IIS6/NTLM:与其他域的用户进行身份验证非常慢

IIS6/NTLM:与其他域的用户进行身份验证非常慢

我有一个在 IIS6 上托管的 WSS 3.0 网站。它仅针对 NTLM 进行了完全配置。

它托管在域 A 中。当域 A 中的用户尝试访问该网站时,它可以正常工作。

现在我们正在将用户从域 A 迁移到域 B(不同的林,具有外部双向信任)。 - 域 B 中的用户利用域 A 中的 SIDHistory - 对于此特定网站,WSS 站点已配置为明确授权域 A 用户和域 B 用户访问该网站

以下是不同的场景...

  1. Windows XP / IE7 或 IE8 / 来自 A 的用户 --> 访问 OK
  2. Windows XP / IE7 或 IE8 / 来自 B 的用户 --> 由于身份验证,访问非常慢
    • 我可以看到通常的 NTLM 交换和 HTTP 401 答案,但服务器需要超过 10 秒的时间才能在最后的交换中最终发送答案
  3. Windows XP / IE7 或 IE8 / 用户来自 B + 在 IE 中禁用“Windows 集成身份验证” --> 此时可以访问
    • HTTP 身份验证序列看起来非常相似,但这次服务器会立即提供最终答案
  4. Windows 7 / IE9 / 来自 B 的用户 / Windows 集成身份验证已启用 --> 访问正常

有什么办法可以解释案例 2 的访问速度慢的原因,以及为什么案例 3 的测试可以解决问题(只是测试,我不想禁用此选项)

问候。

答案1

这可能与跨域传递身份验证的方式有关。您的配置中可能存在某些问题,导致失败,然后重试即可。 http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx

链接显示了复杂性。它在域级别显示了这一点。请记住,下面是 DC 级别的发现。

相关内容