Windows Security-Anmeldefenster in IE8, IE9, FireFox, aber nicht Chrome?

1949
oscilatingcretin

Ich schwöre, dass ich vor einigen Wochen eine Frage dazu erstellt habe, aber vielleicht habe ich sie gelöscht, da ich sie nirgendwo finden kann.

  • ASP.NET 4.0
  • IIS6
  • Windows Server 2003
  • Intranetsite mit Windows-Authentifizierung
  • Drei Server mit demselben Betriebssystem und derselben IIS-Version, auf denen jeweils eine Entwicklungs-, Produktions- und Notfallwiederherstellungsversion (DR) derselben Website gehostet wird

Betrachten Sie nun diese Reihenfolge der Ereignisse:

  • Der Benutzer startet mit dem IE8 und den Versionen von FF und Chrome
  • Der Benutzer kann nur auf die DR-Site zugreifen. Die Anmeldeaufforderung weigert sich, sie mit ihren Windows-Anmeldeinformationen für die anderen Websites zu authentifizieren, sodass sie sich nicht anmelden können
  • Sie installieren eine neue Kopie von Windows 7 und führen ein Upgrade auf IE9 durch. Jetzt können sie auf die dev- und DR-Sites in IE9 zugreifen. Sie können auf alle drei Sites in Chrome zugreifen.

Ich habe in den Interneteinstellungen Folgendes überprüft:

  • Automatische Anmeldung mit aktuellem Benutzernamen und Passwort
  • Aktivieren Sie die integrierte Windows-Authentifizierung

Ich bin darauf in MSKB gestoßen: http://support.microsoft.com/kb/215383

Die Metabase-Eigenschaft NTAuthenticationProviders ist nicht definiert. Daher sollte IIS Negotiate,NTLMstandardmäßig verwendet werden.

Andere Details:

  • Dies begann erst vor wenigen Wochen. Der Benutzer konnte mit IE8 problemlos auf unsere Website zugreifen.
  • Keine anderen Benutzer haben dieses Problem.

Weiß jemand, was dazu führen könnte, dass sein Browser die Authentifizierungsinformationen nicht an den Server sendet? Hier ist ein Screenshot des Authentifizierungsfensters, das der Benutzer sieht:

Weitere Details

Folgendes wird in der Sicherheitsereignisanzeige für diesen Benutzer angezeigt. Ich habe vertrauliche Informationen mit ausgeblendet ?.

Ereignistyp: Erfolgsprüfung Ereignisquelle: Sicherheit Ereigniskategorie: Anmelden / Abmelden  Ereignis-ID: 538 Datum: 14.07.2014 Zeit: 1:27:37 nachmittags Nutzer: ?\? Computer: ? Beschreibung: Benutzerabmeldung: Nutzername: ? Domain:? Anmelde-ID: (0x0,0x3F99497F) Anmeldetyp: 3  Ereignistyp: Erfolgsprüfung Ereignisquelle: Sicherheit Ereigniskategorie: Anmelden / Abmelden  Ereignis-ID: 540 Datum: 14.07.2014 Zeit: 13:27:14 Uhr Nutzer: ?\? Computer: ? Beschreibung: Erfolgreiche Netzwerkanmeldung: Nutzername: ? Domain:? Anmelde-ID: (0x0,0x3F997233) Anmeldetyp: 3 Anmeldeprozess: NtLmSsp  Authentifizierungspaket: NTLM Arbeitsplatzname:? Anmelde-GUID: - Anrufer-Benutzername: - Anruferdomäne: - Anrufer-Anmelde-ID: - Anruferprozess-ID: - Transited Services: - Quellnetzwerkadresse:? Quellport: 16220

Windows Security-Anmeldefenster in IE8, IE9, FireFox, aber nicht Chrome?

