roebert 10 Geschrieben 17. Mai 2006 Melden Teilen Geschrieben 17. Mai 2006 Hallo, in unserem FirmenNetzwerk steht ein Server (Windows Server 2003) mit IIS6 der auf Port 80 lauscht - integrierte Windows-Authentifizierung ist aktiviert. Ruft ein Nutzer das Intranet auf, geht der erste Request an diesen IIS, der versucht ihn zu identifizieren. Wenn das klappt schaut die default.aspx im LDAP nach diesen Nutzer(speziell seiner Org-Einheit) und erzeugt einen Frame der auf ein spezifisches Projekt auf einem Tomcat-Server weiterleitet. Dies funktioniert bei ueber 99% der Nutzer - ein paar koennen jedoch nicht authentifiziert werden - diese erhalten eine 401.1 Fehlermeldung - auch nach der richtigen Eingabe der Windows-Anmeldung in der Eingabeaufforderung des IIS. Als Workaround habe ich die Adresse für den Tomcat-Frame für diese speziellen Nutzer selber erstellt, und es sie ausprobieren lassen. Jedoch konnten Sie auch nicht am Tomcat authentifiziert werden (der Tomcat hat ebenfalls ein Modul mit dem er im LDAP nach dem Nutzer schauen kann). Im Log des Tomcats konnte ich aber festellen, dass die betroffenen Nutzer ihre Anmeldedaten 'anders' senden als Beispiel 2 Logeinträge des tomcat: 2006-05-12; 07:11:48.447; (W); User $username@$domain on \$computername is authenticate with NTLM RdAuthWeblet; Dieser Nutzer kann in kommunikation mit dem LDAP nicht gefunden werden 2006-05-12; 10:18:50.980; (W); User $username on $domain\$computername is authenticate with NTLM RdAuthWeblet; Dieser Nutzer wird ohne Probleme im LDAP gefunden Wie kann es also sein dass Nutzer in einer Windows-Domain ihre Anmeldung in 2 verschiedenen Formaten uebergeben?? ... ich hatte das gestern schon im usenet gepostet - haenge es vorsichtshalber mal mit ran über eine Lösung wäre ich hocherfreut! mfg ################################## Hello, we have an IIS6 running in our lan, which has integrated windows authentification turned on. After a request by an employee the server tries to identify the user and get information about him from LDAP. Depending on the value of organisation from LDAP the IIS renders a frame with a redirect to a specific project on a Tomcat-Server. This Server delivers a personalized intranet for about 3000-4000 employees. Now there are some users which can not be identified. They type in their windows-account-information but keep getting an 401.1. I looked into their LDAP-profiles and everything seems to be ok. So i looked for their organisation and produced their link for the tomcat, send the link to the affected users and they tried ... the tomcat has a module which looks for the users in LDAP, to get information about them and personalize their view on the intranet. Exactly the group of users which can't be identified by the IIS also can't be identified by the tomcat. So i looked into the log and i saw one difference to users which can be identified - the syntax the client sends it's account with. working: user on domain/computername not working: user@domain on computername so when the user sends it's account information like 'me@company on my_pc' he won't be identified, with the syntax like 'me on domain/computername' the authentification is successful. so my question: how can it be that a user sends his account-information with that 'wrong' syntax we also checked out the traceroute - no proxy or firewall between the user and the IIS Zitieren Link zu diesem Kommentar
Wurzerl 10 Geschrieben 17. Mai 2006 Melden Teilen Geschrieben 17. Mai 2006 Prüfe bei den Usern, deren Anmeldung fehlschlägt, das BS, die Browser & Version desselben. Zitieren Link zu diesem Kommentar
roebert 10 Geschrieben 17. Mai 2006 Autor Melden Teilen Geschrieben 17. Mai 2006 das BS ist ein Standard-Client der auf allen Rechnern installiert ist, der Browser ist logischerweise IE 6, die Internet-Optionen wurden mehrfach geprueft - Zieladresse ist in Lokaler Intranetzone - Sicherheitseinstellungen: automatische Anmeldung mit aktuellen Benutzernamen und Passwort; Proxy wird für Lan umgangen ... hab ich vergessen: es sind hauptsächlich Nutzer an Notebooks, die die Probleme haben Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 17. Mai 2006 Melden Teilen Geschrieben 17. Mai 2006 Vielleicht melden die sich ja auch mit dem User Principal Namen an ... ?! Also nicht User/Passwort/Domäne sondern User@Domäne/Passwort. Zitieren Link zu diesem Kommentar
roebert 10 Geschrieben 17. Mai 2006 Autor Melden Teilen Geschrieben 17. Mai 2006 ich habe mich testweise auch schonmal mit dem syntax user@domain / pwd angemeldet - die Authentifizierung klappte aber - ich kam als user on domain\computername an bei dieser Art der Anmeldung wird das Domänenfeld ausgegraut - und - was mich wunderte - nachdem ich mich abgemeldet habe war im Anmeldedialog bei Domäne 'Dieser Computer' ausgegraut ausgewählt ... das ist echt heftig - wir bringen ein personalisiertes Intranet für 3000-4000 Nutzer zum laufen - und es laeuft schoen cremig! - und dann hapert es an paar einzelnen Nutzern - ärgerlich! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.