
En mi sitio tengo una carpeta que no permite el acceso anónimo. Está configurado para utilizar la autenticación integrada de Windows tal como está en un dominio AD. El inicio de sesión funciona bien en Firefox, Chrome e incluso Safari, pero no en IE8. ¿Alguien encontró esto antes? Parece que no puedo encontrar a nadie más con un problema similar, excepto cuando falla el inicio de sesión en todos los navegadores, por supuesto.
Respuesta1
Lo más probable es que esto se deba a un SPN roto en alguna parte.
Sospecho que los navegadores que no son de Microsoft no utilizan Kerberos (o al menos, no lo hacen de la misma manera que lo hace IE).
Esto significa que IE podría estar intentando iniciar sesión en Kerberos, mientras que los demás podrían estar usando NTLM.
Si existe un SPN para http/www.example.com o host/www.example.com y no es propiedad de la cuenta que ejecuta el grupo de aplicaciones, esa sería una buena razón para este tipo de interrupción.
En Windows 2008 o posterior:
SETSPN -X
buscará duplicados; SETSPN -Q http/www.example.com
buscará propietarios de ese SPN específico.
Solucione su problema de SPN y probablemente solucionará los inicios de sesión de IE que no funcionan.
Otra guía podría indicarle que deshabilite la autenticación integrada de Windows en las propiedades avanzadas de IE; ese es un movimiento tonto que rompe Kerberos por todo y encubre el problema.
Másaquí.
Respuesta2
Esto se mencionó de pasada en uno de los comentarios, pero quería mencionarlo específicamente en caso de que alguien más lo encuentre útil. Estaba teniendo el mismo problema y pude resolverlo cambiando la identidad del grupo de aplicaciones. Esto se encuentra en "Configuración avanzada" para el grupo de aplicaciones determinado.
Alguien había establecido este valor en "AppPoolIdentity", pero tuve que volver a configurarlo en "NetworkService" para solucionar el problema.
(Intenté publicar una imagen, pero aparentemente necesito más reputación. Si alguien vota a favor de esta respuesta, puedo agregar la imagen).
Respuesta3
La respuesta rota del SPN parece ser correcta. Esto significa que es posible que deba señalar el problema a su departamento de TI/IS si desea configurar Kerberos correctamente.
No recomiendo la solución "deshabilitar la autenticación integrada de Windows", porque requiere que los usuarios normales entren y hagan clic en algo que tal vez ni siquiera tengan permiso para cambiar dependiendo de cómo los administradores hayan configurado IE.
En caso de que la configuración de Kerberos no se solucione pronto, la solución más flexible es ir a la aplicación en IIS, hacer clic en Autenticación, resaltar la línea Autenticación de Windows (que debe estar marcada como habilitada, con todo lo demás deshabilitado) y luego haga clic en el enlace "Proveedores..." a la derecha. Probablemente habrá dos entradas, "Negociar" y "NTLM", con Negociar en la parte superior. Mueva NTLM a la parte superior. Si bien esto obliga a su sitio a usar NTLM, lo cual es un riesgo de seguridad, es la única opción si Kerberos no está disponible.
Respuesta4
Chrome me solicitó una vez mi contraseña y lo logró.
IE me solicitó 3 veces mi contraseña y obtengo un 401 no autorizado.
Mi problema terminó siendo que tanto IE como Chrome me solicitaron credenciales para dos servidores diferentes. El motivo por el que se solicitan las credenciales probablemente se deba a un cambio de contraseña la semana pasada.
Cromome preguntó con mi cuenta de dominio. Mi dominio\MiIdDeUsuario
PeroES DECIRme impulsó aEstaURLdelServidor.com\ MyUserid (que, por supuesto, falló porque ese usuario no existe en el servidor, pero es peor: la URL no tiene nada que ver con el nombre del servidor - M $ ¿Qué estás pensando?
Con suerte, esto ayudará al próximo pobrecito con el mismo problema.