado: Error de inicio de sesión debido al servidor Configuración). Esto depende de si el cuadro de inicio de sesión fue activado por la propia página o un recurso referenciado.
  • El comportamiento parece ser completamente errático, a veces las páginas se cargan sin problemas, a veces un recurso activa un mensaje de inicio de sesión, a veces no. Incluso simplemente volver a cargar la página puede provocar un cambio de comportamiento.

Estoy usando WPAD como mi mecanismo de detección de proxy. Todos los hosts de Intranet omiten el proxy en el archivo PAC.

Verifiqué todas las configuraciones de IE que se me ocurrieron, ingresé patrones de host, nombres de host individuales, rangos de IP en cada configuración pensable para la zona "Intranet local", marqué "Incluir todos los sitios que omiten el servidor proxy", lo que sea. Se reduce a "a veces simplemente no funciona", y poco a poco me estoy volviendo loco. ;-)

Soy consciente de que esto está relacionado con que IE no pasa automáticamente mis credenciales NTLM al servidor web, sino que me pregunta en su lugar. Por lo general, esto solo debería suceder para los sitios protegidos por NTLM que no se reconocen como en la zona "Intranet".

Como se explicó, este no es el caso aquí. Especialmente porque la mitad de una página puede cargarse perfectamente y sin interrupción y algunos recursos de la página (¡provenientes del mismo servidor!) Activan el mensaje de inicio de sesión.

He visto http://support.microsoft.com/kb/303650 , que da la impresión de describir el problema, pero nada parece funcionar. Y, francamente, no estoy seguro de si "editar manualmente el registro" es la solución correcta para este tipo de problema. No soy la única persona en el mundo con una configuración de IE / intranet / IIS, después de todo.

Estoy perdido, ¿alguien puede darme una pista?

Tomalak
fuente
Lo siento, no pude resistir: Entonces, Capitán, ¿cuánto tiempo nos miraremos en la zona neutral?
allquixotic

Respuestas:

11

La única vez que vemos esto es si la contraseña de un usuario ha expirado. Cuando vemos esto, hacemos que el usuario cambie su contraseña y, por si acaso, cierre la sesión y vuelva a iniciarla con las nuevas credenciales. El sitio de Intranet ya no solicita credenciales.

Hace muchas llamadas de soporte rápido ...

Además, asegúrese de que la zona Intranet local esté configurada para el inicio de sesión automático con el nombre de usuario y la contraseña actuales. Puedes hacer esto:

  1. Herramientas
  2. Opciones de Internet
  3. Haga clic izquierdo en la pestaña Seguridad
  4. Haga clic izquierdo en el nivel personalizado
  5. Desplácese hacia abajo hasta Autenticación de usuario
  6. En Inicio de sesión, seleccione Inicio de sesión automático con nombre de usuario y contraseña actuales
Windos
fuente
No, las contraseñas están bien. Eso fue lo primero que revisé, naturalmente. Además, no habría cargas parciales de página y un comportamiento errático de "a veces funciona, a veces no funciona" si la contraseña caducó.
Tomalak
2

¿Quizás se está perdiendo parte del apretón de manos de 4 partes con ntlm, es decir, hablando con el proxy? Es decir, si es que le pregunta al proxy sobre páginas de intranet ...

Sé que dijiste que intentaste colocar sitios en la zona de intranet y configurarlos para omitir el proxy. Sin embargo, por curiosidad, ¿qué sucede si deshabilita la configuración del proxy en el navegador por completo? No más ventanas emergentes, ¿verdad?

novato
fuente
Los sitios de intranet no se están cargando a través del proxy. Pero puedo intentarlo.
Tomalak
1
Después de apagar el proxy por completo y agregar manualmente nuestro FQDN de Intranet a la zona de "Intranet" en IE, parece funcionar ATM. No he probado durante mucho tiempo, así que no puedo estar absolutamente seguro. Tal vez es alguna peculiaridad WPAD? Después de todo, el archivo PAC también devuelve "DIRECTO" para este FQDN ...
Tomalak
Parece que encontraste tu respuesta si deshabilitar el proxy funcionó. Iba a sugerir probar Firefox y agregar el nombre del sitio a la configuración de ntlm en la página about: config y ver si eso funcionaba.
Marlon el
0

Intente buscar debajo de las herramientas administrativas debajo del panel de control; abra los asistentes de .NET 1.1 y ajuste la seguridad de .NET a "Full Trust" para intranet.

El tipo respeta
fuente
No hay .NET involucrado en absoluto en las páginas en cuestión. No importará lo que configure allí.
Tomalak
0

¿Ha verificado / cambiado su 'Seguridad de red: nivel de autenticación de LAN Manager' en 'Panel de control / Herramientas administrativas / Política de seguridad local / Políticas locales / Opciones de seguridad'? ( Q823659 )

Aquí ejecutamos un grupo de trabajo (sin servidores de Windows) con una intranet local y un amplio uso de MySQL ... Hasta que no hubiéramos cambiado (o habilitado) la tecla / opción anterior, nada parecía funcionar el 100% del tiempo, esto no era solo un problema de Windows 7. También hemos deshabilitado las opciones 'Requerir cifrado de 128 bits' en las 2 claves NTLM debajo de esto en las PC con Windows 7 ... Todavía recibo problemas ocasionales con la base de datos, pero SQL ha estado bien desde que lo hicimos.

HaydnWVN
fuente
Desafortunadamente, esto no es nada que pueda cambiar. Los GPO de dominio controlan esta configuración. Además, esto no explica el comportamiento errático, esperaría que fallara todo el tiempo cuando la configuración de autenticación de bajo nivel sea incorrecta. : - \
Tomalak
0

Como estás en un dominio y el problema es inesperado, siempre me pregunto dos cosas ...

  1. ¿Se produce el mismo comportamiento para otros usuarios?
  2. ¿Se produce el mismo comportamiento para un usuario de dominio diferente en su máquina?
Paul D'Ambra
fuente
A 1 y 2: sí. Muy desconcertante
Tomalak
Eso hace que parezca que GPO o la configuración de IIS tienen la culpa ...
Paul D'Ambra
0

¿Revisaste estas sugerencias en el sitio de respuestas de MS ? (probablemente lo hiciste ...)

Frank Meulenaar
fuente
Lo haría, pero ese enlace está roto.
Tomalak
Lo siento, el enlace está arreglado.
Frank Meulenaar
Hm. No dados. También prefiero no usar el administrador de credenciales para algo que debería ser autenticación transparente con mi propia cuenta.
Tomalak