Forcing NTLM authentication in Internet Explorer

By Andrei Ungureanu - Last updated: Thursday, May 30, 2013 - Save & Share - Leave a Comment

De curand am tot vazut erori legate de autentificarea Kerberos si probleme cu SPN-ul definit pe computer account sau probleme cu modul in care este accesat un server.

Si am vazut cazul in care cineva incearca sa se autentifice din IE la un server, sa zicem server1.contoso.com dar folosind o alta inregistrare DNS gen server2.contoso.com. Este vorba de un TMG, asa ca SPN-ul lui este definit la nivel de computer account. As putea sa mai adaug un SPN cu server2.contoso.com, problema este ce fac daca mai am si un computer account cu server2 in Active Directory (mai aveam, dar era oprit si ca metoda de failover ii redirectam pe toti catre primul server).

Problema intr-un astfel de scenariu vine de la faptul ca de pe la Internet Explorer 6 a inceput sa fie folosit si Kerberos in schema de Negociate. Iar cand folosesti Kerberos in scenariul de mai sus, ticketul este criptat folosind informatiile din AD de pe computer accountul server2.contoso.com, ce in final ajung pe server1.contoso.com si care bineinteles nu va fi in stare de le decripteze. Iar prin loguri o sa vedeti probabil mesaje de eroare de la Kerberos de genul KRB_AP_ERR_MODIFIED. Iar fallback pe NTLM nu o sa faca pentru ca sistemul destinatie suporta Kerberos.

O varianta simpla ar fi folosirea unui browser ce nu foloseste Kerberos sau debifarea optiunii Enable Integrated Windows Authentication:

image

PS: cand pe destinatie e IIS si nu TMG atunci rezolvarea poate fi si server side din modificarea contului sub care ruleaza application pool-ul.

Si puteti continua lectura cu urmatoarele link-uri pe teme legate de asa ceva:

http://technet.microsoft.com/en-us/library/cc779070(v=ws.10).aspx

http://blogs.msdn.com/b/ieinternals/archive/2011/07/06/integrated-windows-authentication-kerberos-ntlm-http-400-error-for-16kb-authorization-header.aspx

http://blog.michelbarneveld.nl/michel/archive/2009/11/14/the-reason-why-kb911149-and-kb908209-are-not-the-soluton.aspx

Posted in Windows Client, Windows Server • Tags: , , Top Of Page

Write a comment