Windows 身份验证在 ie7 中不起作用

Question

真的需要这方面的帮助，尝试了很多东西但没有想法。

我有一个托管在内部开发服务器上的网站，可供内部员工访问。

服务器设置是 windows 2008 R2, iis 7.5 sql 2008 express。我正在使用活动目录进行身份验证。

在 Chrome 中加载该网站，并自动记录我识别我的名字。

在 IE7 中查看该站点时，响应为： "401 - 未经授权：由于凭据无效，访问被拒绝。 您无权使用您提供的凭据查看此目录或页面。”

我尝试了以下方法：

• 在 iis 中仅将 windows 身份验证设置为启用（其余禁用）
• 将 NTLM 移至提供商列表顶部
• 将 Web 目录的完全控制权授予 Everyone/IUSR/Network Service/DeafultAppPool ...列表继续。
• 已检查 ie 设置（已检查启用集成 Windows 身份验证）
• IE7 中的用户身份验证设置为“仅在内网区域自动登录”。
• 在 web.config 中设置以下内容：
  • <anonymousIdentification enabled="false" />
  • <authentication mode="Windows" />
  • <identity impersonate="false" />
• 已执行：cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"

当我在 IE7 中访问 Intranet 时，我确信它不是浏览器设置，因为我已针对 AD 进行身份验证。

怎么了？我该如何解决？

非常感谢

Answer 1

在类似环境中使用其中一个网络应用程序时遇到此类问题。原来，IE 试图使用 Kerberos 进行身份验证，而 Kerberos 在 IIS 身份验证设置中被关闭。 Chrome 在未能使用 Kerberos 后下降到 NTLM，因此在 Chrome 网络应用程序中运行良好。

解决方案相当简单。

1. Open IIS manager
2. Open "Authentification" node
3. Right click on 'Windows Authentification' item.
4. Select "Advanced settings" in context menu.
5. Switch off kernel mode (it's not compartible with Kerberos provider.)
6. Repeat p.1-3.
7. Select "Providers..." in context menu
8. Add Kerberos to enabled providers list
9. Restart IIS

Answer 2

我在 Windows 2008 R2 iis 7.5 上模拟 Windows 身份验证时遇到了同样的问题。 我在这里遵循了其他两个解决方案，但没有成功。 但是在应用了这些更改之后，我再次切换回内核模式并且它起作用了。 我不知道它为什么会起作用，但是已经成功地在 2 个单独的虚拟目录上遵循了这个过程。

Answer 3

来自技术网文章，http://technet.microsoft.com/en-us/library/cc754628(v=ws.10).aspx：

Windows 身份验证的默认设置是协商。这 设置意味着客户端可以选择适当的安全性 支持提供者。要强制 NTLM 身份验证，您必须更改 下元素的值 ApplicationHost.config 文件中的元素。

IE 正在使用 Kerberos，而不是像 Chrome 和 Firefox 那样依赖 NTLM。您必须按照以下步骤在 IIS7.5 中强制执行 NTLM 身份验证：

1. 选择您的网站。
2. 双击身份验证。
3. 选择“Windows 身份验证”（确保已启用）。
4. 点击右侧栏中的“Providers...”。
5. 选择 NTLM 并点击“上移”。