IIS 6.0 et Erreur HTTP 401.1

tscoops · 02/03/2010, 11h51

Bonjour,

j'ai un site intranet qui tourne sur IIS 6.0 (W2k3 serveur avec SP2).
Ce site intranet fonctionne avec de l'authentification windows uniquement.

Certains utilisateurs se plaignent d'avoir une fenêtre d'authentication HTTP lorsqu'ils arrivent sur le site.

J'utilise HTTPWatch ainsi que Fiddler pour voir les requêtes HTTP qui circulent et je m'apperçois que je reçois 2 ou 3 requêtes 401.1 pour un fichier avant d'avoir un 200 !!!

Ceci m'ammène à penser que certains utilisateurs ne doivent pas avoir de 200 et donc une fenêtre de connexion HTTP apparaît dans ce cas.

En cherchant sur le site de microsoft je suis tombé sur cet article:

http://support.microsoft.com/kb/871179/fr

En effet j'utilise uniquement de l'authentification Windows intégrée, mon site intranet fait partie d'un pool d'intégration qui est démarée en tant que Service Réseau.
J'ai démarré le pool avec un service local au serveur et exécuté la solution de contournement décrite dans l'article ci-dessus, sans succès.

Je souhaiterai vraiment éliminer ces requêtes 401.1 et avoir directement des 200.

Si quelqu'un a déjà rencontré ce problème ou a une solution à me proposer je suis preneur.

Merci d'avance.

Anthony

Michaël · 02/03/2010, 12h42

salut,
c'est la négociation ntlm qui s'effectue à défaut de kerberos

pour éviter cela, il faut utiliser ie (ou firefox mais faut faire de la config) et que le site soit déclaré dans les sites intranet local pour que ie envoie directement les infos qui vont bien

tscoops · 02/03/2010, 12h55

Bonjour,

merci pour ta réponse mais les utilisateurs ont déjà IE et le site est paramétré en tant que intranet local (on utilise pas de proxy pour le site intranet).

Michaël · 02/03/2010, 13h06

quand ils rentrent leur mot de passe, ça fonctionne ?

ils y vont bien avec le bon nom de site ? ça doit être exactement le nom entré dans la config d'ie (sinon ie envoie pas les logins et kerberos marchera pas à cause d'un spn différent)

tscoops · 02/03/2010, 13h20

Quand il rentre leur mot de passe cela fonctionne.

L'accès à l'intranet se fait par http://intranet

Comme nous avons un intranet par domaine, un autre domaine peut accéder à un autre intranet par http://intranet.nomdudomaine...

Dans IE voici ce qui est configuré: les adresses du type intranet* n'utilise pas le proxy.

Lorsque l'on se connecte on a bien intranet local marqué en bas à droite dans IE.

Outre les utilisateurs qui se prennent des fenêtres de connexion, ce qui me gène le plus ce sont les 401.1 que je vois dans HTTPWatch ou Fiddler avant d'avoir un 200. Au final ma page s'affiche bien, mais je vois passé plein des 401.1 sur des images avant d'avoir le bon 200!

Le point positif c'est que j'arrive bien en reproduire sur l'environnement de préproduction.

J'ai configuré le pool de mon site pour qu'il démarre avec un compte local de la machine et j'ai exécuté la ligne de commande suivante comme précisé dans l'article de mon premier post:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"

Mais cela ne change rien, toujours plein de 401.1

02/03/2010, 11h51	#1
tscoops Membre du Club Inscription : octobre 2003 Messages : 168 Détails du profil Informations forums : Inscription : octobre 2003 Messages : 168 Points : 47 Points : 47	IIS 6.0 et Erreur HTTP 401.1 Bonjour, j'ai un site intranet qui tourne sur IIS 6.0 (W2k3 serveur avec SP2). Ce site intranet fonctionne avec de l'authentification windows uniquement. Certains utilisateurs se plaignent d'avoir une fenêtre d'authentication HTTP lorsqu'ils arrivent sur le site. J'utilise HTTPWatch ainsi que Fiddler pour voir les requêtes HTTP qui circulent et je m'apperçois que je reçois 2 ou 3 requêtes 401.1 pour un fichier avant d'avoir un 200 !!! Ceci m'ammène à penser que certains utilisateurs ne doivent pas avoir de 200 et donc une fenêtre de connexion HTTP apparaît dans ce cas. En cherchant sur le site de microsoft je suis tombé sur cet article: http://support.microsoft.com/kb/871179/fr En effet j'utilise uniquement de l'authentification Windows intégrée, mon site intranet fait partie d'un pool d'intégration qui est démarée en tant que Service Réseau. J'ai démarré le pool avec un service local au serveur et exécuté la solution de contournement décrite dans l'article ci-dessus, sans succès. Je souhaiterai vraiment éliminer ces requêtes 401.1 et avoir directement des 200. Si quelqu'un a déjà rencontré ce problème ou a une solution à me proposer je suis preneur. Merci d'avance. Anthony
	00

02/03/2010, 12h42	#2
Michaël Rédacteur/Modérateur Michaël Todorovic Ingénieur systèmes et réseaux Inscription : juillet 2003 Messages : 3 471 Détails du profil Informations personnelles : Nom : Michaël Todorovic Âge : 24 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Informations forums : Inscription : juillet 2003 Messages : 3 471 Points : 5 815 Points : 5 815	salut, c'est la négociation ntlm qui s'effectue à défaut de kerberos pour éviter cela, il faut utiliser ie (ou firefox mais faut faire de la config) et que le site soit déclaré dans les sites intranet local pour que ie envoie directement les infos qui vont bien __________________ - Installation et configuration de Exchange 2010 new! - Installation d'Office Communications Server (OCS) 2007 R2 Standard - Présentation de Microsoft Online Services - Installation d'Active Directory sous Windows Server 2008 R2 - Mon blog sur Windows Server, Exchange, OCS et AD \| Mes articles
	00

02/03/2010, 13h06	#4
Michaël Rédacteur/Modérateur Michaël Todorovic Ingénieur systèmes et réseaux Inscription : juillet 2003 Messages : 3 471 Détails du profil Informations personnelles : Nom : Michaël Todorovic Âge : 24 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur systèmes et réseaux Informations forums : Inscription : juillet 2003 Messages : 3 471 Points : 5 815 Points : 5 815	quand ils rentrent leur mot de passe, ça fonctionne ? ils y vont bien avec le bon nom de site ? ça doit être exactement le nom entré dans la config d'ie (sinon ie envoie pas les logins et kerberos marchera pas à cause d'un spn différent) __________________ - Installation et configuration de Exchange 2010 new! - Installation d'Office Communications Server (OCS) 2007 R2 Standard - Présentation de Microsoft Online Services - Installation d'Active Directory sous Windows Server 2008 R2 - Mon blog sur Windows Server, Exchange, OCS et AD \| Mes articles
	00

02/03/2010, 13h20	#5
tscoops Membre du Club Inscription : octobre 2003 Messages : 168 Détails du profil Informations forums : Inscription : octobre 2003 Messages : 168 Points : 47 Points : 47	Quand il rentre leur mot de passe cela fonctionne. L'accès à l'intranet se fait par http://intranet Comme nous avons un intranet par domaine, un autre domaine peut accéder à un autre intranet par http://intranet.nomdudomaine... Dans IE voici ce qui est configuré: les adresses du type intranet* n'utilise pas le proxy. Lorsque l'on se connecte on a bien intranet local marqué en bas à droite dans IE. Outre les utilisateurs qui se prennent des fenêtres de connexion, ce qui me gène le plus ce sont les 401.1 que je vois dans HTTPWatch ou Fiddler avant d'avoir un 200. Au final ma page s'affiche bien, mais je vois passé plein des 401.1 sur des images avant d'avoir le bon 200! Le point positif c'est que j'arrive bien en reproduire sur l'environnement de préproduction. J'ai configuré le pool de mon site pour qu'il démarre avec un compte local de la machine et j'ai exécuté la ligne de commande suivante comme précisé dans l'article de mon premier post: Code : Sélectionner tout - Visualiser dans une fenêtre à part cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM" Mais cela ne change rien, toujours plein de 401.1
	00

02/03/2010, 12h55	#3
tscoops Membre du Club Inscription : octobre 2003 Messages : 168 Détails du profil Informations forums : Inscription : octobre 2003 Messages : 168 Points : 47 Points : 47	Bonjour, merci pour ta réponse mais les utilisateurs ont déjà IE et le site est paramétré en tant que intranet local (on utilise pas de proxy pour le site intranet).
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email