Warum führt der Benutzer-Agent-String (der "MSIE-Teil") von Internet Explorer 9 mit Proxy- und / oder NTLM-Authentifizierung in Apache Tomcat 7 durch?

1089
Allende

In meinem Netzwerk stehen wir hinter einem Proxy (pac-Skript), wenn Sie versuchen, auf eine Site im folgenden URL-Format zuzugreifen:

http://serverName.domain.com:8080/somePath

IE (9.0.8112.16421) kann die Website nicht durchsuchen (was http auth NTLM erfordert), aber ich kann die Homepage unter http://serverName.domain.com:8080/ öffnen (was eigentlich der Webserver ist.) Apache Kater Homepage)

Bitte sehen letzte Update, sieht aus wie das Problem mehr im Zusammenhang mit der NTLM Auth ist

Mir ist jedoch aufgefallen, dass Chrome die Website perfekt durchsucht. Durch das Öffnen der Developer Tools (F12) im Internet Explorer und das Festlegen der Benutzeragentenzeichenfolge auf "Chrome" kann der IE ohne weitere Änderungen zur Website navigieren.

Nun ist die Frage, gibt es ein Problem mit Proxy + http auth + dh? << udpate: Hat sich der Proxy nicht geändert? Was ändert sich sonst, wenn ich Chrome User Agent-Zeichenfolgen verwende? Warum funktioniert das auf diese Weise?

Ich habe gelesen und weiß, dass es einige Möglichkeiten gibt, den IE9 (9.0.8112.16421) Benutzeragent wie "dauerhaft" zu ändern, indem IEM ( http://technet.microsoft.com/en-us/library/cc770379.aspx ) und das verwendet wird Windows registrieren, benötigen aber Administratorrechte und wissen nicht, ob es sich um ein Problem handelt oder ob es etwas anderes gibt.

Hinweis: Wenn Sie in Dev Tools (IE) die Registerkarte "Network" (Netzwerk) auswählen, wird "Abgebrochen" angezeigt, und es sind keine Anforderungsheader / -körper vorhanden, sondern nur die Antwortheader.

Key Value Response HTTP/1.1 401 Unauthorized Server Apache-Coyote/1.1 WWW-Authenticate NTLM TlRMTVNTUAACAAAAAAAAACgAAAABggAAAAICAgAAAAAAAAAAAAAAAA== Content-Type text/html;charset=utf-8 Content-Length 951 Date Fri, 16 Jan 2015 17:04:36 GMT Cache-Control proxy-revalidate Proxy-Connection Keep-Alive Connection Keep-Alive Proxy-support Session-based-authentication

Update Ich habe mit Partnern in einem anderen Land nachgefragt und sie können die Site öffnen, ohne die Zeichenfolge des Benutzeragenten zu ändern. Das Proxy-Skript sieht ziemlich gleich aus. Die Informationen über den DNS-Befehl von ipconfig sehen genauso aus etwas in unserem Proxy-Server (wo sich das pac-Skript befindet) << update: war nicht der Proxy >>

Ich denke, ich kann nichts über die DNS-Server verwerfen, da ich durch das Wechseln des Benutzeragenten die Site erreichen kann, aber bitte kommentieren, wenn Sie wissen, dass ich nicht recht habe.

Update 2 Ich habe gerade festgestellt, dass ich mit jedem anderen benutzerdefinierten User Agent die Site öffnen kann. Ich habe sogar das Wort "Hallo" gesetzt und gearbeitet. Nach mehreren try / fail wurde auch festgestellt, dass der "MSIE" -Teil in der Zeichenfolge des Benutzeragenten der Fehler ist (neben jeder anderen fehlerhaften Konfiguration im Proxyserver).

Durch das Entfernen des "MSIE" oder auch nur eines Zeichens kann ich die Site durchsuchen, aber wenn ich diese 4 Zeichen in eine beliebige andere User Agent-Zeichenfolge einbinde, kann ich die Site nicht durchsuchen.

Update 3 Soweit meine Teamkollegen in anderen Ländern auf die Site zugreifen können, ohne eine andere User Agent-Zeichenfolge zu verwenden, zeigt alles auf den Proxy + http-Auth mit Active Directory-Auth oder etwas in der Art, dass ich einige Probleme mit der Kerberos-Auth gelesen habe, aber ich Ich weiß noch nicht, wie es funktioniert und warum der IE Probleme hat.

Update 4 Ich habe gerade die Anfragen / Antworten meiner Teamkollegen geprüft und es sieht ziemlich gleich aus, sie verwenden auch NTLM-Authentifizierung, sie können jedoch mit Internet Explorer auf die Site zugreifen, ohne die Benutzeragentenzeichenfolge zu ändern .

