none
Extranet SSL Sharepoint Seite - SSO Problem RRS feed

  • Frage

  • Hallo zusammen,

    wir betreiben für unseren Kunden eine Extranet Sharepoint Seite und haben das Problem, dass angemeldete Domänennutzer (egal ob Firmendomäne oder fremde Domäne), die mit einem Laptop nur aus dem Internet auf diese Seite zugreifen folgenden Fehler bekommen:         

    Die Webseite kann nicht angezeigt werden. 

       Mögliche Vorgehensweise: 
        Diagnose von Verbindungsproblemen  

         Weitere Informationen 

    Das Problem kann aus verschiedenen Gründen aufgetreten sein: 

    •Die Internetkonnektivität ist verloren gegangen.
    •Die Website ist temporär nicht verfügbar.
    •Der Domänennamenserver (DNS) ist nicht erreichbar.
    •Der Domänennamenserver (DNS) verfügt über keinen Eintrag für die Domäne der Website.
    •Die Adresse enthält eventuell einen Tippfehler.
    •Wenn dies eine (sichere) HTTPS-Adresse ist, dann klicken Sie auf "Extras", "Internetoptionen", "Erweitert" und stellen Sie sicher, dass die SSL- und TLS-Protokolle im Sicherheitsabschnitt aktiviert sind.

    Die Seite bzw. das Firmensuffix (mit *.) unseres Kunden befindet sich per GPO in der Intranetzone und diese hat als Single Sign On Einstellungen "In der Intranetzone mit aktuellem Benutzernamen und Kennwort anmelden", dementsprechend wird von diesem System die Extranetseite auch aus dem Internet der Intranetzone zugeordnet.

    Meldet man sich mit einem lokalen Account an der Maschine an und tätigt die gleichen Einstellungen (Seite den Intranetseiten hinzufügen und SSO einschalten), erscheint nun ein Popup in welchem die Anmeldeinformationen gefordert werden => Zugriff funktioniert. Auch mit anderen Browsern ist der Zugriff natürlich möglich.

    Woran könnte dieser Fehler liegen? Scheinbar werden automatisch durchgereichte AD Credentials von der Extranetseite nicht angenommen.

    edit: Was mir noch eingefallen ist, wenn die Seite nicht aufgerufen werden kann, wird diese als Internetseite mit geschütztem Modus inaktiv angezeigt. Ín der Internetzone ist der geschützte Modus aber aktiviert, nur in der Intranetzone, in welcher die Seite sich eigentlich befindet ist er deaktiviert. Warum die Seite trotz Eintrag in der Intranetzone als Internetzonenzugehörig angezeigt wird, kann ich nicht nachvollziehen.

    • Bearbeitet Max S. 2012 Mittwoch, 11. April 2012 14:52
    Dienstag, 10. April 2012 14:28

Alle Antworten

  • Das Problem ist soweit identifiziert

    Beim Zugriff aus dem Internet :

    1. Der Client sendet einen Anonymous Request „Get https://extranet.kunde.de an die Sharepointfarm.
    2. Alle Sharepointwebs erfordern eine Anmeldung für den aufrufenden Benutzer der Site. Daher antwortet der angesprochene Webserver der Sharepointfarm mit einem 401 „Zugriff verweigert und fordert den Client auf, den Request nochmals mittels der in Response Header angegebenen Authentifizierungsmethoden zu stellen. Es werden hierbei die Authentifizierungsmethoden Negotiate und NTLM dem Client angeboten.
    3. Der Client versucht nun das UGT in einem erneuten Request an den Webserver zu senden. Der Arbeitsplatz verfügt aber noch über kein UGT, da der Benutzer über das lokal gespeicherte Benutzerprofil am Arbeitsplatz angemeldet ist. Dies ist eine „quasi“ NTLM Anmeldung. Um ein UGT zu erhalten ist es notwendig den KDC der Domäne zu erreichen. Auf DNS Ebene wird zunächst versucht _kerberos._tcp.dc._msdcs. kunde.de aufzulösen, was natürlich nicht funktioniert.

    Der Client kann also die Authentifizierungsmethode Kerberos nicht durchführen und schaltet auch nicht auf NTLM um, obwohl diese Methode im Response Header der Webservers für den Initial Request mit angegeben ist und der Arbeitsplatz selbst über NTLM User Credentials verfügt.


    Mittwoch, 8. August 2012 09:04
  • Hallo!

    In diesem Fall würde ich für die externen eine "Extended Web Application" angelegen, die nur NTLM unterstützt. Intern würde dann weiterhin KERBEROS verwendet. 

    Gruß

    Ingo

    Sonntag, 19. August 2012 07:19