Получение приглашения для входа с помощью встроенной проверки подлинности Windows

Ответ 1

У меня есть сервер Windows 2008, над которым я работаю, поэтому мой ответ не совсем такой же, как у OP на сервере Windows 2003.

Вот что я сделал (записывая это здесь, чтобы найти его позже).

У меня была такая же проблема:

В моем файле Web.config у меня был этот раздел:

<system.web>
    <authentication mode="Windows" />
    <authorization>
        <allow users="*" />
        <deny users="?" />
    </authorization>
</system.web>

В IIS все они, кажется, решаются с помощью значка Аутентификация.

• Изменить разрешения: убедитесь, что у вашей учетной записи ASP.NET есть разрешение. Шахта не была первоначально добавлена.

Теперь перейдите в функции Аутентификация:

Включить Анонимную аутентификацию с помощью IUSR:

Включить Аутентификация Windows, затем щелкните правой кнопкой мыши, чтобы установить Провайдеры.

NTLM должен быть FIRST!

Затем проверьте, что в разделе Дополнительные настройки... Расширенная защита Принять и Включить аутентификацию в режиме ядра. strong > ПРОВЕРЕН:

Как только я это сделал, я вернулся к своему веб-приложению, нажал ссылку "Обзор" и вошел в систему, не предоставляя свои учетные данные снова.

Я надеюсь, что это окажется полезным для многих из вас, и я надеюсь, что это будет полезно и мне позже.

Ответ 2

У меня была аналогичная проблема, в которой я хотел защитить только определенную часть моего веб-сайта. Все работало хорошо, за исключением IE. У меня есть анонимная и Windows Authentication. Для анонимных пользователей Identity устанавливается на идентификатор пула приложений. Проблема была в Windows Authentication. После некоторого копания я запустил скрипача и обнаружил, что он использует Kerberos в качестве провайдера (на самом деле он настроен на Negotiate по умолчанию). Я переключил его на NTLM и исправил его. НТН

Дауди

Ответ 3

Просто для других людей. Если ошибка равна 401.1 Unauthorized, а ваш код ошибки соответствует 0xc000006d, тогда вы фактически выполняете функцию безопасности, которая блокирует запросы к FQDN или пользовательским заголовкам хоста, которые не соответствуют вашему локальному имени компьютера:

Следуйте этой статье поддержки, чтобы устранить проблему:

http://support.microsoft.com/kb/896861

Это заняло у меня некоторое время, потому что все остальные комментарии здесь не помогли мне. Я нашел эту статью и исправил ее!

Ответ 4

Добавить разрешение [Пользователи домена] на вашу безопасность в Интернете.

• Щелкните правой кнопкой мыши на своем сайте в IIS в папке "Сайты"
• Нажмите "Редактировать разрешения"...
• Выберите вкладку "Безопасность"
• В разделе Группа или пользовательские имена нажмите кнопку "Изменить..."
• В окне "Разрешения" под именами групп или пользователей нажмите "Добавить".
• Введите [имена пользователей домена] в именах объектов, чтобы выбрать текстовую область, и нажмите "ОК" , чтобы применить изменение
• Нажмите "ОК" , чтобы закрыть всплывающее окно "Права доступа".
• Нажмите "ОК" , чтобы закрыть "Свойства" и применить новые настройки.

Ответ 5

Не создавайте ошибок на своем сервере, изменяя все. Если у вас есть окно для входа в систему при использовании проверки подлинности Windows в 2008 R2, просто перейдите к Providers и переместите UP NTLM для каждого вашего приложения. Когда Negotiate является первым в списке, Windows Authentication может перестать работать с определенным приложением в 2008 R2, и вам может быть предложено ввести имя пользователя и пароль, чем никогда не работать. Это случается, когда вы делаете обновление своего приложения. Просто убедитесь, что NTLM первый в списке, и вы больше никогда не увидите эту проблему.

Ответ 6

Может быть связано с браузером. Если вы используете IE, вы можете перейти в "Дополнительные параметры" и установить флажок "Включить встроенную проверку подлинности Windows".

Ответ 7

Это исправило это для меня.

