none
Проблемка с авторизацией на IIS в WSS 3.0 RRS feed

  • Вопрос

  • Есть сервер, контроллер домена, под управлением Windows Server 2003 Std. 64-bit

    На нем поднят WSS 3.0 (64-bit), развернута ферма и ес-но IIS приложение, при создании URL адрес домена со сбалансированной нагрузкой был забит вида corporate.domain.ru, и в DNS прописан соответствующий хост.

     

    При входе доменным пользователем с нужными правами на http://corporate.domain.ru выскакивает приглашение ввода логина и пароля, если ввести login и pass (даже без имени домена ибо сам сервер DC) то пускает нормально.

     

    Вопрос, почему не проходит сквозная аудентификация?

     

    В security логе проскакивает

     

    EventID:529

    Logon Failure:

    Reason: Unknown user name or bad password

    User Name:

    Domain:

    Logon Type: 3

    Logon Process: Kerberos

    Authentication Package: Kerberos

    Workstation Name: -

    Caller User Name: -

    Caller Domain: -

    Caller Logon ID: -

    Caller Process ID: -

    Transited Services: -

    Source Network Address: 192.168.16.13

    Source Port: 3061

     

    EventID: 680

    Logon attempt by: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

    Logon account: user@domain

    Source Workstation: COMPUTER

    Error Code: 0xC0000064

     

     

    Поиском нашел парочку статей:

    http://support.microsoft.com/kb/942636/en-us

    http://support.microsoft.com/kb/326985/ru

    Которые вообщем то не очень то помогли.

     

    В метабазе IIS выставил параметр NTAuthenticationProviders в "Negotiate,NTLM", в GPO Network Security LAN Manager autentification level стоит "Send LM&NTLM - use NTLMv2 session security if negotiated"

     

    ЗЫ, Теста ради пробовал поднять WSS не на контроллере домена и все проходило на ура, почему же на DC аудентификация сразу не проходит не могу понять.

    12 марта 2008 г. 14:33

Ответы

  • для автоматичного входа должен быть корректно настроен именно IE.

    посему, добавляете оба адреса в зону местная интрасеть или в доверенные узлы и активируете для этой зоны автоматический вход.

    всё, при следующем входе, наберите и сохраните пароль (галочка в окне запроса авторизации) - в дальнейшем окошко выскакивать не будет.

Все ответы

  • Там где тестовая инсталляция также Kerberos указывали?

    12 марта 2008 г. 15:35
    Отвечающий
  • Имеется в виду при развертывании фермы?

    Везде указывал NTLM.

     

    Ладно бы я понял если бы авторизация совсем никак не проходила, но она проходит если ручками логин и пасс вписать.

    Судя по всему где то IIS косячит...

     

     Kichin Denis написано:

    Там где тестовая инсталляция также Kerberos указывали?

    13 марта 2008 г. 6:24
  • Проверьте, действительно ли стоит NTLM в проблемном приложении, ошибка все-таки именно на kerb-s ругается...

    Central Admin-on>Application managment >Authentication Provider> Edit Authentication

     

    13 марта 2008 г. 7:48
    Отвечающий
  • Да, везде NTLM указан, не в этом суть как я понял.

     

    Вообщем убил приложение и создал заного с URL = netbios имя сервера и в таком варианте все заработало как надо... но не совсем. При обращении http://servername "прозрачная" авторизация проходит на ура, а при обращении как http://servername.domain.loc повторяется та же проблема, при обращении через DNS алиас (типа corporate.domain.ru) тоже ((((

    (Это связанно с тем, что клиенты будут обращаться из разных доменов многодоменной сети, хотелось бы иметь нормального вида URL)

     

    На этой почве возникло еще пара вопросов:

    1. Можно ли как нибудь изменить URL приложения не пересоздавая его с нуля?

     

    2. Как сделать так, что бы привести URL приложения в нормальный вид и при этом проходила "прозрачная" авторизация. (без разницы в шаре URL этот будет или DNS алиас)

     

    ЗЫ, Еще раз повторюсь что при обращении выскакивает окно локина, пароля, если пользователь введет свой же логин с паролем то все нормально, но это крайне неудобно.

    17 марта 2008 г. 8:02
  • Настройте (добавьбе) эти URL в Alternate Access Mapping в разделе Operations центрального администрирования.

    17 марта 2008 г. 18:35
    Отвечающий
  • Спасибо.

     

    Эх и добавлял и менял и к разным зонам (интрасеть, интернет .. ) проблема остается. При входе через http://servername все отлично, влетаем без вопросов, при использовании алиаса (http://corporate.domain.ru) спрашивает логин с паролем, при этом пускает если данные ввести.

     

    ЗЫ, Спецом тестирую с разных компов из под разных пользователей.

    19 марта 2008 г. 10:26
  •  MMaster написано:

    Спасибо.

     

    Эх и добавлял и менял и к разным зонам (интрасеть, интернет .. ) проблема остается. При входе через http://servername все отлично, влетаем без вопросов, при использовании алиаса (http://corporate.domain.ru) спрашивает логин с паролем, при этом пускает если данные ввести.

     

    ЗЫ, Спецом тестирую с разных компов из под разных пользователей.



    Добрый день! Столкнулся с той же проблемой Не удалось найти нормального решения?


    Спасибо!
  • Host-header (corporate.damain.ru) добавили на веб-сайт?

     

    Отвечающий
  •  Kichin Denis написано:
    Host-header (corporate.damain.ru) добавили на веб-сайт?

     


    имена заголовков узлов добавлял- бестолку.

    Причем у меня такая картина- если разрешить анонимный доступ- людей разумеется пускает, никаких паролей не просит. После этого юзер нажимает вверху "Вход" и беспроблемно аутентифицируется через NTLM- никаких паролей его не спрашивают.

    А вот если анонимный доступ выключить- сразу никак не хочет узнавать юзера.
  • для автоматичного входа должен быть корректно настроен именно IE.

    посему, добавляете оба адреса в зону местная интрасеть или в доверенные узлы и активируете для этой зоны автоматический вход.

    всё, при следующем входе, наберите и сохраните пароль (галочка в окне запроса авторизации) - в дальнейшем окошко выскакивать не будет.

  •  Roman Padalko написано:

    для автоматичного входа должен быть корректно настроен именно IE.

    посему, добавляете оба адреса в зону местная интрасеть или в доверенные узлы и активируете для этой зоны автоматический вход.

    всё, при следующем входе, наберите и сохраните пароль (галочка в окне запроса авторизации) - в дальнейшем окошко выскакивать не будет.


    Спасибо!!!
    18 июня 2008 г. 8:33