Windows客户端损坏授权标头（Kerberos）=> IIS 400（错误请求）

我们在大约5％的Windows（7 Pro和XP Pro，32位和64位）客户端计算机上面临着奇怪的行为。 这些计算机从IIS服务器获取随机错误 – 400错误的请求。 我们正在使用Windows域，这些客户端正试图通过Kerberos授权给IIS。

Symtomps：

• 客户端尝试通过Internet Explorer连接到IIS服务器到需要身份validation的站点（Kerberos）。
• IIS服务器返回错误400错误的请求。
• 直到客户端计算机“快乐地重新启动”，错误不会消失。 我们没有find其他方式来“修复”这个状态。 愉快地重新启动意味着您可以重新启动多次。 有时它有时不起作用。 如果它工作，它将安全工作，直到下次重新启动。 如果它不能安全地工作，直到下一次重新启动。 🙂

我们所知道的

• 我们正在使用更多的组。 所以我们的用户有更大的Kerberos TGT。 MaxTokenSize提高到48000。

  • 无法启动SQL Server 2008服务
  • 在x64系统上的.NET中打开Excel电子表格
  • 主机提供商如何允许.NET完全信任？
  • .NET 2.0：已build立的连接被主机中的软件中止
  • 使用Microsoft Azure来托pipe.NET解决scheme

• 我们在受影响的客户端上嗅探networkingstream量，发现客户端发送中断的授权头 。 有kerberos授权标头的部分被切断 – 没有正确结束。 所以从IIS服务器响应是正确的和合乎逻辑的。 所以问题出在客户端 。

• 我们试图在受影响的计算机上发现工作状态和错误状态之间的一些区别，但没有运气。

• 我们的networking中有更多的IIS服务器。 受影响的计算机在“错误状态”中都有相同的问题。

• 希望我们的想法是正确的，即Internet Explorer使用.NET Framework进行HTTP请求和授权。 所以可能是因为.NET的某处？ 所有客户都使用版本4。

任何人都可以帮助我们澄清这个谜团？ 🙂