Мой сервер и клиентский ПК - это Windows 7 и находятся в одном домене

• в iis7.5 - включить проверку подлинности Windows для вашей интрасети (отключить всю другую аутентификацию.. также нет необходимости упоминать проверку подлинности Windows в файле web.config

• затем перейдите на клиентский ПК. IE8 или 9-Tools-internet Options-Security-Local Intranet-Sites-advanced-Добавьте свой сайт (снимите флажок "require server verfi...". нет необходимости

• IE8 или 9-Tools-internet Options-Security-Local Intranet-Custom level-userauthentication-logon-select автоматический вход в систему с текущим именем пользователя и паролем

• Сохраните эти настройки. Вы закончили.. Больше не запрашивайте имя пользователя и пароль.

• Удостоверьтесь, что, поскольку ваш клиентский ПК является частью домена, у вас должен быть объект групповой политики для этих параметров... orelse этот параметр вернется обратно при входе пользователя в Windows в следующий раз

Ответ 8

WindowsIdentity.GetCurrent верен: вы должны получить пользователя APPPOOL. Это связано с тем, что процесс ASP.NET, выполняющий ваш код, является текущим идентификатором. Если вы хотите, чтобы пользователь ударил идентификатор сайта, вам нужно добавить следующую строку в свой web.config:

<identity impersonate="true" />

Это заставляет процесс принимать личность пользователя, запрашивающего страницу. Все действия будут выполняться от их имени, поэтому любые попытки чтения папок в сети или доступа к ресурсам базы данных и тому подобное будут означать, что текущему пользователю потребуются разрешения на эти вещи. Вы можете больше узнать о олицетворении здесь. Обратите внимание, что в зависимости от того, как настроена ваша топология веб-сервера базы данных, вы можете столкнуться с проблемами делегирования с включенной олицетворением.

Но ваша оригинальная проблема заключается в том, что, похоже, идентификатор не может быть определен, и вы получаете всплывающее окно входа в систему. Я отмечаю, что вам не нужен блок <deny>, если вы отключили анонимную аутентификацию в IIS. Мы никогда не включаем его (за исключением специальных блоков <location> и т.д.), Поэтому я бы сказал, что вы можете попробовать удалить его и повторить попытку. Все остальное звучит правильно.

Вы не указали, какой пользователь запускает пул приложений в IIS. Это пользовательская учетная запись или она по умолчанию? Если это обычай, это учетная запись домена или локальная учетная запись на веб-сервере? Пользовательским учетным записям иногда может потребоваться еще несколько шагов, например, регистрация SPN. Кроме того, может возникнуть проблема с тем, что пользовательская учетная запись не имеет разрешения в AD для разрешения входящей учетной записи пользователя.

Вы также можете проверить журналы IIS, чтобы узнать, какой ответ возвращается. Скорее всего, это будет 401, но у него должен быть дополнительный номер после 401.2 или что-то еще. Этот подканал иногда помогает определить корневую проблему. В этой статье статьи KB перечислены пять.

Ответ 9

В моем случае настройки авторизации были настроены неправильно.

Мне пришлось

• откройте правила авторизации .NET в диспетчере IIS

• и удалить правило Запретить

Ответ 10

Если ваш URL-адрес имеет точки в имени домена, IE будет рассматривать его как интернет-адрес, а не локальный. У вас есть как минимум два варианта:

• Получить псевдоним для использования в URL-адресе для замены server.domain. Например, myapp.
• Выполните следующие действия на вашем компьютере.

Перейдите на сайт и отмените диалог входа в систему. Пусть это произойдет:

В настройках IE:

Ответ 11

Я просто решил аналогичную проблему с приложением ASP.Net.

Симптомы: Я мог бы войти в мое приложение, используя локального пользователя, но не пользователя домена, даже если машина была правильно присоединена к домену (как вы говорите в дополнительной заметке). В средстве просмотра событий безопасности произошло событие с ID = 4625 "Недопустимый sid sid".

Решение: Я нашел решение здесь. Проблема заключалась в том, что мои тестовые машины, где клонировали виртуальные машины (Windows Server 2008 R2, один контроллер домена и один веб-сервер). Оба имеют одинаковый SID машины, что, по-видимому, вызвало проблемы. Вот что я сделал:

• Удалите веб-сервер из домена.
• Запустите c:\Windows\System32\Sysprep\Sysprep.exe в виртуальной машине.
• Перезагрузите виртуальную машину.
• Присоедините веб-сервер к домену.

