IIS 站点不断提示输入 Windows 身份验证方法的凭据

Question

我需要一些帮助来了解我无法在特定用户组的 IIS 站点上使用 Windows 身份验证的确切原因。发生的事情是，即使我的用户是我授予该站点访问权限的组的一部分，IE 也会不断提示我输入凭据，即使我输入密码，HTTP 响应也是 401（未经授权）。我也不允许更改 IE 的设置以将任何站点添加到受信任列表（它被公司阻止）。另一方面，除了它被阻止的事实之外，站点域被列为 (*.domain.com)

按照下面的场景：

• 服务器：Windows Server 2012
• IIS：8.5
• 用户：DomainA\MySimpleAdUser、DomainB\ServiceAdUser
• 组：DomainB\MYGROUP（包含 DomainA\MySimpleAdUser 的 AD 组）
• IIS_IUSRS（包含 DomainB\ServiceAdUser 的本地服务器组）

泳池设置

• 名称：PoolA
• 流程模型 > 身份 > DomainB\ServiceAdUser

服务器级别的设置

• ASP.NET > .NET 授权

  • 允许 | 用户：所有用户 | 实体类型本地

• IIS > 身份验证

  • 匿名身份验证已禁用
  • 启用 Windows 身份验证
    • 扩展保护：关闭
    • 启用内核模式身份验证：已启用
    • 提供商：协商（第 1 个）-> NTLM（第 2 个）
• IIS > 授权规则
  • 允许 | 角色：DomainB\MYGROUP | 实体类型本地

站点级别的设置（在 443 端口上的有效 SSL 证书上运行，这是唯一的绑定）

• 池：池A

• ASP.NET > .NET 授权

  • 允许 | 用户：所有用户 | 继承的实体类型

• IIS > 身份验证

  • 匿名身份验证已禁用
  • 启用 Windows 身份验证
    • 扩展保护：关闭
    • 启用内核模式身份验证：已启用
    • 提供商：协商（第 1 个）-> NTLM（第 2 个）

• IIS > 授权规则

  • 允许 | 角色：DomainB\MYGROUP | 继承的实体类型

站点根目录权限

• 对 IIS_IUSRS 的完全控制权限
• 对 MYGROUP 的读取和执行、列出和读取权限

网页配置

• 这是有关身份验证的唯一配置行： <authentication mode="Windows" />

==============================

观察

• 我已经尝试使用我的特定用户访问该站点，但仍然提示输入凭据

• 启动并运行该站点的唯一方法是允许匿名访问它。

  请帮我弄清楚缺少什么。我很感激任何帮助。

Answer 1

安全环回检查可能存在问题。请找到以下程序以禁用它。

• 单击开始，单击运行，键入 regedit，然后单击确定。
• 备份注册表
• 在注册表编辑器中，找到并单击以下注册表项：
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
• 右键单击 Lsa，指向新建，然后单击 DWORD 值。
• 键入 DisableLoopbackCheck，然后按 Enter。
• 右键单击 DisableLoopbackCheck，然后单击修改。
• 在数值数据框中，键入 1，然后单击确定。
• 退出注册表编辑器，然后重新启动计算机。

Answer 2

我发现如果经过身份验证的用户无法读取您的 Web 应用程序中静态内容的文件夹，它将对您进行身份验证，然后拒绝访问。这可以通过授予 local_Machine\Authenicated_Users 访问所需资源来解决。

就我而言，我将 Authenticated_users 添加到 IIS_IUSRS 组，它解决了我的问题。请注意，这也可以将任何经过身份验证的用户授予 IIS_IUSRs 组可用的所有文件和文件夹。所以要小心，这些用户不能通过任何其他方式访问文件系统。一个单独的组授予 NT AUTHORITY\Authenticated_Users 足够的权限来读取 png，静态内容是最好的方法。

配置：Windows Server 2012 R2 运行 IIS 8.5、NET Framework 4.5，启用静态内容。