IIS7, Kerberos, a veces no hay respuesta del browser a 401

SharePoint 2010 alojado en IIS7, Kerberos habilitado. Los clientes inician session a través de Citrix en varios serveres de Terminal Server. Kerberos está trabajando en varios clientes, por lo que los SPN se definen correctamente, pero en algunos clientes no funciona.

Problema

  • Autenticación de Windows habilitada en Internet Explorer, proveedores Negociar (primero) y NTLM (segundo)
  • Funciona en algunos clientes. Si se habilita "Autenticación integrada de Windows" en IE, se envía el ticket Kerberos. Si la configuration está desactivada, se utiliza NTLM. Así, como se esperaba.
  • En algunos "malos clientes" obtengo "Esta página no se puede mostrar" (DNS / error de conectividad) después de + – 20 segundos. Si miro Fiddler, sólo veo una respuesta 401 del server web. Si vuelco los proveedores en IIS, por lo tanto NTLM (primero), Negociar (segundo), funciona! Se envía la respuesta NTLM. Si luego lo cambio de nuevo a Negociar (primero), NTLM (segundo) sigue funcionando después de IIS restablecer, hasta que cierre session y en de Citrix; luego de nuevo "No se puede mostrar esta página".
  • El sitio se agrega a la intranet local. Si funciona en NTLM en "clientes malos" puedo ver en la esquina inferior derecha "Intranet local". En los "buenos clientes" Kerberos funciona también en la zona Intranet local. También intentó agregar el sitio en "malos clientes" a los sitios de confianza, pero eso no marca la diferencia.

No tengo ni idea de por qué todavía no está funcionando. El problema parece que IE no quiere responder a la request HTTP / 401 con Negotiate, NTLM como auth. encabezados en algunos clientes, pero realmente no tengo ni idea de por qué no.

RESUELTO. Muy bien, Kerberos y LDAP a la DC no estaba disponible en algunos DC. Por lo tanto, el cambio de configuration en el server de security resuelto el problema.

  • El sitio IIS6 que utiliza autenticación integrada (NTLM) falla cuando se accede con Win7 / IE8
  • El sitio IIS6 que utiliza la authentication integrada (NTLM) falla cuando se accede con Win7 / IE8
  • Autenticación Apache - Excluir routes de la authentication definida <Directory>
  • ¿Cómo puedo comprobar si mi sitio de IIS está utilizando NTLM o Kerberos?
  • RDP error "La function solicitada no es compatible" después de habilitar NLA
  • "Inicio de session anónimo" vs "NTLM V1" ¿Qué deshabilitar?
  • Riesgos relacionados con la configuration de la authentication Kerberos para WSS Reporting Services
  • Sharepoint pide cnetworkingenciales NTLM para cada URL única. ¿Como lo detengo?
  • Squid registra los nombres de usuario de NTLM sólo para ciertas peticiones
  • IIS7.5 Elemento de menu de los proveedores faltantes de authentication de Windows (ntlm)
  • Autenticación de proxy Squid - forma más indolora
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.