none
Проблемы с проверкой подлиности на IIS 7.5 RRS feed

  • Вопрос

  • Добрый день!

    Возникла необходимость настроить новый сервер IIS. Настроил всё как на предшественнике. Всё заработало, кроме "проверки подлинности Windows", причём как-то странно. С одних браузерах позволяет зайти на сайт, а IE не пускает.

    Пытаюсь зайти на сайт IE - требует логин и пароль (не берёт доменные данные). При вводе 3-х раз выводит ошибку 401. Если захожу на сайт с той же машины, но браузер FF - без проблем заходит. IE тоже пускает, но с машины не в домене и расположенной в другой сети.

    В чём может быть проблема и как её решить?


    • Изменено saszay 20 января 2015 г. 7:53 орфографическая ошибка
    20 января 2015 г. 7:53

Ответы

  • Возможно Вам нужно сделать некоторые изменения параметров IIS для поддержки Kerberos, в случае если Вам данная поддержка требуется ознакомьтесь со статьей:
    https://technet.microsoft.com/ru-ru/library/dd759186.aspx

    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Помечено в качестве ответа saszay 23 января 2015 г. 11:29
    23 января 2015 г. 10:28
    Модератор

Все ответы

  • Включите Failed request tracing в IIS и смотрите на чем затыкается. Проверьте security логи на клиенте и сервере.
    21 января 2015 г. 8:19
  • Нашёл вот это:

    Notification AUTHENTICATE_REQUEST
    ErrorCode Отказано в доступе. (0x80070005)

    Но к разгадке это меня не приблизило.

    21 января 2015 г. 10:07
  • Здравствуйте,
    Уточните пожалуйста, данные действия выполняете локально на сервере, либо по сети после чего воспроизводится Ваша проблема?
    Также уточните версию IE и шаблон ввода логина?

    Возможно в Вашем случае в настройках IE, во вкладке безопасность нужно установить следующий параметр:

    Miscellaneous / Разное ->
    Access data sources across domains / Доступ к источникам данных за пределами домена ->
    Enabled / Включено

    Best Regards, Andrei ...
    Microsoft Certified Professional


    • Изменено SQxModerator 21 января 2015 г. 20:20
    21 января 2015 г. 20:07
    Модератор
  • Если попытаться зайти на сайт по IP - получится (это - тест на проблемы с Kerberos)?

    А вообще, лучше сниффером (Network Monitor и т.п.) записать сессию HTTP и посмотреть по заголовкам запросов и ответов, какие методы аутентификации предлагаются сервером и используются клиентом.

    Так можно точно определить протокол аутентификации, вызывающий проблемы.


    Слава России!

    21 января 2015 г. 20:18
  • По Failed request tracing в IIS затыкается на:

    1. ModuleName    IIS Web Core
       Notification  1
       HttpStatus    500
       HttpReason    Internal Server Error
       HttpSubStatus 0
       ErrorCode     2147943395
    Notification     BEGIN_REQUEST
    ErrorCode        Операция ввода/вывода была прервана из-за завершения потока команд или по запросу приложения. (0x800703e3)

    2. ModuleName    IIS Web Core
       Notification  2
       HttpStatus    401
       HttpReason    Unauthorized
       HttpSubStatus 2
       ErrorCode     2147942405
       Notification  AUTHENTICATE_REQUEST
       ErrorCode     Отказано в доступе. (0x80070005)

    3. ModuleName    WindowsAuthenticationModule
       Notification  2
       HttpStatus    401
       HttpReason    Unauthorized
       HttpSubStatus 1
       ErrorCode     2148074254
       Notification  AUTHENTICATE_REQUEST
       ErrorCode     В пакете безопасности отсутствуют учетные данные  (0x8009030e)

    23 января 2015 г. 9:30
  • Здравствуйте,
    Уточните пожалуйста, данные действия выполняете локально на сервере, либо по сети после чего воспроизводится Ваша проблема?
    Также уточните версию IE и шаблон ввода логина?

    Возможно в Вашем случае в настройках IE, во вкладке безопасность нужно установить следующий параметр:

    Miscellaneous / Разное ->
    Access data sources across domains / Доступ к источникам данных за пределами домена ->
    Enabled / Включено

    Best Regards, Andrei ...
    Microsoft Certified Professional


    параметр установлен
    23 января 2015 г. 9:31
  • Если попытаться зайти на сайт по IP - получится (это - тест на проблемы с Kerberos)?

    А вообще, лучше сниффером (Network Monitor и т.п.) записать сессию HTTP и посмотреть по заголовкам запросов и ответов, какие методы аутентификации предлагаются сервером и используются клиентом.

    Так можно точно определить протокол аутентификации, вызывающий проблемы.


    Слава России!

    Сниффером нечего не видно - соединение по https идёт.

    По IP пустило. В чём может быть тогда проблема?

    23 января 2015 г. 9:33
  • Возможно Вам нужно сделать некоторые изменения параметров IIS для поддержки Kerberos, в случае если Вам данная поддержка требуется ознакомьтесь со статьей:
    https://technet.microsoft.com/ru-ru/library/dd759186.aspx

    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Помечено в качестве ответа saszay 23 января 2015 г. 11:29
    23 января 2015 г. 10:28
    Модератор
  • Сниффером нечего не видно - соединение по https идёт.

    По IP пустило. В чём может быть тогда проблема?

    В аутентификаци по Kerberos. Проверьте, есть ли учетной записи, под которой работает пул приложений (или у учетной записи компьютера, если пул работает под встроенной в систему учетной записью), атрибут servicePrincipalName (SPN) равный HTTP/site.dns.name или HOST/site.dns.name. Проверять лучше всего командой setspn.exe (подробности см. в её встроенной справке). Если нужного SPN нет, то его (первый вариант, c HTTP/) следует добавить той же командой setspn. Если будет сообщение об ошике из-за дублирования SPN, то понадобится найти учетную запись с этим SPN и удалить у нее SPN.

    PS По косвенным признакам я предположил, что у вас IIS и клиент с IE - в домене. Если нет, то этот совет неприменим.


    Слава России!

    23 января 2015 г. 11:01
  • Сниффером нечего не видно - соединение по https идёт.

    По IP пустило. В чём может быть тогда проблема?

    В аутентификаци по Kerberos. Проверьте, есть ли учетной записи, под которой работает пул приложений (или у учетной записи компьютера, если пул работает под встроенной в систему учетной записью), атрибут servicePrincipalName (SPN) равный HTTP/site.dns.name или HOST/site.dns.name. Проверять лучше всего командой setspn.exe (подробности см. в её встроенной справке). Если нужного SPN нет, то его (первый вариант, c HTTP/) следует добавить той же командой setspn. Если будет сообщение об ошике из-за дублирования SPN, то понадобится найти учетную запись с этим SPN и удалить у нее SPN.

    PS По косвенным признакам я предположил, что у вас IIS и клиент с IE - в домене. Если нет, то этот совет неприменим.


    Слава России!

    Да, IIS и клиент с IE - в домене. Ссылка https://technet.microsoft.com/ru-ru/library/dd759186.aspx помогла.
    23 января 2015 г. 11:30
  • Да, IIS и клиент с IE - в домене. Ссылка https://technet.microsoft.com/ru-ru/library/dd759186.aspx помогла.
    Благодарю за ответ.

    Best Regards, Andrei ...
    Microsoft Certified Professional

    23 января 2015 г. 11:33
    Модератор