我创build了一个asp.net网站,可以从同一个域上运行的客户端浏览器访问。 我在IIS 7.5上托pipe了该网站 我已禁用IIS部分下function视图的匿名身份validation和启用Windows身份validation。 我在网站的web.config中添加了以下内容: <authorization> <allow users="group\BizTalk Application Users" /> <deny users="?" /> </authorization> 在托pipe站点的服务器上运行时,我可以从浏览器打开网站。 但是,如果我然后login到相同的域中使用相同的凭据不同的服务器,当我尝试浏览到该网站时,我得到一个HTTP 403错误。 上面没有喜悦后,我试图禁用网站的所有安全。 我禁用了Windows身份validation并启用了匿名身份validation,但仍然收到相同的错误。 我检查了服务器上的IIS日志,可以看到403的子代码是18。 我已经在客户端上运行提琴手,看到下面的请求/响应: 请求 GET http://tst-bts01/Vasanta.Int.SEOPSupportApp/Orders.aspx HTTP/1.1 Accept: image/jpeg, image/gif, image/pjpeg, application/x-ms-application, application/xaml+xml, application/x-ms-xbap, application/vnd.ms-excel, application/vnd.ms- powerpoint, application/msword, */* Accept-Language: en-GB User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET […]
我们有一个内部网站,即xxx.yyyy.com,用户通过input“http”://xxx.yyy.com访问。 当我们迁移到在新的2003服务器上运行的IIS 7时,我们的问题就开始了。 我们摆脱了单点login代码,并实现了一个安全模型,在该模型中捕获用户的域凭证,然后对用户数据库进行身份validation。 为了获得传递给我们的ASP.NET应用程序的域凭据,我们有以下设置: 匿名身份validation:禁用ASP.NET模拟:启用基本/摘要/窗体身份validation:已禁用Windows身份validation:已启用 我们允许“*”否认“?” 在web.config中。 从任何客户端PC上浏览“http”://xxx.yyy.com会导致一个域名login提示,如果你input一个合适的用户/密码,你可以进入。 但是,在远程login到服务器时浏览“http”://xxx.yyy.com将导致3个域login提示,并最终出现401错误 – 未经授权。 我们已经将这种行为追溯到我们的网站有问题,我们有网页做“屏幕抓取”使用HttpRequest在同一台服务器上调用一个url。 当从任何其他客户端执行HttpRequest时,使用通过授权凭证的testing工具,一切都很好。 因此,服务器上的内部HttpRequest调用失败,就像尝试从远程会话中浏览该服务器的URL一样。 为什么要在服务器xxx.yyy.com上的“http”://xxx.yyy.comvalidation失败?
我今天浏览了我的安全审计日志,注意到一些用户有540个login成功,然后是538个快速注销(我的意思是用户在login后的1到30秒之间login)。 有一个特别的,我很好奇,主要是因为我知道用户在度假,不会login到他们的电脑。 一些重要的笔记 – 用户正在休假,身份validation来自办公室的工作站 – 他们的工作站被留下 – 用户可以通过RDP直接连接到他们的工作站 – 这个用户有一个助理,可以访问很多这些用户的东西(Outlook,networking密码等) – 这个用户电脑过去曾经有一个病毒,我相信我们已经清理了(Malwarebytes显示干净,HiJackThis日志看起来干净,他们的计算机上运行的是杀毒软件)。 清理病毒后,我们让用户更改密码 我的问题是,什么可能导致我的networking快速login/注销? 任何有识之士将不胜感激!
我有一个产品,我正在评估称为bugtracker.net,它有能力通过两个身份validationWindows身份validation。 和一个本地数据库与用户帐户。 为了这个工作,我需要让代码处理对数据库的身份validation,但我也有一个表单,对AD进行身份validation。 对于这一个文件工作“loginnt.aspx”,它需要设置为使用Windows授权,但我需要该文件夹的其余部分允许匿名访问。 请帮助我这么接近得到这个工作,并且说明书是为iis6写的,这个能力不可能在iis7中丢失?
