在我们的大型企业环境中,我们有4台ISA 2006服务器。 用户(WinXP IE8)configuration了一个自动代理configuration脚本。 最近,PAC被修改为返回FQDN而不是ISA服务器的IP地址。 这是为了强制Kerberos身份validation,而不是NTLM。
这种改变已经造成了一些用户的间歇性问题。 通过SSL访问站点时,他们会从代理服务器获取多个提示进行身份validation。 并非所有用户都受到影响。 不同的网站受到影响。 有一次,代理服务器之一开始喷出“502代理错误,不支持缓冲区空间”。 它被重新启动,并恢复了业务。
我们可以最好地认识到,它与大型Kerberos令牌大小(我们是一个具有数百/数千AD安全组的大型操作)有关。
一些用户为Kerberosconfiguration了MaxPacketSize和MaxTokenSize。 有些不是。 我看到的两个问题用户都有这些设置。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters] "MaxPacketSize"=dword:00000001 "MaxTokenSize"=dword:0000ffff 回滚PAC以使用IP地址(和NTLM)解决了用户的问题。 但是代理pipe理员仍然希望Kerberos出于以下原因: 为什么在IIS中使用Kerberos代替NTLM? 。
将这些registry设置推出给所有用户修复问题,还是这些设置问题的根源?
在ISA服务器上有一个设置需要调整,以匹配桌面上的令牌大小设置?
谢谢。
可能是令牌大小问题。 所有的电脑都应该有这些设置值。
另一种可能是如果有任何策略filter指定了最大的http头长度。
由于Kerberos将群组成员资格存储在pac中,因此使用编码并插入到每个http请求标头中的集成authentication。 任何涉及kerberos集成身份validation的http需要非常慷慨,最大的请求头大小。
这个描述还有一个症状的修补程序。
当用户尝试访问某些网站时,ISA Server 2006 Web代理客户端收到错误代码502
http://support.microsoft.com/kb/935693
http://www.isaserver.org/tutorials/configuring-isa-server-2006-http-filter.html