Internet ExplorerがイントラネットゾーンでNTLM資格情報を要求し続けるのはなぜですか?


23

長いテキスト、ごめんなさい。できるだけ具体的にしようとしています。

Windows 7を使用していますが、Internet Explorer 8の非常にイライラする動作を経験しています。私は社内LANにイントラネットサーバーと外部と接続するためのプロキシを持っています。

「IE」ステータスバーに示されているように「ローカルイントラネット」として明確に認識されているサイトでは、ログインを要求する「Windowsセキュリティ」ダイアログボックスが表示されます。これらのページは、「統合Windowsセキュリティ」 NTFSを有効にすると、ファイル自体に対するEveryone:Readが許可されます。

  • Windows資格情報を入力すると、ページは正常にロードされます。ただし、「資格情報を記憶する」にチェックマークを付けたかどうかに関係なく、ダイアログボックスは次回ポップアップ表示されます。(資格情報は「資格情報マネージャー」に保存されますが、これらのログインボックスが表示される頻度に違いはありません。)
  • [キャンセル]をクリックすると、次の2つのいずれかが発生する可能性があります。特定のリソース(画像、スタイルシートなど)が欠落してページがロードされるか、まったくロードされず、HTTP 401.2を取得します(不正:サーバーによるログオン失敗構成)。これは、ログオンボックスがページ自体によってトリガーされたか、参照されたリソースによってトリガーされたかによって異なります。
  • 動作は完全に不安定で、ページがスムーズにロードされる場合と、1つのリソースがログオンメッセージをトリガーする場合とそうでない場合があります。単にページを再ロードするだけでも、動作が変わる可能性があります。

プロキシ検出メカニズムとしてWPADを使用しています。すべてのイントラネットホストは、PACファイル内のプロキシをバイパスします。

考えられるすべてのIE設定をチェックし、入力されたホストパターン、個々のホスト名、「ローカルイントラネット」ゾーンに対する考えられるすべての構成のIP範囲をチェックし、「プロキシサーバーをバイパスするすべてのサイトを含める」にチェックを付けます。結局のところ、「うまくいかないこともある」ということになり、ゆっくりと頭を失っています。;-)

これは、IEがNTLM資格情報をWebサーバーに自動的に渡すのではなく、代わりに尋ねるIEに関連していることを認識しています。通常、これはNTLMで保護されたサイトでのみ発生し、「イントラネット」ゾーンにあると認識されません。

説明したように、これはここでは当てはまりません。特に、ページの半分が完全に、中断することなくロードでき、一部のページのリソース(同じサーバーから来る!)がログインメッセージをトリガーするためです。

私はhttp://support.microsoft.com/kb/303650を見ましたが、これは問題を説明する印象を与えますが、何も機能していないようです。そして率直に言って、この種の問題に対する「レジストリの手動編集」が正しい解決策であるかどうかは定かではありません。結局のところ、IE /イントラネット/ IIS構成を使用しているのは私だけではありません。

私は迷っています、誰かが私にヒントを与えることができますか?


申し訳ありませんが、抵抗することができませんでした。キャプテン、ニュートラルゾーンでどれだけお互いを見つめ合うでしょうか。
-allquixotic

回答:


11

これが表示されるのは、ユーザーのパスワードの有効期限が切れている場合のみです。これが表示されたら、ユーザーにパスワードを変更してもらい、適切な方法で新しい資格情報でログアウトしてからログインし直してください。イントラネットサイトは資格情報を要求しなくなりました。

多くの迅速なサポートの呼び出しになります...

また、ローカルイントラネットゾーンが現在のユーザー名とパスワードで自動ログオンに設定されていることを確認してください。これを行うには:

  1. 道具
  2. インターネット設定
  3. [セキュリティ]タブを左クリックします
  4. カスタムレベルを左クリック
  5. ユーザー認証までスクロールダウンします
  6. [ログオン]で、[現在のユーザー名とパスワードを使用した自動ログオン]を選択します。

いいえ、パスワードは問題ありません。それが私が最初にチェックしたことでした。また、パスワードが期限切れになった場合、ページの部分的な読み込みはなく、「時々動作することもあれば動作しない」という不安定な動作もありません。
トマラック

2

おそらく、ntlmで行われている4つの部分からなるハンドシェイクの一部が、プロキシとの会話で失われているのでしょうか?つまり、つまり、イントラネットページについてプロキシに問い合わせている場合...

サイトをイントラネットゾーンに配置し、プロキシをバイパスするように設定しようとしたとおっしゃっています。ただ興味がありますが、ブラウザでプロキシ設定を完全に無効にするとどうなりますか?ポップアップはもうありませんか?


イントラネットサイトは、プロキシを介して読み込まれていません。しかし、私はそれを試してみることができます。
トマラック

1
プロキシを完全にオフにし、IEの「イントラネット」ゾーンにイントラネットFQDNを手動で追加すると、ATMが機能しているように見えます。私は長い間テストしていないので、私は絶対に確信することはできません。多分それはWPADの特異性でしょうか?結局、PACファイルはこのFQDNに対しても「DIRECT」を返します…
トマラック

プロキシを無効にすると、答えが見つかったようです。Firefoxを試し、about:configページのntlm設定にサイトの名前を追加して、それが機能しているかどうかを確認することをお勧めします。
マーロン

0

コントロールパネルの下の管理ツールの下を見てください。.NET 1.1ウィザードを開き、イントラネットの.NETセキュリティを「完全信頼」に調整します。


問題のページに含まれる .NETはまったくありません。そこで何を設定しても構いません。
トマラック

0

「コントロールパネル/管理ツール/ローカルセキュリティポリシー/ローカルポリシー/セキュリティオプション」で「ネットワークセキュリティ:LAN Manager認証レベル」を確認/変更しましたか?(Q823659

ここでワークグループを実行します(Windowsサーバーなし)。ローカルイントラネットとMySQLの幅広い使用...上記のキー/オプションを変更(または有効化)するまで、何も100%動作しないようでしたが、これはそうではありませんでした。 Windows 7の問題です。また、Windows 7 PCでは、この下にある2つのNTLMキーで「128ビット暗号化が必要」オプションを無効にしました。データベースの問題が時々発生しますが、SQLはうまくいきました。


残念ながら、これは私が変更できるものではありません。ドメインGPOがこの設定を制御しています。また、これは不安定な動作を説明していません。低レベルの認証設定が間違っていると、常に失敗することが予想されます。:-\
トマラック

0

あなたがドメインにいて、問題が予想外であるので、私はいつも2つのことを疑問に思う...

  1. 同じ動作が他のユーザーにも発生しますか?
  2. マシン上の異なるドメインユーザーに対して同じ動作が発生しますか?

1と2に:はい。非常に不可解です。
トマラック

...それはGPOのように感じるか、IIS設定のせいにされますこと
ポールD'Ambraの

0

MSアンサーサイトでこの提案を確認しましか?(おそらくあなたがした...)


私はそうしますが、そのリンクは壊れています。
トマラック

申し訳ありませんが、リンクは修正されています。
フランクMeulenaar

ふむ サイコロなし。また、自分のアカウントで透過的な認証を行う必要がある場合は、資格情報マネージャーを使用しません。
トマラック
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.