IE 9 verweigert NTLM Authentifizierung (Firefox kein Problem)
Moin Leute,
habe seit heute ein recht merkwürdiges Problem. Eine Intranetseite, die bis jetzt immer ohne Probleme aufgerufen werden konnte, verweigert seit heute die Anmeldung (über NTLM). Es ploppt immer der Credentials Dialog hoch und meint anschließend 401. Die Credentials sind aber sowas von korrekt, da ich mich mit den gleichen Credentials an der Kiste anmelden kann. Komischerweise hat Firefox keinerlei Probleme mit der Anmeldung. Gleicher Rechner, Domaine, bla.
Habe den IE bereits komplett zurückgesetzt, alle Caches gelöscht usw... Bis jetzt hat nichts gebracht.
Ich raff das gerade nicht 😃
Irgendwer eine Idee dazu, bzw. kennt jemand das Phänomen (vielleicht auch mit der Lösung 😉)
Gruß
Khalid
"Jedes Ding hat drei Seiten, eine positive, eine negative und eine komische." (Karl Valentin)
Der Effekt ist bekannt, wenn das Kerberos-Ticket durch zu viele Rechtezuweisungen zu groß wird.
- performance is a feature -
Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code
D.h. Gruppen migrieren, um das Ticket klein zu halten? Weißt du, ob das beim IE 10 auch der Fall ist?
"Jedes Ding hat drei Seiten, eine positive, eine negative und eine komische." (Karl Valentin)
Bei uns war man immer der Meinung, die Rechte so granular zu halten wie auch nur irgendwie möglich.
So gabs immer READ und WRITE Gruppen, Shares, Anwendungen.. alles war im AD.
Damit gabs dann hin und wieder probleme; eben durch das zu große Kerberos-Ticket. Bei uns war da aber noch der IE8 im Einsatz. Man ist dann mitlerweile über gegangen auf Rollen-bezogene Rechtegruppen (wobei das meiner Ansicht nach auch nicht überall sinn macht).
Wie sich das im Hinblick auf 9 oder die heutige V11 entwickelt hat weiß ich nicht, sorry.
Evtl. ist das bei Dir auch ein völlig anderes Problem.
Mir ist nur diese Tatsache eingefallen, da wir damit eben schon Probleme hatten.
- performance is a feature -
Microsoft MVP - @Website - @AzureStuttgart - github.com/BenjaminAbt - Sustainable Code
Kann aber hinkommen, da unsere Struktur auch sher feingliederig ist. Ich verfolg den Ansatz mal und melde mich ggf. wieder.
Danke für den Hinweis.
"Jedes Ding hat drei Seiten, eine positive, eine negative und eine komische." (Karl Valentin)
Alternative:
Internet Explorer als Administrator starten. Macht unter Win8 zumindest einen großen Unterschied.
Als Beispiel kann ich da den SQL Report Server nennen. Hat man Administratoren-Berechtigungen dem Windows-User zugewiesen, kann man diese nur ausüben, wenn auch der IE als Admin gestartet wurde.
So fallen sonst manche Funktionen einfach weg oder Ordner verschwinden.
Hallo,
ein Problem mit der Tokengröße bei der Authentifizierung hatten wir auch mal, allerdings nicht in Zusammenhang mit dem IE / IIS sondern einer anderen Anwendung.
Benutzer mit mehr vielen Gruppen (meist die "wichtigen") konnten sich nicht mehr anmelden.
Abhilfe hat bei uns gebracht, die MaxTokenSize auf dem Server, an dem sich die Benutzer über die Anwendung anmelden wollten, hochzudrehen
Problems with Kerberos authentication when a user belongs to many groups
Ob dazu vorher an den DCs eine Änderung notwendig ist kann ich leider nicht sagen - hab damals den Regkey auf den Max-Wert gesetzt - Reboot - geht bis heute einwandfrei.
VG
Hallo,
Problem gelöst. Zuerst hatte ich, wie im Link von telnet gepostet, die MaxTokenSize auf den Client erhöht. Das hatte alledings nicht wirklich was gebracht.
Unter dem Link "MaxTokenSize und seine Freunde" habe ich dann die Lösung gefunden. Serverseitig habe ich den Wert "MaxFieldLength" erhöht und dann den IIS neu gestartet. Seit dem funktioniert die Anmeldung wieder wie gewohnt.
Gruß
Khalid
"Jedes Ding hat drei Seiten, eine positive, eine negative und eine komische." (Karl Valentin)