No meu site tenho uma pasta que não permite acesso anônimo. Ele está configurado para usar a Autenticação Integrada do Windows, pois está em um domínio AD. O login funciona bem no Firefox, Chrome e até no Safari, mas não no IE8. Alguém encontrou isso antes? Não consigo encontrar mais ninguém com um problema semelhante, exceto onde o login falha em todos os navegadores, é claro.
Responder1
Provavelmente, isso se deve a um SPN quebrado em algum lugar.
Eu suspeito que os navegadores que não são da Microsoft não fazem Kerberos (ou pelo menos não fazem isso da mesma maneira que o IE).
Isso significa que o IE pode estar tentando um logon Kerberos, enquanto os outros podem estar usando NTLM.
Se existir um SPN para http/www.example.com ou host/www.example.com e não pertencer à conta que executa o pool de aplicativos, esse seria um bom motivo para esse tipo de interrupção.
No Windows 2008 ou posterior:
SETSPN -Xverificará se há duplicatas; SETSPN -Q http/www.example.comprocurará proprietários desse SPN específico.
Corrija seu problema de SPN e você provavelmente consertará logons do IE quebrados.
Outras orientações podem solicitar que você desative a Autenticação Integrada do Windows nas propriedades avançadas do IE; esse é um movimento estúpido que quebra o Kerberos para tudo e encobre o problema.
Maisaqui.
Responder2
Isso foi mencionado de passagem em um dos comentários, mas eu gostaria de destacá-lo especificamente caso alguém ache útil. Eu estava tendo o mesmo problema e consegui resolvê-lo alterando a identidade do pool de aplicativos. Isso é encontrado em "Configurações avançadas" para o pool de aplicativos fornecido.
Alguém definiu esse valor como "AppPoolIdentity", mas tive que defini-lo novamente como "NetworkService" para corrigir o problema.
(Tentei postar uma imagem, mas aparentemente preciso de mais reputação. Se alguém votar positivamente nesta resposta, posso adicionar a imagem.)
Responder3
A resposta quebrada do SPN parece estar correta. Isso significa que você pode precisar apontar o problema ao seu departamento de TI/IS se quiser configurar o Kerberos corretamente.
Eu não recomendo a solução "desativar a autenticação integrada do Windows", porque ela exige que os usuários normais entrem e cliquem em algo que eles podem nem ter permissão para alterar, dependendo de como os administradores configuraram o IE.
Caso a configuração do Kerberos não seja corrigida tão cedo, a solução mais flexível é acessar o aplicativo no IIS, clicar em Autenticação, destacar a linha Autenticação do Windows (que deve estar marcada como ativada, com todo o resto desativado) e em seguida, clique no link "Provedores..." à direita. Provavelmente haverá duas entradas, “Negociar” e “NTLM”, com Negociar no topo. Mova o NTLM para o topo. Embora isso force seu site a usar NTLM, o que é um risco à segurança, mas é a única opção se o Kerberos não estiver disponível.
Responder4
O Chrome solicitou minha senha uma vez e foi bem-sucedido.
O IE solicitou minha senha 3x e recebi um 401 não autorizado.
Meu problema acabou sendo que tanto o IE quanto o Chrome solicitaram credenciais para dois servidores diferentes. O motivo da solicitação de credenciais provavelmente se deve a uma alteração de senha na semana passada.
cromadame solicitou minha conta de domínio. MeuDomínio\MeuUserId
MasOu sejame incitou aThisServerUrl.com\MyUserId (que obviamente falhou porque esse usuário não existe no servidor, mas pior ainda - a URL não tem nada a ver com o nome do servidor - M$, o que você está pensando???)
Esperançosamente, isso ajudará o próximo pobre coitado com o mesmo problema.