私のサイトには、匿名アクセスを許可しないフォルダーが 1 つあります。AD ドメインにあるため、統合 Windows 認証を使用するように設定されています。ログインは Firefox、Chrome、Safari でも問題なく機能しますが、IE8 では機能しません。これまでにこの問題に遭遇した人はいますか? 同様の問題を抱えている人は他には見つかりません。もちろん、すべてのブラウザーでログインが失敗するという問題を除いては。
答え1
おそらく、どこかの SPN が壊れていることが原因です。
Microsoft 以外のブラウザは Kerberos を実行していない (または少なくとも IE と同じ方法では実行していない) と思われます。
これは、IE が Kerberos ログオンを試行している可能性がある一方で、他のログオンでは NTLM を使用している可能性があることを意味します。
http/www.example.com または host/www.example.com の SPN が存在し、それがアプリケーション プールを実行するアカウントによって所有されていない場合、このタイプの中断の正当な理由となります。
Windows 2008 以降の場合:
SETSPN -X重複がないかチェックし、SETSPN -Q http/www.example.com特定の SPN の所有者を検索します。
SPN の問題を修正すると、IE ログオンの不具合もおそらく修正されるでしょう。
他のガイダンスでは、IE の詳細プロパティで統合 Windows 認証を無効にするように指示されているかもしれませんが、これはすべての Kerberos を破壊し、問題を隠蔽する愚かな行為です。
もっとここ。
答え2
これはコメントの 1 つで触れられていたことですが、他の誰かが役に立つかもしれないので、特に言及したいと思いました。私も同じ問題を抱えていましたが、アプリケーション プール ID を変更することで解決できました。これは、特定のアプリケーション プールの「詳細設定」にあります。
誰かがこの値を「AppPoolIdentity」に設定していましたが、問題を解決するために「NetworkService」に設定し直す必要がありました。
(画像を投稿しようとしましたが、どうやらもっと評判が必要なようです。誰かがこの回答に賛成票を投じれば、画像を追加できます。)
答え3
壊れた SPN の回答は正しいようです。つまり、Kerberos を正しく設定したい場合は、IT/IS 部門に問題を指摘する必要がある可能性があります。
「統合 Windows 認証の有効化を無効にする」ソリューションはお勧めしません。管理者が IE をどのように構成したかによっては、通常のユーザーが変更権限を持たない可能性のあるものをクリックして変更する必要があるためです。
Kerberos の設定がすぐに修正されない場合は、より柔軟な解決策として、IIS のアプリに移動し、[認証] をクリックして、Windows 認証の行 (有効になっている必要があり、他のすべてが無効になっている) を強調表示し、右側の [プロバイダー...] リンクをクリックします。おそらく、"Negotiate" と "NTLM" の 2 つのエントリがあり、Negotiate が上に表示されます。NTLM を上に移動します。これにより、サイトで NTLM が強制的に使用されるため、セキュリティ上のリスクがありますが、Kerberos が使用できない場合はこれが唯一のオプションです。
答え4
Chrome はパスワードの入力を一度要求し、成功しました。
IE でパスワードの入力が 3 回求められ、401 Unauthorized が表示されます。
私の問題は、IE と Chrome の両方が 2 つの異なるサーバーの資格情報を要求したことでした。資格情報を要求された理由は、先週のパスワード変更によるものと思われます。
クロムドメイン アカウントの入力を求められました。 マイドメイン\マイユーザーID
しかしIE私に促したこのサーバURL.com\MyUserId (もちろん、そのユーザーはサーバー上に存在しないため失敗しましたが、さらに悪いことに、URL はサーバー名とは何の関係もありません。M$ 何を考えているのですか???)
これが、同じ問題を抱える次の哀れな人の助けになれば幸いです。