Pourquoi Internet Explorer me demande-t-il toujours des informations d'identification NTLM dans une zone intranet?

23

Texte long, désolé pour ça. J'essaie d'être aussi précis que possible.

Je suis sur Windows 7 et je rencontre un comportement Internet Explorer 8 très frustrant. Je suis dans un réseau local d'entreprise avec des serveurs intranet et un proxy pour la connexion avec le monde extérieur.

Sur les sites qui sont clairement reconnus comme étant "Intranet local" (comme indiqué dans la barre d'état IE), je reçois toujours des boîtes de dialogue "Sécurité Windows" qui me demandent de me connecter. Ces pages sont desservies par un IIS6 avec "Sécurité Windows intégrée" activé, NTFS permet à tout le monde: de lire les fichiers eux-mêmes.

  • Si j'entre mes informations d'identification Windows, la page se charge correctement. Cependant , les boîtes de dialogue apparaîtront la prochaine fois, peu importe si j'ai coché "Mémoriser mes informations d'identification" ou non. (Les informations d'identification sont stockées dans le "Gestionnaire d'informations d'identification", mais cela ne fait aucune différence quant à la fréquence à laquelle ces boîtes de connexion apparaissent.)
  • Si je clique sur "Annuler", deux choses peuvent se produire: Soit la page se charge avec certaines ressources manquantes (images, feuilles de style, etc.), soit elle ne se charge pas du tout et j'obtiens HTTP 401.2 (Non autorisé: Échec de la connexion en raison du serveur Configuration). Cela dépend si la boîte de connexion a été déclenchée par la page elle-même ou une ressource référencée.
  • Le comportement semble être complètement erratique, parfois les pages se chargent en douceur, parfois une ressource déclenche un message de connexion, parfois non. Même le simple rechargement de la page peut entraîner un changement de comportement.

J'utilise WPAD comme mécanisme de détection de proxy. Tous les hôtes Intranet contournent le proxy dans le fichier PAC.

J'ai vérifié tous les paramètres IE auxquels je peux penser, entré les modèles d'hôte, les noms d'hôte individuels, les plages IP dans chaque configuration imaginable dans la zone "Intranet local", coché "Inclure tous les sites qui contournent le serveur proxy", vous l'appelez. Cela se résume à «parfois, cela ne fonctionne tout simplement pas», et lentement je perds la tête. ;-)

Je suis conscient que cela est lié à IE ne transmettant pas automatiquement mes informations d'identification NTLM au serveur Web, mais me demandant à la place. Habituellement, cela ne devrait se produire que pour les sites sécurisés NTLM qui ne sont pas reconnus comme étant dans la zone "Intranet".

Comme expliqué, ce n'est pas le cas ici. D'autant plus que la moitié d'une page peut se charger parfaitement et sans interruption et que certaines ressources de la page (provenant du même serveur!) Déclenchent le message de connexion.

J'ai regardé http://support.microsoft.com/kb/303650 , ce qui donne l'impression de décrire le problème, mais rien ne semble fonctionner. Et franchement, je ne suis pas certain que «modifier manuellement le registre» soit la bonne solution pour ce genre de problème. Je ne suis pas la seule personne au monde à avoir une configuration IE / intranet / IIS, après tout.

Je suis perdu, quelqu'un peut-il me donner un indice?

Tomalak
la source
Désolé, je n'ai pas pu résister: Alors, capitaine, combien de temps allons-nous nous regarder dans la zone neutre?!
allquixotic

Réponses:

11

La seule fois où nous voyons cela, c'est si le mot de passe d'un utilisateur a expiré. Chaque fois que nous voyons cela, nous demandons à l'utilisateur de changer son mot de passe et, pour faire bonne mesure, se déconnecter et se reconnecter avec les nouvelles informations d'identification. Le site Intranet ne demande plus d'informations d'identification.

Fait pour beaucoup d'appels de support rapides ...

