集成的 Windows 身份驗證不再像以前一樣與某些 Windows 客戶端一起工作

最近，我的一個託管在 IIS 8.5 上的自定義應用程序 Windows Server 2012 R2 使用針對 Active Directory 的 Windows 集成身份驗證停止在某些 Windows 客戶端上正常工作。

該站點使用 SSL 並具有有效證書。

• 主動登錄到 AD 的 Windows 7 Enterprise 客戶端在訪問該站點時會掛起一段時間，然後獲得 401.1 無效憑據。以前，他們會通過 WIA 透明地進行身份驗證並訪問該站點。
• Windows 10 客戶端仍然可以訪問該站點，但會提示輸入其 AD 憑據，除非他們轉到 Internet 選項並將站點 FQDN 添加到其“本地 Intranet 站點”。無論出於何種原因，這很可能是意料之中的，但以前不是必需的。
• 未主動登錄到 AD 的 Windows 7 Ultimate 客戶端仍然可以訪問該站點，系統會提示您輸入 AD 憑據，進行身份驗證並訪問該站點。

我能夠確定的唯一更改是伺服器管理員向伺服器應用了Microsoft Windows 更新檔，其中提到了對 Windows 集成身份驗證和 Windows 加密的更新。

我懷疑 WIA 發生了一些變化，但我在事件日誌中沒有發現任何內容，或者其他可以幫助我了解為我的 Windows 7 Enterprise 客戶端恢復透明 WIA 需要做的事情。

該問題似乎已通過在 11 月第 3 週左右部署的 Microsoft 安全更新檔解決。我懷疑最初的更新檔是為了解決安全問題，但導致集成 Windows 身份驗證出現問題。這些已通過後來的更新檔解決，但是在 Windows 10 中，必須將使用基於 SSL 的集成 Windows 身份驗證的網站的 FQDN 添加到客戶端工作站上的本地 Intranet 站點，否則客戶端登錄到 AD 和使用 IWA 的網站在沒有使用者干預的情況下不會進行協商，從而導致提示輸入 AD 憑據。

引用自：https://serverfault.com/questions/992062