【问题标题】:ASP.net kerberos dropping down to NTLM sporadicallyASP.net kerberos 偶尔下降到 NTLM
【发布时间】:2010-12-08 19:04:42
【问题描述】:

背景(仅相关部分): 我们有一个大型的内网 asp.net 2.0/3.5 应用程序。
Web 服务器是 AD 域上的 Windows Server 2003。
客户端在 Windows、IE 6-8 上。 Windows 身份验证,使用从 Windows 标识创建的自定义主体。 Web 服务器位于 F5 NLB 后面,该 NLB 将用户转发到特定的 Web 服务器。 (原因是我们公司的 F5 交易与 kerberos 的限制)。 没有系统范围的问题,如会话丢失、超时或服务器过载,一切运行正常。

一项功能需要委托 - 我们使用域/Web 服务器提供给我们的 Kerberos 令牌作为经过身份验证的用户连接到网络文件共享。

SPN、ACL 等似乎设置正确。

99.x% 的时间,一切正常。我们经常看到的问题是,在刷新时,令牌会从 kerberos 下降到 ntlm。我可以在 Web 服务器的事件日志中看到登录信息,显示一个调用得到这个:

登录过程:Kerberos 身份验证包:Kerberos

随后的调用(通常在 10 或 20 个页面加载后)得到:

登录过程:NtLmSsp 认证包:NTLM

任何人都知道什么可能导致后续回发有时会转到 NTLM?

谢谢!

【问题讨论】:

    标签: asp.net kerberos delegation


    【解决方案1】:

    识别问题所需的所有工具和技术都在Troubleshooting Kerberos Errors 中。这份文件从未让我失望。

    NTLM 后备
    你可能会发现 安全日志记录了一个事件 使用 NTLM 登录时发生的 它应该使用 Kerberos 发生 验证。

    问题
    那里有两个 可能发生这种情况的情况:
    - 第一种情况是 系统尝试使用身份验证 Kerberos 协议,但它失败了。作为 结果,系统试图 使用 NTLM 进行身份验证。视窗 服务器 2003、Windows XP 和 Windows 2000 使用一种称为 Negotiate 的算法 (SPNEGO) 协商哪个 使用身份验证协议。 虽然 Kerberos 协议是 默认,如果默认失败, 协商将尝试 NTLM。
    - 第二 情况是一种调用 协商返回 NTLM 作为唯一 可用的协议。

    确认
    这 第一种情况会导致 失败的 Kerberos 身份验证 你可以通过检查来调查 事件日志或数据中的错误 网络监视器捕获的数据包。 两种调查方法都是 本文档稍后会讨论...

    【讨论】:

    • 不错,以前没见过。谢谢!
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-03-06
    • 1970-01-01
    • 1970-01-01
    • 2011-03-25
    • 1970-01-01
    相关资源
    最近更新 更多