Active-Directory
集成的 Windows 身份驗證不再像以前一樣與某些 Windows 客戶端一起工作
最近,我的一個託管在 IIS 8.5 上的自定義應用程序 Windows Server 2012 R2 使用針對 Active Directory 的 Windows 集成身份驗證停止在某些 Windows 客戶端上正常工作。
該站點使用 SSL 並具有有效證書。
- 主動登錄到 AD 的 Windows 7 Enterprise 客戶端在訪問該站點時會掛起一段時間,然後獲得 401.1 無效憑據。以前,他們會通過 WIA 透明地進行身份驗證並訪問該站點。
- Windows 10 客戶端仍然可以訪問該站點,但會提示輸入其 AD 憑據,除非他們轉到 Internet 選項並將站點 FQDN 添加到其“本地 Intranet 站點”。無論出於何種原因,這很可能是意料之中的,但以前不是必需的。
- 未主動登錄到 AD 的 Windows 7 Ultimate 客戶端仍然可以訪問該站點,系統會提示您輸入 AD 憑據,進行身份驗證並訪問該站點。
我能夠確定的唯一更改是伺服器管理員向伺服器應用了Microsoft Windows 更新檔,其中提到了對 Windows 集成身份驗證和 Windows 加密的更新。
我懷疑 WIA 發生了一些變化,但我在事件日誌中沒有發現任何內容,或者其他可以幫助我了解為我的 Windows 7 Enterprise 客戶端恢復透明 WIA 需要做的事情。
該問題似乎已通過在 11 月第 3 週左右部署的 Microsoft 安全更新檔解決。我懷疑最初的更新檔是為了解決安全問題,但導致集成 Windows 身份驗證出現問題。這些已通過後來的更新檔解決,但是在 Windows 10 中,必須將使用基於 SSL 的集成 Windows 身份驗證的網站的 FQDN 添加到客戶端工作站上的本地 Intranet 站點,否則客戶端登錄到 AD 和使用 IWA 的網站在沒有使用者干預的情況下不會進行協商,從而導致提示輸入 AD 憑據。