我一直使用Mac上的Navicat SQL(雪豹)通过“基本身份validation”连接到MS 2005,一切都很好。 然而,数据库现在正在迁移到MS 2008,尝试我可能不能通过Windows身份validation。 我收到消息 [FreeTDS] [SQL Server]login失败。 login来自不受信任的域,不能与Windows身份validation一起使用。 [FreeTDS] [SQL Server]无法连接到数据源 任何想法都会被大家所接受。 非常感谢。
我有一个转发代理托pipe在IIS启用Windows身份validation。 Firefox设置为使用代理。 问题是,我不知道如何处理network.automatic-ntlm-auth.trusted-uris 。 显然,firefox没有意识到,每当我去任何网站,我实际上是代理身份validation,而不是网站本身,它总是要求input用户名和密码。 如果我添加一些网站到可信赖的名单,他们工作得很好,但我显然不能将整个互联网添加到它。 如果有人在某个时候禁用了代理服务器,这似乎也是一个非常严重的安全风险。 将代理本身添加到列表中似乎没有任何作用。 那么,我该如何设置这个firefox会自动提供凭据的代理?
我正在IIS 7.5服务器(Win Server 2008 R2)上安装Web应用程序,并且遇到了Windows身份validation问题。 我已经做了这个安装几十次,但这个有我卡住,所以任何build议非常欢迎。 概要 只有pipe理员可以通过Windows身份validation连接到我的网站,但我希望所有用户都能通过身份validation。 pipe理员可以通过本地主机和另一台工作站从机器连接两者。 其他用户将被提示input凭据,而不是自动进行身份validation,并被拒绝访问。 这是尽pipe给每个人完全控制的网页目录。 详细情况 : 使用作为NETWORK SERVICE运行的应用程序池创buildWeb应用程序。 已启用Windows身份validation,所有其他人禁用 Windows身份validation具有内核模式= true(即默认的IIS),并提供者是命令NTLM,协商(尽pipe我也尝试了另一种方式)。 所有login都在同一个域上,而Web服务器在该域上。 应用程序安装在C:\MyApplication\App\ 当login到服务器(作为pipe理员帐户),我可以导航到http://localhost/MyApp并自动进行身份validation。 login到服务器(作为pipe理员帐户)时,我导航到http://webserver.full.domain.com/MyApp并提示input凭据。 input3次后,我得到401.1未经授权的页面。 以常规用户帐户login到工作站时,导航到http://webserver/MyApp提示input凭据3次,然后显示“拒绝访问”消息。 当以服务器上的pipe理员帐户login到工作站时,我也可以导航到http://webserver/MyApp并自动进行身份validation。 使用其他帐户login不起作用。 这似乎对我来说特别怪异,这表明它只是关于权限…但权限似乎很好?! 即使在本文中启用了详细的Kerberos日志logging,也没有logging到安全事件日志的故障。 SPN似乎设置正确,因为我从另一台机器上使用了“setspn -L servername”,并看到两个条目HOST/servername和HOST/servername.full.domain.com 。 服务器上还有另一个应用程序,作为NETWORK SERVICE运行,在IIS中使用匿名身份validation,然后使用SQL集成安全性连接到SQL Server。 它不使用模拟,因此连接到SQL Server作为机器身份DOMAIN\SERVER$ 。 这工作正常。 我提到这一点,因为它表明该机器在域上没有根本问题,因为它的身份被SQL Server接受。 我已将NETWORK SERVICE完全控制权授予应用程序所在的Web服务器文件夹( C:\MyApplication\ )。 我已经给了authentication的用户读/列表/执行权限。 来自工作站的Internet Explorer正确识别在Intranet区域中的http://webserver/MyApp Internet Explorer启用了Windows身份validation。 我也尝试创build另一个虚拟目录到C:\MyApplication\test ,其中包含test.html中的单个文件,同时也启用了Windows身份validation,并且还具有适当的权限。 同样的症状,但我得到401.2未经授权,而不是401.1。 服务器最初没有安装IISangular色,所以我添加了这个。 我忘记了第一次select“Windows身份validation”,所以当我尝试为我的应用程序打开Windows身份validation时添加了此angular色服务。 […]
