我有Windows Server 2008 SP1上的IIS 6.1。 有一个只启用Windows身份validation的Web应用程序。 这只有一个提供者:NTLM。 当我工作时,它工作正常 – 直到服务器重新启动。 重新启动后,始终显示login对话框,但login始终失败。 我已经尝试重新启动IIS和应用程序池,但这没有帮助。 什么工作是启用和禁用身份validation机制 – 例如匿名。 在摆弄了一段时间之后,NTLM运行 – 直到下一台服务器启动。 在日志中我可以看到以下内容: #Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken 2016-01-14 12:56:11 127.0.0.1 GET /Pages/MainPage.aspx – 80 – 127.0.0.1 Mozilla/5.0+(compatible;+MSIE+10.0;+Windows+NT+6.1;+WOW64;+Trident/6.0) 401 2 5 0 2016-01-14 12:56:11 127.0.0.1 GET /Pages/MainPage.aspx – 80 […]
不知道这是否是正确的stackexchange网站问这个,但在这里。 我有2个服务器(win 2003和2012)尝试使用相同的Windows域帐户与UNIX框(与Apache Web服务器)进行NTLM身份validation。 赢得2003年服务器的作品完美,但赢得2012年一个不断给“未经授权”的错误。 我用wireshark试图捕捉什么是差异,它归结为“谈判密封”和“谈判标志”。 坏服务器有这些标志为“未设置”。 我怎样才能让他们“设置”? 谢谢!
我想使用Windows身份validation(正式的NTLM)来设置代理服务器,我知道有更好的协议可以使用(摘要等)。 我一直在努力寻找如何设置它的信息。 到目前为止,我发现你需要获得一个IIS服务器并设置代理转发。 可悲的是没有任何工作,任何信息,你可能会不胜感激。 一个理想的答案将是如何设置一个Windowsauthentication的代理服务器一步一步的指导。
我协助运营一个拥有约40名成员的小型AD域名。 对于其中的一个成员,每个星期三晚上12点,身份validation将尝试浏览到公司内部网或帮助台时失败。 这些站点在IIS v8.5本地托pipe 我们安装了趋势科技,并设置为在每星期三的12点进行扫描,所以我认为必须将其从电脑中彻底移除AV客户端。 这个问题仍然存在,但我的想法已经过时了! 我使用Fiddler来查看正在发送的http请求,无论身份validation是否成功,来自客户端的请求看起来都是100%。 在下午12点,我会得到一个401未经授权的回应。 在12:10 PM,我会得到一个200 OK。 身份validation失败提琴手捕获: http : //imgur.com/a/A8ONA 工作authentication提琴手捕获: http : //imgur.com/a/8qGUX 任何帮助或想法将不胜感激! 谈到IIS和身份validation时,我已经超出了我的深度:s
我是我参加的大学企业系统的学生工作者。 我们正在转换到新版本的Exchange。 我们试图在我们的testing环境中使用telnet来跟踪消息,但是我们无法确定如何正确inputAUTH NTLM用户名/密码string。 它需要被转换为base64。 格式是什么? 像“域/用户密码”? 对不起,如果这不正确的话,因为我还是很新的这个。 如果这是完全错误的,那么在端口587上连接ntlm的适当步骤是什么?
我负责解决我们在SP2010网站上遇到的问题。 该应用程序是外部的,有几个客户端必须连接。 某些客户端在尝试login时收到大量的凭证请求。 它似乎要求每个唯一的URL(例如,每个不同的图片,链接等),它不会停止。 其他客户没有问题。 我似乎也无法复制这个问题。 我试图通过限制在我自己的浏览器上的所有设置(包括cookies)复制,但无济于事。 我把HTTP请求放在显微镜下,它要求提供NTLM证书。 客户端正在使用IE8,浏览器正在保护模式下运行,但浏览器设置无法确定… 我猜这是一个networking服务器的事情,只是因为它似乎是一个身份validation的事情。 这个问题可能是什么?
我在使用IE8的NTLM单点login时遇到问题。 我们有多个域控制器和来自多个域的用户,我们尝试通过NTLMv1 passthru向Web应用程序进行身份validation。 不知何故,IE无法发送NTLMtypes1消息中的用户域。 这样做的结果是,webapp无法将用户正确地匹配到其域控制器,导致login尝试失败,因为来自域X的用户尝试向域控制器Y进行身份validation。 Firefox不会出现这个问题,因为它总是发送正确的域标头。 那么:如何让IE发送域名到NTLM头?
