none
Невозможно зайти на social.technet.microsoft.com с IE RRS feed

  • Вопрос

  • Простой вопрос: при попытке входа на https://social.technet.microsoft.com с IE10 начинается цикл с login.live.com, после чего (после трёх попыток) последний сообщает, что не удалось авторизоваться.

    В сети нашёл рекомендацию, что стоит попробовать другой браузер. Поставил Firefox - действительно, всё получилось. Но, как выяснилось - временно.

    В общем, после недолгих изысканий пришёл к следующим предварительным выводам: дело в сертификатах пользователя. Предполагаю:

    • ресурс https://social.technet.microsoft.com настроен таким образом, чтобы принимать сертификаты пользователя. Посему, если IE обнаруживаем в личном хранилище пользователя "подходящий" сертификат (в данном случае шаблоны User и Smart card user подходят) - пытается использовать его для авторизации клиента либо на login.live.com, либо на social.technet.microsoft.com, точнее не скажу.
    • так как сертификаты выданы для внутреннего использования корпоративным CA, корневой сертификат которого - самоподписанный, доверия к сертификату пользователя у сервера нет. Поэтому и получаем описанный результат.

    Безусловно, вышеизложенное - предположение. В пользу этой гипотезы говорит следующее: как только разрешил Firefox использовать смарт-карту, он сразу же при входе на указанный ресурс спрашивает PIN смарт-карты, и если ему его дать - результат будет тот же - ошибка проверки сертификата. Правда, Firefox пишет, что ошибка проверки сертификата сервера, хотя больше похоже на то, что сервер отказал в соединении из-за отсутствия доверия к выдавшему сертификат удостоверяющему центру.

    Итого, коллеги:

    • возникают ли у Вас проблемы с заходом на указанный ресурс, при условии, что у Вас есть смарт-карта с действительными сертификатами, выданными удостоверяющим центром, к которому нет доверия у сервером MS (например, корневой сертификат - самоподписанный)?

    Хотелось бы услышать мнение специалистов MS: верна ли гипотеза и как действовать в таких случаях? удалять сертификаты перед заходом на форумы? отключать TLS в браузере при подключении к форумам? Вариант всем подписать корневые сертификаты своих CA у Verisign предлагать не стоит - слишком уж дорого будет стоить подобное удовольствие.


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    15 августа 2013 г. 13:57

Ответы

  • Приношу свои извинения, а также - огромную благодарность Жуку за то, что навёл на мысли. Искал то в GPO ограничения на передачу сведения между зонами, наткнулся на простейшую ошибку:

    GPO: Административные шаблоны\Компоненты Windows\IE\Панель управления браузером\Вкладка "безопасность"\Зона надёжных сайтов, политика "Параметры входа". У меня по глупости (видимо - вечером было глубоким) поставил "Автоматический вход в сеть с текущим именем пользователя и паролем", как для интрасети.

    Изменил политику, поставил "Запрашивать имя пользователя и пароль" - и всё в порядке, пишу уже с IE.

    P.S> Видимо, эта политика не только пытается использовать NTLM, но и также - сертификаты пользователя.

    Итого - решение найдёно. (точнее - глупейшая собственная ошибка, как обычно и бывает).


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    21 августа 2013 г. 14:47

Все ответы

  • Да, кстати, у меня при удалении сертификатов из хранилища IE заходит на форумы успешно. Вставляю смарт-карту - результат прежний.

    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    15 августа 2013 г. 13:59
  • Вот Вам информация к размышлению:

    Операционная система - Windows 7;

    Браузер - Internet Explorer 10, Безопасность\Интернет - Выше среднего, Конфиденциальность - Умеренно высокий;

    Смарт-карт - нет, использую для хранения eToken;

    Установлен Самоподписанный корневой сертификат.

    Проблемы с заходом на форумы TechNet, Answers, MSDN не наблюдаю.

    Предполагаю, что к Вашему браузеру установлена сторонняя надстройка для авторизации при помощи смарт-карты или другого аналогичного съёмного устройства хранения закрытого ключа сертификата, которая и приводит к этому результату. Отключите в браузере эту надстройку и проверьте результат. Если это так, то на официальном сайте производителя этой надстройки, попробуйте выполнить её обновление.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    15 августа 2013 г. 15:07
    Модератор
  • IE10, Win 8 Pro x64. *.microsoft.com в зоне доверенных сайтов, посему безопасность ниже среднего. В роли смарт-карты так же используется eToken. К браузеру никаких дополнительных надстроек не вижу, только то, что бы до внедрения eToken (хотя проблема не связана с eToken, она была и с сертификатами в хранилище пользователя).