3
Können Sie Ihre Frage etwas klären? Sie sagen, dass Chrome für alle drei Sites funktioniert, aber die anderen Browser funktionieren nicht speziell beim Zugriff auf die Produktionssite? Meldet sich der Benutzer als Domänenbenutzer an dem Computer an und führt den Browser auf jeden Fall als diesen Benutzer aus? James P vor 9 Jahren 0
Was sind auch die Fehlermeldungen? Haben Sie zu der Zeit etwas in der Ereignisanzeige von Server und Client? harrymc vor 9 Jahren 1
@ harrymc Ich habe meine Frage mit Details aktualisiert. oscilatingcretin vor 9 Jahren 0
"Anmeldeaufforderung weigert sich, sie mit ihren Windows-Anmeldeinformationen zu authentifizieren" - geben Sie bitte die genaue Fehlermeldung an. harrymc vor 9 Jahren 0
Versuchen Sie auch, den CRL-Cache zu löschen, indem Sie an einer Admin-Eingabeaufforderung "certutil -setreg chain \ ChainCacheResyncFiletime @ now" ausführen. Haben Sie auch eine Domain und arbeiten die 3 Sites mit http oder https? harrymc vor 9 Jahren 0
@ harrymc Antwort auf Fehlermeldung erhalten (ich glaube nicht, dass es eine gibt). Die Site arbeitet mit http, nicht mit https. In Bezug auf das Löschen des CRL-Caches scheint es, dass dies einen Neustart des Windows Server 2003-Computers erforderlich macht. Da wir eine große Anzahl kritischer Apps auf diesem Server haben, möchte ich dies als letzten Ausweg untersuchen. Erklärt sich das trotzdem, wie der Benutzer sich mit Chrome authentifizieren kann? Warum geben ihm nur IE8 / 9 und Firefox Probleme? oscilatingcretin vor 9 Jahren 0
Der Cache sollte auf dem Client gelöscht werden. Keine Ahnung, ob es sich um eine Lösung handelt, einfach um Ideen auszuprobieren, aber ihre Funktion kann auch informativ sein. harrymc vor 9 Jahren 0
@scilatingcretin: Haben Sie auf dem PC, den der betreffende Benutzer verwendet, überprüft, ob Uhrzeit / Datum korrekt sind? Idealerweise sollte es mit der Domäne synchronisiert werden, da die Windows-Authentifizierung sonst zu einem Bruch führen kann. James P vor 9 Jahren 0
@scilatingcretin: Haben Sie auch versucht, die Sites manuell zur Intranetzone in IE hinzuzufügen, falls sie nicht als solche erkannt werden? James P vor 9 Jahren 0

1 Antwort auf die Frage

1
harrymc

Die Aktivierung der automatischen NTLM-Identifizierung erfolgt wie folgt.

Internet Explorer

  • Greifen Sie über IE auf Interneteinstellungen über "IE -> Extras -> Internetoptionen" oder über Systemsteuerung -> Internetoptionen zu
  • Wechseln Sie zur Registerkarte Sicherheit
  • Klicken Sie auf Sites
  • Klicken Sie entweder auf Lokales Intranet oder Vertrauenswürdige Sites
  • Fügen Sie Ihre Sites der Liste hinzu
  • Deaktivieren Sie ggf. die Option "Serverüberprüfung (https :) für alle Sites in dieser Zone erforderlich".
  • Klicken Sie auf Schließen
  • Klicken Sie auf Stufe anpassen
  • Scrollen Sie unter User Authentication / Logon nach rechts und stellen Sie sicher, dass "Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort" aktiviert ist.
  • OK klicken

Google Chrome

Google Chrome verwendet tatsächlich dieselben Einstellungen, die der IE verwendet, dh die Einstellungen unter Systemsteuerung -> Internetoptionen.

Feuerfuchs

  • Öffnen Sie Firefox und geben Sie "about: config" in die Adressleiste ein (ohne Anführungszeichen)
  • Im Feld 'Filter' network.automatic-ntlm-auth.trusted-uris
  • Doppelklicken Sie auf das Obige und geben Sie die URLs von Websites oder ganzen Domänen ein, getrennt durch Kommas
  • Wenn Ihre Sites keinen FQDN verwenden (beispielsweise http://intranetanstelle von http://intranet.domain.com), führen Sie auch Folgendes aus :
    • Auf network.automatic-ntlm-auth.allow-non-fqdnwahr setzen
    • Auf network.negotiate-auth.allow-non-fqdnwahr setzen
Ich habe bereits dafür gesorgt, dass der Benutzer alles oben im IE macht. Bedeutet das Authentifizierungspaket: NTLM im Serverprotokolltext, das ich oben gepostet habe, nicht, dass er NTLM verwendet? oscilatingcretin vor 9 Jahren 0
Der Server zeigt eine erfolgreiche NTLM-Anmeldung an, aber ich habe verstanden, dass das Problem der Anmeldedialog auf der Clientseite ist. Daher sollten Sie die Anmeldeinformationen des aktuellen Benutzers verwenden. Wenn diese Anmeldeinformationen auf dem Server nicht bekannt sind, wird das Dialogfeld angezeigt. Da Chrome funktioniert, scheinen diese Anmeldeinformationen tatsächlich richtig zu sein. Ich frage mich, ob Firefox mit den oben genannten Korrekturen auch funktionieren wird. Für IE hatte ich in den Kommentaren die Idee, den Cache für Berechtigungsnachweise auf dem Client zu löschen, aber es ist möglicherweise mehr Arbeit erforderlich. Was passiert genau, wenn ein Zugriff nicht erfolgreich ist? harrymc vor 9 Jahren 0
Ich habe dem Benutzer empfohlen, den CRL-Cache zu löschen. Habe keine Antwort gehabt. Wenn der Zugriff nicht erfolgreich ist, wird die Aufforderung immer wieder ohne Fehlermeldung angezeigt. Er bekommt nicht einmal eine Nachricht, die etwas wie "Login erfolglos" oder "ungültige Anmeldeinformationen" sagt. Ich werde morgen mehr ausprobieren. oscilatingcretin vor 9 Jahren 0

Verwandte Probleme