Proxy

ISA 2006 切換到 kerberos 會導致某些使用者出現身份驗證問題

  • June 22, 2012

在我們的大型企業環境中,我們設置了 4 台 ISA 2006 伺服器。使用者 (WinXP IE8) 使用自動代理配置腳本進行配置。最近,PAC 被修改為返回 FQDN 而不是 ISA 伺服器的 IP 地址。這樣做是為了強制使用 Kerberos 身份驗證而不是 NTLM。

這一變化給一些使用者帶來了間歇性的問題。通過 SSL 訪問站點時,他們會收到來自代理伺服器的多個身份驗證提示。並非所有使用者都受到影響。不同的站點受到影響。有一次,其中一台代理伺服器開始發出“502 代理錯誤。不支持緩衝區空間”。它已重新啟動並重新開始營業。

我們能想到的最好的結果是它與較大的 Kerberos 令牌大小有關(我們是一個擁有成百上千個 AD 安全組的大型操作)。

一些使用者為 Kerberos 配置了 MaxPacketSize 和 MaxTokenSize。有些沒有。我查看的兩個問題使用者都有這些設置。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
"MaxPacketSize"=dword:00000001
"MaxTokenSize"=dword:0000ffff

回滾 PAC 以使用 IP 地址(和 NTLM)為使用者解決了問題。但是代理管理員仍然需要 Kerberos,原因如下:為什麼在 IIS 中使用 Kerberos 而不是 NTLM?.

將這些系統資料庫設置推送給所有使用者會解決問題,還是這些設置是問題的根源?

ISA 伺服器上是否有需要調整以匹配桌面上的令牌大小設置的設置?

謝謝。

可能是令牌大小問題。無論如何,所有電腦都應該將這些設置設置為這些值。

另一種可能性是是否有任何策略過濾器指定最大 http 標頭長度。

由於 kerberos 將組成員身份儲存在 pac 中,因此當使用編碼並插入到每個 http 請求標頭中的集成身份驗證時。任何涉及與 kerberos 集成身份驗證的 http 都需要非常慷慨地設置最大請求標頭大小。

還有一個帶有該描述的症狀的修補程序。

當使用者嘗試訪問某些網站

http://support.microsoft.com/kb/935693時,ISA Server 2006 Web 代理客戶端收到錯誤程式碼 502

http://www.isaserver.org/tutorials/configuring-isa-server-2006-http-filter.html

http://technet.microsoft.com/en-us/library/bb838827.aspx

引用自:https://serverfault.com/questions/399147