Аутентификация Windows IIS 8.5, переставшая работать для некоторых пользователей
У меня есть приложение, которое было установлено, требуя аутентификации Windows в соответствии с Windows 2012, IIS 8.5. Когда определенные пользователи используют приложение, они получают 401 ошибку после проблемы/ответа. Другие могут использовать сайт без проблем. Пользователи все, оказывается, находятся в той же AD Group, но это может быть совпадением.
Вот запрос и ответы, которые обрабатываются (веб-сайт является внутренним нам, http://lcf - это - A-запись, не CNAME):
Запрос: 
Ответ: 
В журнале безопасности это типично для того, что обнаруживается:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: test1
Account Domain: CORP
Failure Information:
Failure Reason: Account locked out.
Status: 0xC0000234
Sub Status: 0x0
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: 1N14SW1-PC
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Данная учетная запись ("test1") не заблокирована из Active Directory для отказов входа в систему и т.д. Я думаю, что Локаут здесь должен быть от IIS.
В журнале IIS это - соответствующая запись:
2015-04-06 13:41:27 10.0.150.6 GET /Loss - 80 CORP\test1 10.0.20.28 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.1;+WOW64;+Trident/6.0;+SLCC2;+.NET+CLR+2.0.50727;+.NET+CLR+3.5.30729;+.NET+CLR+3.0.30729;+Media+Center+PC+6.0;+.NET4.0C;+.NET4.0E;+InfoPath.3;+EIE10;ENUSWOL) - 401 0 0 15
Для сайта:
- Только аутентификация Windows Включена, все другие Отключены.
- Windows Auth, Расширенная Защита Выключена, и Аутентификация Привилегированного режима включена.
- Поставщики, Согласовывают и NTLM. (Заголовки выше подтверждают это.)
- Правила авторизации установлены Позволить Всем Пользователям
Я попробовал несколько браузеров также. На самом деле переключение пользователей на той же машине приводит к различным результатам. (Пользователь на Машине A в порядке, Пользователь B на Машине A не.) Машины находятся на той же интранет.
Править: Я добавил файл "test.html" верхнего уровня для хранения вещей простыми. Я включил регистрацию отказов, и это - мой результат. Кто-либо может считать эти руны?
Править
Lockoutstatus.exe показывает "Не Заблокированный" на всех 12 DC для этого домена.
Успешный вход в систему:
An account was successfully logged on. Subject: Security ID: NULL SID Account Name: - Account Domain: - Logon ID: 0x0 Logon Type: 3 Impersonation Level: Impersonation New Logon: Security ID: CORP\xxxx1 Account Name: xxxx1 Account Domain: CORP Logon ID: 0x12E1355 Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x0 Process Name: - Network Information: Workstation Name: 1N14SW1-PC Source Network Address: - Source Port: - Detailed Authentication Information: Logon Process: NtLmSsp Authentication Package: NTLM Transited Services: - Package Name (NTLM only): NTLM V2 Key Length: 0
Я отчасти в конце моего Google-fu и веревки. Какие-либо предложения?
የተቆለፉ ተጠቃሚዎች ሁሉም በአንድ AD ቡድን ውስጥ መገኘታቸው ምናልባት ድንገተኛ አይደለም ፡፡ እነዚያ ተጠቃሚዎች የመተግበሪያውን አቃፊ ለመድረስ የ NTFS ፈቃዶች ላይኖራቸው ይችላል ፡፡ ይህንን ችግር ለማስቀረት የመተግበሪያ ገንዳ መለያ መለያ ለሁሉም የፋይል ተደራሽነት ስራ ላይ መዋል እንዳለበት ማረጋገጥ ያለብኝን ከዚህ በታች ሰርቻለሁ ፣ እናም በጭራሽ የማስመሰል አስቂኝ ንግድ የለም ፡፡ መተግበሪያዎችን በጣቢያዎች ስር ይምረጡ. የ "ውቅር አርታዒ" አዶን ሁለቴ ጠቅ ያድርጉ። በ "ክፍል" ተቆልቋይ ውስጥ system.webServer / serverRuntime ን ያግኙ። ወደ UseWorkerProcessUser ያቀናብሩ።
ተመሳሳይ ነገር በ appcmd.exe ወይም .config ፋይሎችን በመጠቀም ሊከናወን ይችላል።
ይህ ነባሪው ባህሪ አለመሆኑ ትንሽ የሚያስደንቅ ነው። በግልጽ ለማየት እንደሚቻለው የዊንዶውስ ማረጋገጫ እና ነባሪው መቼት ( UseAuthenticatedUser ) ፣ አንዳንድ የፋይሎች መዳረሻ የሚከናወነው ጣቢያውን በሚያሰሱ ተጠቃሚው ፈቃዶች በመጠቀም ሲሆን የተወሰኑ የፋይሎች መዳረሻ ደግሞ የሚከናወነው የመተግበሪያ ገንዳውን ማንነት በመጠቀም ነው። በግሌ እኔ ሁል ጊዜም የመተግበሪያ ገንዳውን የማንነት ፈቃዶች ብቻ መጠቀም እፈልጋለሁ ፣ ስለሆነም ከላይ የተገለጹትን ቅንጅቶች ማስተካከልን ማስታወስ አለብኝ።