Assurez-vous également que la zone Intranet local est configurée sur Connexion automatique avec le nom d'utilisateur et le mot de passe actuels. Vous pouvez le faire en:

  1. Outils
  2. Options Internet
  3. Clic gauche sur l'onglet Sécurité
  4. Clic gauche sur le niveau personnalisé
  5. Faites défiler jusqu'à Authentification de l'utilisateur
  6. Sous Connexion, sélectionnez Connexion automatique avec le nom d'utilisateur et le mot de passe actuels
Windos
la source
Non, les mots de passe conviennent. C'était la première chose que j'ai vérifiée, naturellement. En outre, il n'y aurait pas de chargement de page partiel et un comportement erratique «parfois ça marche, parfois ça ne marche pas» si le mot de passe a expiré.
Tomalak
2

Peut-être qu'une partie de la poignée de main en 4 parties avec ntlm se perd en parlant avec le proxy? Autrement dit, si ie demande au proxy des pages intranet ...

Je sais que vous avez dit que vous avez essayé de mettre des sites dans la zone intranet et de les configurer pour contourner le proxy. Mais curieux, que se passe-t-il si vous désactivez complètement la configuration du proxy dans le navigateur? Plus de pop-ups, non?

noobish
la source
Les sites intranet ne sont pas chargés via le proxy. Mais je peux essayer.
Tomalak
1
Après avoir complètement désactivé le proxy et ajouté manuellement notre nom de domaine complet Intranet à la zone "Intranet" dans IE, il semble fonctionner ATM. Je n'ai pas testé depuis longtemps, donc je ne peux pas être absolument sûr. C'est peut-être une particularité de WPAD? Après tout, le fichier PAC renvoie également "DIRECT" pour ce nom de domaine complet…
Tomalak
Il semble que vous ayez trouvé votre réponse si la désactivation du proxy a fonctionné. J'allais suggérer d'essayer Firefox et d'ajouter le nom du site au paramètre ntlm dans la page about: config et de voir si cela fonctionnait.
Marlon
0

Essayez de regarder sous les outils administratifs sous le panneau de configuration; ouvrez les assistants .NET 1.1 et ajustez la sécurité .NET sur "Confiance totale" pour l'intranet.

TheDudeAbides
la source
Il n'y a pas .NET impliqué du tout dans les pages en question. Peu importe ce que je configure là-bas.
Tomalak
0

Avez-vous vérifié / modifié votre «Sécurité réseau: niveau d'authentification LAN Manager» dans «Panneau de configuration / Outils d'administration / Politique de sécurité locale / Stratégies locales / Options de sécurité»? ( Q823659 )

Nous exécutons un groupe de travail ici (pas de serveurs Windows) avec un intranet local et une large utilisation de MySQL ... Jusqu'à ce que nous ayons changé (ou activé) la clé / option ci-dessus, rien ne semblait fonctionner à 100% du temps, ce n'était pas juste un problème avec Windows 7. Nous avons également désactivé les options de «cryptage 128 bits requis» sur les 2 clés NTLM ci-dessous sur les PC Windows 7 ... Vous rencontrez toujours des problèmes de base de données occasionnels, mais SQL va bien depuis que nous l'avons fait.

HaydnWVN
la source
Malheureusement, je ne peux rien changer. Les GPO de domaine contrôlent ce paramètre. De plus, cela n'explique pas le comportement erratique, je m'attendrais à ce qu'il échoue tout le temps lorsque les paramètres d'authentification de bas niveau sont incorrects. : - \
Tomalak
0

Puisque vous êtes sur un domaine et que le problème est inattendu, je me demande toujours deux choses ...

  1. Le même comportement se produit-il pour les autres utilisateurs?
  2. Le même comportement se produit-il pour un utilisateur de domaine différent sur votre ordinateur?
Paul D'Ambra
la source
À 1 et 2: Oui. Très déroutant.
Tomalak
Cela donne l'impression que le GPO ou la configuration IIS sont à blâmer ...
Paul D'Ambra
0

Avez-vous vérifié ces suggestions sur le site de réponse MS ? (probablement vous l'avez fait ...)

Frank Meulenaar
la source
Je le ferais, mais ce lien est rompu.
Tomalak
Je suis désolé, le lien est corrigé.
Frank Meulenaar
Hm. Pas de dé. Je préfère également ne pas utiliser le gestionnaire d'informations d'identification pour quelque chose qui devrait être une authentification transparente avec mon propre compte.
Tomalak