Pourquoi Internet Explorer me demande-t-il toujours des informations d'identification NTLM dans une zone intranet?

Texte long, désolé pour ça. J'essaie d'être aussi précis que possible.

Je suis sur Windows 7 et je rencontre un comportement Internet Explorer 8 très frustrant. Je suis dans un réseau local d'entreprise avec des serveurs intranet et un proxy pour la connexion avec le monde extérieur.

Sur les sites qui sont clairement reconnus comme étant "Intranet local" (comme indiqué dans la barre d'état IE), je reçois toujours des boîtes de dialogue "Sécurité Windows" qui me demandent de me connecter. Ces pages sont desservies par un IIS6 avec "Sécurité Windows intégrée" activé, NTFS permet à tout le monde: de lire les fichiers eux-mêmes.

• Si j'entre mes informations d'identification Windows, la page se charge correctement. Cependant , les boîtes de dialogue apparaîtront la prochaine fois, peu importe si j'ai coché "Mémoriser mes informations d'identification" ou non. (Les informations d'identification sont stockées dans le "Gestionnaire d'informations d'identification", mais cela ne fait aucune différence quant à la fréquence à laquelle ces boîtes de connexion apparaissent.)
• Si je clique sur "Annuler", deux choses peuvent se produire: Soit la page se charge avec certaines ressources manquantes (images, feuilles de style, etc.), soit elle ne se charge pas du tout et j'obtiens HTTP 401.2 (Non autorisé: Échec de la connexion en raison du serveur Configuration). Cela dépend si la boîte de connexion a été déclenchée par la page elle-même ou une ressource référencée.
• Le comportement semble être complètement erratique, parfois les pages se chargent en douceur, parfois une ressource déclenche un message de connexion, parfois non. Même le simple rechargement de la page peut entraîner un changement de comportement.

J'utilise WPAD comme mécanisme de détection de proxy. Tous les hôtes Intranet contournent le proxy dans le fichier PAC.

J'ai vérifié tous les paramètres IE auxquels je peux penser, entré les modèles d'hôte, les noms d'hôte individuels, les plages IP dans chaque configuration imaginable dans la zone "Intranet local", coché "Inclure tous les sites qui contournent le serveur proxy", vous l'appelez. Cela se résume à «parfois, cela ne fonctionne tout simplement pas», et lentement je perds la tête. ;-)

Je suis conscient que cela est lié à IE ne transmettant pas automatiquement mes informations d'identification NTLM au serveur Web, mais me demandant à la place. Habituellement, cela ne devrait se produire que pour les sites sécurisés NTLM qui ne sont pas reconnus comme étant dans la zone "Intranet".

Comme expliqué, ce n'est pas le cas ici. D'autant plus que la moitié d'une page peut se charger parfaitement et sans interruption et que certaines ressources de la page (provenant du même serveur!) Déclenchent le message de connexion.

J'ai regardé http://support.microsoft.com/kb/303650 , ce qui donne l'impression de décrire le problème, mais rien ne semble fonctionner. Et franchement, je ne suis pas certain que «modifier manuellement le registre» soit la bonne solution pour ce genre de problème. Je ne suis pas la seule personne au monde à avoir une configuration IE / intranet / IIS, après tout.

Je suis perdu, quelqu'un peut-il me donner un indice?

La seule fois où nous voyons cela, c'est si le mot de passe d'un utilisateur a expiré. Chaque fois que nous voyons cela, nous demandons à l'utilisateur de changer son mot de passe et, pour faire bonne mesure, se déconnecter et se reconnecter avec les nouvelles informations d'identification. Le site Intranet ne demande plus d'informations d'identification.

Fait pour beaucoup d'appels de support rapides ...

Assurez-vous également que la zone Intranet local est configurée sur Connexion automatique avec le nom d'utilisateur et le mot de passe actuels. Vous pouvez le faire en:

1. Outils
2. Options Internet
3. Clic gauche sur l'onglet Sécurité
4. Clic gauche sur le niveau personnalisé
5. Faites défiler jusqu'à Authentification de l'utilisateur
6. Sous Connexion, sélectionnez Connexion automatique avec le nom d'utilisateur et le mot de passe actuels

Peut-être qu'une partie de la poignée de main en 4 parties avec ntlm se perd en parlant avec le proxy? Autrement dit, si ie demande au proxy des pages intranet ...

Je sais que vous avez dit que vous avez essayé de mettre des sites dans la zone intranet et de les configurer pour contourner le proxy. Mais curieux, que se passe-t-il si vous désactivez complètement la configuration du proxy dans le navigateur? Plus de pop-ups, non?

Essayez de regarder sous les outils administratifs sous le panneau de configuration; ouvrez les assistants .NET 1.1 et ajustez la sécurité .NET sur "Confiance totale" pour l'intranet.

Avez-vous vérifié / modifié votre «Sécurité réseau: niveau d'authentification LAN Manager» dans «Panneau de configuration / Outils d'administration / Politique de sécurité locale / Stratégies locales / Options de sécurité»? ( Q823659 )

Nous exécutons un groupe de travail ici (pas de serveurs Windows) avec un intranet local et une large utilisation de MySQL ... Jusqu'à ce que nous ayons changé (ou activé) la clé / option ci-dessus, rien ne semblait fonctionner à 100% du temps, ce n'était pas juste un problème avec Windows 7. Nous avons également désactivé les options de «cryptage 128 bits requis» sur les 2 clés NTLM ci-dessous sur les PC Windows 7 ... Vous rencontrez toujours des problèmes de base de données occasionnels, mais SQL va bien depuis que nous l'avons fait.

Puisque vous êtes sur un domaine et que le problème est inattendu, je me demande toujours deux choses ...

1. Le même comportement se produit-il pour les autres utilisateurs?
2. Le même comportement se produit-il pour un utilisateur de domaine différent sur votre ordinateur?

Avez-vous vérifié ces suggestions sur le site de réponse MS ? (probablement vous l'avez fait ...)