Update 5 Nun, wir haben eine Domain-Migration für unsere lokalen Konten erhalten, abgesehen davon, dass wir nicht durch "andere Netzwerke" gegangen sind (wir sind in Lateinamerika ansässig und meiner Meinung nach war unsere alte Domain in Asien oder so ähnlich, ich habe nicht viele Informationen erhalten.) IT-Seite) kenne keine andere Änderung, aber jetzt funktioniert es. Wenn dennoch jemand eine gute Idee darüber teilen möchte, was sich möglicherweise geändert hat oder wie sich die NTLM-Authentifizierung auswirkt, würde ich mich über Kommentare / Antworten freuen

Hinweise Der Webserver ist Apache Tomcat / 7.0.33 und verwendet HTTP-Authentifizierung. Wissen Sie, dass dies eine Berechtigung im Active Directory ist? Ich habe den Servernamen und die IP-Adresse. Wenn dies durch Berechtigungen geschieht, welche Art von Berechtigung könnte mir fehlen? Beim Wechseln des Benutzeragenten zu Chrome sehe ich die NTLM-Header auf fiddler nicht. Warum habe ich Zugriff mit Chrome User Agent (ohne NTLM-Authentifizierung), aber nicht mit IE (NTLM-Authentifizierung) << Update: Nach der Domänenmigration habe ich Zugriff mit IE und NTLMT-Auth >>?

0
Die von Ihnen besuchte Website kann basierend auf der Benutzeragentenzeichenfolge unterschiedlichen Code bereitstellen. Schwierig zu behandeln, ohne den tatsächlichen Standort zu kennen. Alistair McMillan vor 9 Jahren 0
Ich habe geglaubt, aber andere Partner (Cross Country) sind in der Lage, die Site mit derselben IE-Version zu durchsuchen, die ich verwende, und auch mit einem Pac-Proxy (so ziemlich derselbe Code). Die Site ist nicht öffentlich (deshalb habe ich Dummy-Namen verwendet). So reduzieren Sie mein Problem auf IE oder den Proxy oder beides (ich frage, ob meine ausländischen Partner ihren User Agent mit IEM oder durch Windows-Register geändert haben, aber bis nächste Woche keine Antwort erhalten). Allende vor 9 Jahren 0
Wenn Sie sagen, dass sie dieselbe IE-Version verwenden, meinen Sie, dass Sie alle auf IE9 sind? Es lohnt sich, die genaue Version zu überprüfen (zum Beispiel 9.00.8112.16599). In der Vergangenheit gab es Fälle, in denen sich eine Reihe von Kunden auf einer einzigen IE-Version befanden, eine Handvoll jedoch ihren Browser beim Besuch einer bestimmten Website zum Absturz brachte. Es stellte sich heraus, dass diese Handvoll keine IE-Patches erhalten hatte. Alistair McMillan vor 9 Jahren 0
Mmmm, wir sollten in der gleichen Version sein, da der IE zentral verwaltet wird und wir dieselbe Version installiert haben. Das wird jedenfalls bestätigt. Ich überspringe das also nicht, jetzt könnte das Problem sein, aber Trotzdem stürzt die Webseite / IE nicht wirklich ab. Ich kann sie einfach nicht durchsuchen, wenn IE 9 (9.0.8112.16421) die Standard-Benutzeragentenzeichenfolge verwendet Allende vor 9 Jahren 0
Ich habe mehrere Beispiele für diese Art von Ereignissen gesehen, und alle waren ein serverseitiges Problem. Haben Sie versucht, ein IE-Addon zu verwenden, das den Benutzeragenten fälscht? Thebluefish vor 9 Jahren 0
Kein Addon, aber DevTools hat die Option, eine andere User Agent-Zeichenfolge zu senden, wenn ich "Chrome" (auch mit Opera / Mozilla Firefox) verwende. IE ist in der Lage, die Site zu durchsuchen, und ich habe das mit Fiddler (auch Ändern des Benutzeragenten). Ich glaube nicht, dass es sich um ein serverseitiges Problem handelt, höchstwahrscheinlich etwas im Proxy, aber das von Teamkollegen in anderen Ländern verwendete Proxy-Skript sieht fast gleich aus und die Website funktioniert für sie (nicht perfekt, sie müssen statt des Servers die IP verwenden.) name), aber ich kann die Site sogar mit der IP des Servers durchsuchen Allende vor 9 Jahren 0
Ich kann nur denken, dass IE + Proxy (mit auth) + httpd auth ein schlechtes Rezept ist (und der Server-Besitzer weigerte sich, http auth zu deaktivieren), muss aber erneut überprüfen, ob meine Teamkollegen ihre User Agent-Zeichenfolge mit IEM ändern oder verwenden Windows-Register und die genaue IE-Version. Allende vor 9 Jahren 0
Eine andere Sache, die Sie tun könnten, ist, den Verkehr mit etwas wie [Wireshark] (https://www.wireshark.org) aufzuzeichnen und dann den IE mit seinem eigenen User Agent mit dem IE mit einem anderen User Agent zu vergleichen. Das ist der nächste Schritt, den ich machen würde. Alistair McMillan vor 9 Jahren 0
WireShark fragt nach "winpcap", für das Administratorrechte erforderlich sind, um installiert zu werden. Ich bin mir nicht sicher, ob WireShark verwendet werden kann. Ich kenne mich mit WireShark nicht aus. Bisher habe ich mit dev tools / neworkTab im IE gesucht und bei Verwendung des IE-Benutzers den Status abgebrochen Agent, wenn Chrome User Agent eingestellt ist, zeigt die Anforderung den Status 200 und die Website wird angezeigt Allende vor 9 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme