IIS7, Kerberos, a veces no hay respuesta del browser a 401

SharePoint 2010 alojado en IIS7, Kerberos habilitado. Los clientes inician session a través de Citrix en varios serveres de Terminal Server. Kerberos está trabajando en varios clientes, por lo que los SPN se definen correctamente, pero en algunos clientes no funciona.

Problema

  • Autenticación de Windows habilitada en Internet Explorer, proveedores Negociar (primero) y NTLM (segundo)
  • Funciona en algunos clientes. Si se habilita "Autenticación integrada de Windows" en IE, se envía el ticket Kerberos. Si la configuration está desactivada, se utiliza NTLM. Así, como se esperaba.
  • En algunos "malos clientes" obtengo "Esta página no se puede mostrar" (DNS / error de conectividad) después de + – 20 segundos. Si miro Fiddler, sólo veo una respuesta 401 del server web. Si vuelco los proveedores en IIS, por lo tanto NTLM (primero), Negociar (segundo), funciona! Se envía la respuesta NTLM. Si luego lo cambio de nuevo a Negociar (primero), NTLM (segundo) sigue funcionando después de IIS restablecer, hasta que cierre session y en de Citrix; luego de nuevo "No se puede mostrar esta página".
  • El sitio se agrega a la intranet local. Si funciona en NTLM en "clientes malos" puedo ver en la esquina inferior derecha "Intranet local". En los "buenos clientes" Kerberos funciona también en la zona Intranet local. También intentó agregar el sitio en "malos clientes" a los sitios de confianza, pero eso no marca la diferencia.

No tengo ni idea de por qué todavía no está funcionando. El problema parece que IE no quiere responder a la request HTTP / 401 con Negotiate, NTLM como auth. encabezados en algunos clientes, pero realmente no tengo ni idea de por qué no.

RESUELTO. Muy bien, Kerberos y LDAP a la DC no estaba disponible en algunos DC. Por lo tanto, el cambio de configuration en el server de security resuelto el problema.

  • Enrutamiento de todos los http a ntlmaps salientes
  • ¿Cómo puedo inspeccionar por qué Active Directory no puede usar kerberos y fallsback en NTLM?
  • El sitio IIS6 que utiliza autenticación integrada (NTLM) falla cuando se accede con Win7 / IE8
  • IE proporciona nombre de usuario incorrecto para NTLM Proxy Auth
  • squid3 auth thru samba usando ntlm a AD no funciona
  • ntlm_auth - puede iniciar session en AD con passwords nuevas y antiguas
  • Autenticación Apache - Excluir routes de la authentication definida <Directory>
  • Cómo configurar la seguridad NTLM en el servidor http Apache en Windows?
  • La authentication NTLM no funciona después del reinicio del server
  • Cómo detener la authentication NTLM v1 de ser aceptado en un entorno de Windows VM?
  • "Inicio de sesión anónimo" vs "NTLM V1" ¿Qué deshabilitar?
  • IE no envía dominio NTLM
  • ¿Cómo puedo saber si IIS permite que la authentication cambie de versión de Kerberos a NTLM v1?
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.