    Проблема прежняя, почему и пишу сейчас из firefox.

    И login.live.com так же в доверенной зоне, cookies разрешены. захожу, редактирую профиль на login.live.com. Но при попытке доступа к форумам technet получаю цикл между login.live.com и social.technet.microsoft.com.

    Возможно - стоит обратить внимание на настройки конфиденциальности и безопасности зон (оба - в зоне доверенных сайтов)?


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    21 августа 2013 г. 8:25
  • В начале, ответьте на три вопроса:

    1. Что Вы подразумеваете под цитата: "Да, кстати, у меня при удалении сертификатов из хранилища IE заходит на форумы успешно. Вставляю смарт-карту - результат прежний."

    2. eToken минимум, управляется программой или eToken PKI Client 5.1 SP1 или SafeNet Authentication Client, а что Вы используете.

    3. В настройках перечисленных программ, можно установить, что бы при подключении eToken, сертификаты устанавливались, и удалялись после их отключения, у меня настроено именно так. А какие у Вас настройки.

    Проверил, у меня Список узлов пуст:

    Попробуйте удалить все внесённые в список узлы, проверьте и напишите результат.


    Да, я Жук, три пары лапок и фасеточные глаза :))




    • Изменено ЖукMVP, Moderator 21 августа 2013 г. 9:51 внесение ясности
    21 августа 2013 г. 8:53
    Модератор
  • 1. Спасибо, что пытаетесь помочь!

    Ответы:

    1. Убираю eToken (в смысле - вытаскиваю его), запускаю оснастку Сертификаты, хранилища пользователя. В хранилище Личные (или My, Personal - ну где как) убираю все сертификаты (исключительно ради эксперимента). Запускаю IE, иду на форумы - и не вижу цикла с login.live.com. Всё прекрасно. Возвращаю сертификаты (любым путём - через подключение eToken или же через повторный запрос сертификата), перезапускаю IE - прежние проблемы.

    2. PKI Client 5.1 SP1 не работает толком под Windows 8 / Server 2012. Поэтому пришлось у Аладдина выбивать SAC. Стоит SAC.

    3. Полностью аналогично. Иначе авторизация по rdp через eToken будет невозможна, VPN с авторизацией через eToken не поднять и так далее. Поэтому приходится импортировать сертификаты с eToken при его подключении.

    4. А вот список доверенных узлов у меня существенно шире пустого. В том числе там два проблемных домена и прописаны.

    Ваши советы навели на мысль повнимательнее изучить политики безопасности к зонам IE. Возможно, у меня в GPO ограничены возможности передачи данных между доменами в разных зонах, сейчас проверю...


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    21 августа 2013 г. 14:30
  • Приношу свои извинения, а также - огромную благодарность Жуку за то, что навёл на мысли. Искал то в GPO ограничения на передачу сведения между зонами, наткнулся на простейшую ошибку:

    GPO: Административные шаблоны\Компоненты Windows\IE\Панель управления браузером\Вкладка "безопасность"\Зона надёжных сайтов, политика "Параметры входа". У меня по глупости (видимо - вечером было глубоким) поставил "Автоматический вход в сеть с текущим именем пользователя и паролем", как для интрасети.

    Изменил политику, поставил "Запрашивать имя пользователя и пароль" - и всё в порядке, пишу уже с IE.

    P.S> Видимо, эта политика не только пытается использовать NTLM, но и также - сертификаты пользователя.

    Итого - решение найдёно. (точнее - глупейшая собственная ошибка, как обычно и бывает).


    С Уважением, Бетке Сергей Сергеевич, http://sergey-s-betke.blogs.novgaro.ru

    21 августа 2013 г. 14:47
  • Искренне рад за Вас, обращайтесь ещё если возникнут вопросы, общими усилиями постараемся и их решить.

    Да, я Жук, три пары лапок и фасеточные глаза :))

    21 августа 2013 г. 19:07
    Модератор