背景(仅相关部分):
我们有一个大型 Intranet asp.net 2.0/3.5 应用程序。
Web服务器是AD域上的Windows Server 2003。
客户端使用 Windows、IE 6-8。
Windows 身份验证,具有从 Windows 身份创建的自定义主体。
Web 服务器位于 F5 NLB 后面,F5 NLB 将用户转发到特定的 Web 服务器。 (其原因是我们公司的 F5 与 kerberos 交易的限制)。
不存在系统范围的问题,例如会话丢失、超时或服务器超载,一切都运行良好。
其中一项功能需要委派 - 我们使用域/Web 服务器提供给我们的 Kerberos 令牌作为经过身份验证的用户连接到网络文件共享。
SPN、ACL 等似乎已正确设置。
99.x% 的情况下,一切正常。我们经常看到的问题是,在刷新时,令牌会从 kerberos 下降到 ntlm。我可以在 Web 服务器的事件日志中看到登录信息,其中显示一个调用收到此消息:
登录过程:Kerberos
身份验证包:Kerberos
随后的调用(通常在 10 或 20 个页面加载后)会得到以下结果:
登录过程:NtLmSsp
身份验证包:NTLM
任何人都知道什么可能导致后续回发有时会进入 NTLM?
Thanks!
识别问题所需的所有工具和技术都在。那份文件从来没有让我失望过。
NTLM 后备
您可能会发现
安全日志记录了一个事件
使用 NTLM 进行登录时
它应该是使用 Kerberos 发生的
验证。
Problem
那里有两个
可能发生这种情况的情况:
- 第一种情况是
系统尝试使用身份验证
Kerberos 协议,但失败了。作为
结果,系统尝试
使用 NTLM 进行身份验证。视窗
Server 2003、Windows XP 和 Windows
2000 使用一种称为 Negotiate 的算法
(SPNEGO)协商哪个
使用身份验证协议。
虽然 Kerberos 协议是
默认,如果默认失败,
协商会尝试NTLM。
- 第二
情况是这样一种情况:
协商返回 NTLM 作为唯一
协议可用。
确认
这
第一种情况将导致
Kerberos 身份验证失败
你可以通过检查来调查
事件日志或数据中的错误
网络监视器捕获的数据包。
两种调查方法都是
本文档稍后讨论...
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
