IE发送NTLM令牌而不是Kerberos [英] IE sending NTLM token instead of Kerberos
问题描述
浏览器总是只发送NTLM令牌(我可以看到令牌以TlRMTVNT开头)
推荐答案
根据您列出的SPN,服务器配置似乎没问题。我唯一能看到你没有涵盖服务器配置的是什么身份是应用程序
池运行?只要应用程序池以 网络服务
运行, SPN很好。如果您为应用程序池配置了自定义标识,则应从计算机帐户中删除HTTP SPN并将其放在自定义帐户上。
还有IE配置发挥作用。最终,IE决定将发回的
WWW-Authenticate 标题。
验证Internet Explorer已配置为响应协商质询并执行Kerberos身份验证:
There are also IE configurations that come into play. Ultimately, IE makes the decision what WWW-Authenticate header it will send back. Verify Internet Explorer is configured to respond to a negotiate challenge and perform Kerberos authentication:
1.
In
Internet Explorer ,点击
工具上的互联网选项菜单。
1. In Internet Explorer, click Internet Options on the Tools menu.
< span style ="color:black; font-family:" Verdana"," sans-serif" ;; font-size:7.5pt"> 2.
点击
高级标签,点击以选中
中的启用集成Windows身份验证(需要重新启动)复选框安全部分,然后点击确定。
2. Click the Advanced tab, click to select the Enable Integrated Windows Authentication (requires restart) check box in the Security section, and then click OK.
3.
重新启动Internet Explorer。
管理员可以通过设置
EnableNegotiate来启用集成Windows身份验证以下注册表项中的 1 的DWORD值:
HKEY_CURRENT_USER \Software \ Microsoft \ Windows \ CurrentVersion \Internet Settings
Administrators can enable Integrated Windows Authentication by setting the EnableNegotiate DWORD value to 1 in the following registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
此外,Kerberos仅适用于已加入域的计算机。
这听起来好像机器加入了域名,所以这只是一个提醒。
Also, Kerberos only works for domain joined machines. It sounded like the machine was joined to the domain, so this was just a reminder.
这篇关于IE发送NTLM令牌而不是Kerberos的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!