Вы теряете некоторые настройки в процессе (пользовательские настройки, статический IP-адрес, воссоздайте самозаверяющий сертификат), но теперь, когда я их воссоздал, все работает правильно.

Ответ 12

В нашей интрасети проблема была решена на стороне клиента путем настройки параметров безопасности, как показано здесь. Любой из флажков справа работал для нас.

Ответ 13

Вы пробовали войти в систему с помощью префикса домена, например. Домен\Имя пользователя? IIS 6 по умолчанию использует хост-компьютер как домен по умолчанию, поэтому определение домена при входе в систему может решить проблему.

Ответ 14

У меня тоже была такая же проблема. Пробовал большинство вещей, найденных на этом и других форумах.

Наконец, это было успешным после выполнения небольшого собственного RnD.

Я вошел в Настройки IIS, а затем на мой сайт разрешение добавила мою группу пользователей домена организаций.

Теперь, когда всем пользователям моего домена был предоставлен доступ к этому сайту, я не сталкивался с этой проблемой.

Надеюсь, что это поможет

Ответ 15

Я пробовал описанные выше трюки конфигурации IIS и взлома реестра loopback, и я просмотрел и обновил разрешения для пула приложений и еще дюжину других вещей и до сих пор не смог избавиться от цикла проверки подлинности на моей рабочей станции разработки с помощью IIS Express или IIS 7.5, с локального или удаленного сеанса просмотра. Я получил четыре ответа статуса 401.2 и пустую страницу. Точно такой же сайт, развернутый на моем промежуточном сервере IIS 8.5, работает безупречно.

Наконец, я заметил разметку в Body Response, которая была пуста браузером, содержала страницу по умолчанию для успешного входа в систему. Я определил, что обработка пользовательских ошибок для ASP.NET и HTTP для ошибки 401 предотвращала/мешала Windows Аутентификация моей рабочей станции, но не промежуточного сервера. Я провел несколько часов, играя с этим, но как только я удалил пользовательскую обработку только для ошибки 401, рабочая станция вернулась к норме. Я представляю это еще один способ стрелять в вашу собственную ногу.

Ответ 16

Проверка подлинности Windows в IIS7.0 или IIS7.5 не работает с kerberos (provider = Negotiate) когда идентификатор пула приложений является ApplicationPoolIdentity Нужно использовать сетевую службу или другую встроенную учетную запись. Другая возможность - использовать NTLM, чтобы заставить Windows Authenticatio работать (в Windows Authentication, Providers, поставить NTLM сверху или удалить переговоры)

chris van de vijver

Ответ 17

У меня была та же проблема, что и пользователь (Identity), который я использовал в пуле приложений, не был ниже для группы IIS_IUSRS. Добавлен пользователь в группу, и все работает

Ответ 18

В моем случае решение было (помимо приведенных выше настроек) на перезагрузить локальный компьютер разработки /IIS (хостинг-сервер) моих/пользователей. Мой пользователь только что был добавлен во вновь созданную группу безопасности AD, а политика не применима к учетной записи пользователя AD, пока я не вышла из системы/перезагрузила компьютер.

Надеюсь, это поможет кому-то.

Ответ 19

Я столкнулся с тем же вопросом, что и запрос, и сделал быстрый поиск, и ничто в Интернете не исправит его. Потребовалось время, чтобы найти проблему, глупую.

В IIS → Предварительная настройка → Учетные данные физического пути (пуст)

Как только я добавил идентификатор машины (домен/пользователь), который имеет доступ к VM/серверу, запрос пароля остановится.

Надеюсь, что это поможет

Ответ 20

У меня была эта проблема на .net core 2, и после прохождения большинства предложений отсюда кажется, что мы пропустили настройку на web.config

<aspNetCore processPath="dotnet" arguments=".\app.dll" forwardWindowsAuthToken="false" stdoutLogEnabled="false" stdoutLogFile=".\logs\stdout" />

Правильная настройка была forwardWindowsAuthToken = "true" , которая кажется очевидной сейчас, но когда есть так много ситуаций для одной и той же проблемы, сложнее определить

Изменить: я также нашел полезным статью Msdn, которая устраняет проблему.

Ответ 21

У меня такая же проблема, и она была решена путем изменения идентификатора пула приложений пула приложений, под которым веб-приложение работает в NetworkService