我遇到了与案例139099中描述的非常类似的问题,但是那里的修复似乎不适用于我。 以下是详细信息: 服务器: Win2003Srv R2 SP2 Stadalone,不是域的成员。 IIS6,TCP / 443(https)。 匿名访问被禁用。 启用集成Windows身份validation。 本地使用情况 每个useraccount拥有自己的虚拟文件夹,具有更改访问权限并可以读取站点根目录。 “adsutil NTAuthenticationProviders”NTLM“”设置为站点根目录和useraccount的虚拟文件夹(如MS知识库文章215383中所述 )。 客户: Win7企业版 AD域的成员 IE8 允许三次login尝试失败。 在login窗口中使用[webservername] \ [username](Windows安全) 使用其他浏览器(Chrome和Firefox)login工作正常。 Web服务日志显示一个401.2和两个401.1事件。 安全事件日志显示两个事件,第一个是Fauilure审计(680),第二个事件是Fauilure审计(529)与这些细节: Logon Failure: Reason: Unknown user name or bad password User Name: [username] Domain: [webservername] Logon Type: 3 Logon Process: NtLmSsp Authentication Package: NTLM Workstation Name: [MyWorkstation] Caller […]
我试图在Windows Server 2008 R2计算机上启用IIS 7.5的NTLM身份validation,以查看Web根目录中的特定文件。 我一直在按照这些说明http://docs.moodle.org/en/NTLM_authentication#IIS_Configuration 在IISpipe理器中,我打开Authentication模块,禁用匿名身份validation并启用Windows身份validation,但根据每一个post,我可以find关于此事我应该有一个“提供者”选项出现,但我不知道。 我已经在服务器pipe理器中检查了IIS的“Windows身份validation”安全function。 任何人可以提供的帮助将是伟大的, 谢谢!
我有一个经典的ASP编写的web服务。 在这个Web服务中,它试图通过DCOM在另一台服务器上创build一个VirtualServer.Application对象。 这与权限被拒绝失败。 不过,我有另一个组件在相同的远程服务器上的这个相同的web服务实例化,创build没有问题。 这个组件是一个定制的内部组件。 webservice从一个独立的EXE程序调用,它通过WinHTTP调用它。 已经证实,WinHTTP正在使用Kerberos对web服务进行身份validation。 用户身份validation到Web服务是pipe理员用户。 EXE到webserviceauthentication步骤是成功的,并与Kerberos。 我用DCOMCNFGvalidation了远程计算机上的DCOM权限。 默认限制允许pipe理员本地和远程激活,本地和远程访问,以及本地和远程启动。 默认组件权限允许相同。 这已经被validation。 工作组件的单个组件权限被设置为默认值。 VirtualServer.Application组件的单个组件权限也被设置为默认值。 基于这些设置,web服务应该能够实例化并访问远程计算机上的组件。 在运行这两个testing的同时设置Wireshark跟踪,一个与工作组件一起,另一个与VirtualServer.Application组件一起显示一个intresting行为。 当web服务正在实例化工作,定制,组件时,我可以看到RPCSS端点映射器上的请求首先执行TCP连接序列。 然后我看到它执行绑定请求与适当的安全包,在这种情况下kerberos。 在获得正在运行的DCOM组件的端点后,它通过Kerberos再次连接到DCOM端点进行身份validation,并成功地实例化和通信。 在失败的VirtualServer.Application组件上,我再次看到具有Kerberos的绑定请求成功转到RPCC端点映射器。 但是,当它尝试连接到虚拟服务器进程中的端点时,它将无法连接,因为它只尝试使用NTLM进行身份validation,NTLM最终失败,因为Web服务无权访问凭据以执行NTLM哈希。 为什么它试图通过NTLM进行身份validation? 附加信息: 这两个组件通过DCOM在同一台服务器上运行 这两个组件在服务器上作为本地系统运行 这两个组件都是Win32服务组件 这两个组件具有完全相同的启动/访问/激活DCOM权限 两个Win32服务都设置为以本地系统运行 拒绝的权限不是权限问题,据我所知,这是一个身份validation问题。 权限被拒绝,因为NTLM身份validation与NULL用户名而不是Kerberos委派使用 受约束的委托设置在托pipeWeb服务的服务器上。 托pipeweb服务的服务器被允许委托给rpcss / dcom-server-name 承载web服务的服务器被允许委托给vssvc / dcom-server-name dcom服务器被允许委托给rpcss / webservice-server 在dcom服务器上注册的SPN包括rpcss / dcom-server-name和vssvc / dcom-server-name以及HOST / dcom-server-name相关的SPN 在webservice-server上注册的SPN包括rpcss / webservice-server和HOST / webservice-server相关的SPN 任何人都有任何想法,为什么试图在远程服务器上创build一个VirtualServer.Application对象回落到NTLM身份validation导致它失败,并获得权限被拒绝? 附加信息:当以下代码在web服务的上下文中运行时,直接通过仅testing的,刚刚开发的COM组件运行,它在具有拒绝访问的指定行上失败。 […]