最近,我的一个自定义应用程序托管在 IIS 8.5、Windows Server 2012 R2 上,该应用程序使用针对 Active Directory 的 Windows 集成身份验证,在某些 Windows 客户端上停止正常工作。
该网站使用 SSL 并具有有效证书。
- 主动登录 AD 的 Windows 7 Enterprise 客户端在访问网站时会挂起一段时间,然后收到 401.1 无效凭据。以前,他们会通过 WIA 透明地进行身份验证并访问网站。
- Windows 10 客户端仍能访问该站点,但会提示输入 AD 凭据,除非他们进入“Internet 选项”并将站点 FQDN 添加到其“本地 Intranet 站点”。这可能是意料之中的,但之前出于某种原因,这并非必要。
- 未主动登录 AD 的 Windows 7 Ultimate 客户端仍可访问该站点,系统会提示输入 AD 凭据,然后进行身份验证并访问该站点。
我能确定的唯一变化是微软 Windows 补丁已由服务器管理员应用于服务器,其中提到了对 Windows 集成身份验证和 Windows 加密的更新。
我怀疑 WIA 发生了一些变化,但是我在事件日志或其他方面没有发现任何可以帮助我了解需要做什么来为我的 Windows 7 Enterprise 客户端恢复透明 WIA 的内容。
答案1
这个问题似乎已在 11 月第 3 周左右部署的 Microsoft 安全补丁中得到解决。我怀疑最初的补丁是为了解决安全问题,但却导致了集成 Windows 身份验证的问题。这些问题在后来的补丁中得到了解决,但是在 Windows 10 中,使用 SSL 上的集成 Windows 身份验证的网站的 FQDN 必须添加到客户端工作站上的本地 Intranet 站点,否则登录到 AD 的客户端和使用 IWA 的网站之间的身份验证将不会在没有用户干预的情况下进行协商,从而导致提示输入 AD 凭据。