我目前正在重新组织我的组织中的子网。新的子网为 10.65.0.0/24,老的子网是 172.16.0.0/21。
新子网中的客户端无法访问 172.16.9.0/24 中的 Web 应用程序 - 他们会收到输入凭据的提示,然后出现 401.2 错误(流量已路由但身份验证失败)。
旧子网中的客户端(即使相同的客户端移动到不同的网络位置)也能够访问,而无需提供凭据请求或任何错误。
Web 应用程序在 IIS6 中运行 - 未对 Web 应用程序做出任何更改 - 唯一改变的(我知道)是客户端的网络位置。
更新 1:我简化了测试用例,以消除任何奇怪的传递到 SQL 服务器等的情况。现在我只是从服务器请求静态文本文件 - 我仍然收到 401.2 错误。如果我从集成身份验证切换到基本身份验证,则页面可以正常传送。
更新 2:看起来受影响的应用程序仅限于使用 NTLM - 使用 Kerberos 身份验证的应用程序似乎运行良好。
更新 3:新子网当前通过 Cisco Meraki MX 防火墙路由到其中包含服务器的子网 - 没有任何防火墙规则拒绝流量,但这似乎是两个子网之间的主要区别。
还有其他人遇到过这种情况吗?
答案1
原来是 Kerberos 的问题。我在 Active Directory 中为计算机帐户启用了委派信任,一切开始正常。