我们使用zScaler的代理服务。 这已经build立,以便我们和zScaler之间有一个ADFS服务器来validation用户,并允许他们访问互联网。 直到最近几个月(可能是6个月)的某个时候,这一直都很好,很花哨。 普通用户仍然可以正确authentication并接收他们的互联网cookie。 但是,域pipe理员的成员不。 与zScaler的支持电话已经结束,他们build议我们需要联系微软,并打开一个支持电话与他们。 够公平的,但我想我会看看这里有没有人有任何想法? 我们已经尝试从域pipe理员中删除用户,更改其用户帐户所在的OU,从头重新部署ADFS服务器(最终需要排除红鲱鱼错误以及另一个pipe理员没有发布严格的文档)。 当我尝试login时,没有错误产生,但浏览器进入无限循环尝试进行身份validation。 我们唯一可能的突破是禁用SAML并将Forms设置为身份validation方法。 通过提示login提示,我们可以input凭据,但页面刷新并不处理请求。 从服务器端,我可以看到一个审计失败(4776),但这似乎是指在每个用户帐户不更改的域中的LM级别。 我并不是ADFS 2.0的专家,只是我们公司内部的唯一用途就是代理。 这意味着技能和知识在当地有些薄弱。 我会把它留在这里,因为我的信息似乎已经相当漫不经心了,但如果有人有任何想法,我会感激一些,因为这是一个头脑刮。 更新: 看起来在这个KB中有一些很有前途的东西: https://support.microsoft.com/kb/2896713/en-us#appliesto 将在周末考察维修窗口,但手指交叉。
一夜之间,看起来,我们域中的服务器上的SharePoint已停止通过Windows身份validation自动login用户,有两种情况: 作为SharePoint的本地Intranet站点(intranet.domain.com,IP xxxa) 将WebDav驱动器映射到SharePoint列表( http:// xxxb / sites / Site Name / List Name) 请注意,Intranet站点的IP与驱动器映射的IP不同(同一个NIC上的两个接口 – SharePoint服务器是VM)。 在同一个域上(但在其他服务器上),通过NTLM使用Windows身份validation的几十个其他应用程序中托pipe了SharePoint站点。 除此之外,没有其他实例,即使是在同一台服务器上托pipe的Web应用程序中也提示用户input凭据,这就是为什么我们认为这是SharePoint问题。 将intranet.domain.com添加到IE的“安全站点”列表似乎会抑制网站的login提示,但映射驱动器时用户仍然被要求提供凭据。 驱动器映射通过用户login脚本进行。 多年来,它一直在努力,甚至通过服务器移动和密码重置,再次表明SharePoint的东西closures。 到目前为止,我们尝试过: 重新启动SharePoint服务器 禁用两个SharePoint网站的内核模式身份validation 将第二个IP xxxb也添加到IE中的安全站点列表中 已经通过SharePoint设置挖掘与身份validation有关的事情,但没有看到任何有趣的事情 有任何想法吗?
SQL Server Analysis Services使用Windows身份validation进行服务器连接。 通常,将您的域帐户分配给angular色(或服务器pipe理员列表),然后使用相同的域帐户从用户会话连接到服务器。 在非域环境中,您可以通过在两个帐户上使用相同的用户名和密码来完成相同的function。 我正在尝试查看是否可以在Windows凭据pipe理器中存储用于分析服务器login的凭证,因此可以任意定义此login名而不是绑定到当前用户会话。 对于使用SSMS的Windows身份validation的常规SQL Server连接,可以通过以下解决方法进行:将FQDN和SQL Server端口号包含在存储的凭证中。 换句话说,您可以从Windows控制面板打开Credential Manager,为server: sqlserver.example.com:1433 : sqlserver.example.com:1433创build一个新的凭据,并使用用户名和密码作为授予SQLlogin名的服务器上的帐户。 对于Analysis Services存储凭证来说,是否有类似的需求? 我已经尝试使用SQL Server Browser服务端口和非dynamicAnalysis Services端口来定义SQL Server的凭据,但是不成功。 SSMS中没有选项可以inputlogin信息,然后将其保存到Windows身份validation的凭证pipe理器中,就像文件共享或远程桌面连接一样。