Windows客户端损坏授权标头(Kerberos)=> IIS 400(错误请求)

时间:2015-06-11 07:59:01

标签: .net windows iis kerberos

我们在大约5%的Windows(7 Pro和XP Pro,32位和64位)客户端计算机上面临着奇怪的行为。这些计算机从IIS服务器获取随机错误 - 400 Bad请求。我们正在使用Windows域,这些客户端正在尝试通过Kerberos授权IIS。

Symtomps:

  • 客户端尝试通过Internet Explorer连接到IIS服务器,以进行需要身份验证的站点(Kerberos)。
  • IIS服务器返回错误400 Bad Request。
  • 错误不会消失,直到客户端计算机快速重启"。我们没有找到其他方式来修复"这个州。快速重启意味着您可以多次重启。有时它有时不起作用。如果它工作,它将安全地工作,直到下次重启。如果它没有安全地工作直到下次重启。 :)

我们所知道的

  • 我们正在使用更多群组。因此我们的用户可以随意使用更大的Kerberos TGT。 MaxTokenSize提高到48000。

  • 我们在受影响的客户端上嗅探网络流量,发现客户端发送了损坏的授权标头。部分与kerberos授权标题被削减 - 没有正确结束。因此,IIS服务器的响应是正确和合乎逻辑的。所以问题出在客户端

  • 我们试图在受影响的计算机上找到工作状态和错误状态之间的一些区别而没有运气。

  • 我们的网络上有更多IIS服务器。受影响的计算机在"错误状态"中的所有这些计算机上都存在相同的问题。

  • 希望我们的想法是正确的,Internet Explorer正在使用.NET Framework进行HTTP请求和授权。那可能是因为.NET的某个地方?所有客户都使用版本4。

有人可以帮助我们澄清这个谜吗? :)

1 个答案:

答案 0 :(得分:0)

解决。 Eset NOD32 Antivirus版本4 正在修改某些计算机上的HTML授权标头。禁用 Web访问保护后,所有内容都像魅力一样。