내 사이트에는 익명 액세스를 허용하지 않는 폴더가 하나 있습니다. AD 도메인에서 Windows 통합 인증을 그대로 사용하도록 설정되어 있습니다. 로그인은 Firefox, Chrome, 심지어 Safari에서도 잘 작동하지만 IE8에서는 작동하지 않습니다. 전에 이런 일이 발생한 사람이 있습니까? 물론 모든 브라우저에서 로그인이 실패하는 경우를 제외하고는 비슷한 문제가 있는 다른 사람을 찾을 수 없는 것 같습니다.
답변1
어딘가에서 SPN이 손상되었기 때문일 가능성이 있습니다.
Microsoft 이외의 브라우저는 Kerberos를 수행하지 않는 것 같습니다(또는 적어도 IE와 동일한 방식으로 수행하지 않음).
이는 IE가 Kerberos 로그온을 시도하고 있고 다른 IE는 NTLM을 사용하고 있을 수 있음을 의미합니다.
http/www.example.com 또는 host/www.example.com에 대한 SPN이 존재하고 애플리케이션 풀을 실행하는 계정이 소유하지 않은 경우 이러한 유형의 중단이 발생하는 좋은 이유가 됩니다.
Windows 2008 이상:
SETSPN -X중복을 확인합니다. SETSPN -Q http/www.example.com해당 특정 SPN의 소유자를 찾습니다.
SPN 문제를 해결하면 IE 로그온이 중단되는 문제도 해결될 것입니다.
IE 고급 속성에서 Windows 통합 인증을 비활성화하라는 다른 지침이 있을 수 있습니다. 그것은 모든 것에 대해 Kerberos를 깨뜨리고 문제를 은폐하는 멍청한 움직임입니다.
더여기.
답변2
이것은 댓글 중 하나를 전달할 때 언급되었지만 다른 사람이 유용하다고 생각할 경우를 대비해 구체적으로 언급하고 싶었습니다. 저도 이와 같은 문제를 겪고 있었는데 앱 풀 ID를 변경하여 문제를 해결할 수 있었습니다. 이는 특정 앱 풀에 대한 "고급 설정"에서 찾을 수 있습니다.
누군가 이 값을 "AppPoolIdentity"로 설정했지만 문제를 해결하려면 다시 "NetworkService"로 설정해야 했습니다.
(이미지를 게시하려고 했지만 더 많은 평판이 필요한 것 같습니다. 누군가 이 답변에 찬성표를 던지면 이미지를 추가할 수 있습니다.)
답변3
깨진 SPN 응답이 올바른 것 같습니다. 즉, Kerberos를 올바르게 설정하려면 IT/IS 부서에 문제를 지적해야 할 수도 있습니다.
"Windows 통합 인증 활성화" 솔루션을 비활성화하는 것은 권장하지 않습니다. 일반 사용자가 IE를 구성한 방식에 따라 변경할 권한이 없는 항목을 일반 사용자가 클릭해야 하기 때문입니다.
Kerberos 설정이 조만간 수정되지 않는 경우 더 유연한 해결 방법은 IIS의 앱으로 이동하여 인증을 클릭하고 Windows 인증 라인(활성화로 표시되어야 하며 다른 모든 항목은 비활성화됨)을 강조 표시하는 것입니다. 그런 다음 오른쪽에 있는 "공급업체..." 링크를 클릭하세요. "협상"과 "NTLM"이라는 두 개의 항목이 있을 수 있으며 맨 위에는 협상이 있습니다. NTLM을 맨 위로 이동합니다. 이렇게 하면 사이트에서 보안 위험이 있는 NTLM을 사용하게 되지만 Kerberos를 사용할 수 없는 경우 유일한 옵션입니다.
답변4
Chrome에서 비밀번호를 묻는 메시지를 한 번 표시하고 성공했습니다.
IE에서는 비밀번호를 3번이나 입력했고 401 Unauthorized가 표시되었습니다.
내 문제는 IE와 Chrome 모두 두 개의 다른 서버에 대한 자격 증명을 묻는 메시지를 표시한다는 것입니다. 자격 증명을 묻는 이유는 지난 주에 비밀번호가 변경되었기 때문일 수 있습니다.
크롬내 도메인 계정을 묻는 메시지가 표시되었습니다. 마이도메인\내사용자ID
하지만즉나에게 묻는 메시지ThisServerUrl.com\MyUserId(물론 해당 사용자가 서버에 없기 때문에 실패했지만 더 나쁜 것은 URL이 서버 이름과 아무 관련이 없다는 것입니다. M$ 무슨 생각을 하고 계시나요???)
이것이 동일한 문제가 있는 다음 불쌍한 수액에 도움이 되기를 바랍니다.