En évitant 401 réponse pour chaque requête à l'aide de l'authentification NTLM

Nous avons ici un asp.net 3.5 application à l'aide de l'authentification NTLM en fonction de l'authentification windows.
Le système fonctionne sur un réseau privé qui en fait répartis sur différents lieux géographiques (connecté via VPN).

Nous sommes maintenant en essayant d'optimiser le rendement du site web. Parce que la façon dont NTLM œuvres, chaque nouvelle demande pour les services IIS est composée de 3 types de requêtes pendant les 2 premières est 401 réponses. Nous essayons de minimiser le montant de ces demandes est seulement au début de la session. Nous avons trouvé cette solution. Malheureusement, ça n'a rien changé et nous reçois cette réponse 401 (qui consomme du temps).

Afin de voir le trafic j'ai d'abord utilisé par le Violoniste app. En quelque sorte, lorsque j'utilise le Violoneux, il est à seulement 1 processus d'authentification au début de la session (exactement comme je le souhaite), mais quand je ferme les Violoneux et vérifier le trafic via WireShark je vois que j'ai encore cette réponse 401 pour chaque demande.

L'servir les clients sont IE6, IIS version 6.

Quelqu'un peut-il conseiller?

InformationsquelleAutor Satumba | 2009-08-03

19

NTLM/Négocier, contrairement à tous les autres HTTP schémas d'authentification, sont des protocoles orientés connexion.

Dans IIS, il existe différents paramètres qui contrôlent le processus d'authentification sera exigé pour toutes les demandes sur un connexion authentifiée (par exemple AuthPersistSingleRequest). Indépendamment de ce réglage, je crois IIS automatiquement la demande de ré-authentification lors d'une requête POST.

Si votre serveur est porter atteinte à la réutilisation de connexion (par exemple, par l'envoi d'une Connection: close-tête dans les réponses), vous devez corriger ça parce que sinon, l'authentification se fera. Vous pouvez facilement vérifier ces authentification de réutilisation de déjouer les en-têtes à l'aide de Fiddler.
- Merci. À propos de l'en-tête, je l'ai vérifié et il y a toujours "keep alive". Ce que les paramètres IIS autres que AuthPersistSingleRequest (comme décrit dans le post que j'ai joint) qui peut m'aider le savez-vous?
- +1 pour la réponse de Eric lui-même. Je tiens à vous remercier personnellement pour la création de la fantastique Fiddler. Il a fait de ma compréhension de HTTP beaucoup mieux et a fait de moi et de nombreux autres meilleurs développeurs web 🙂
- Ma conclusion: pas moyen de totalement se débarrasser de la 401s avec NTLM (sauf les deux premiers). Ils vont toujours revenir lors de l'utilisation de la méthode POST, également lors de l'utilisation de services web - une nouvelle connexion à l'IIS est créé, il y a pour les, un nouveau processus d'authentification est (rendement 2 plus 401s).
InformationsquelleAutor EricLaw
4

Le seul moyen est d'utiliser l'authentification NTLM sur la page de login seulement et utiliser un cookie comme ici
- +1 j'ai testé cette solution. il ressemble beaucoup.
InformationsquelleAutor Viktor Jevdokimov
3

Sur un sujet connexe; si vous utilisez IIS7.0 et l'authentification kerberos il semble AuthPersistNonNTLM=true peut être utilisé pour éviter 401 voyages aller-retour pour chaque demande.

http://msdn.microsoft.com/en-us/library/aa347548(SV.90).aspx

http://blogs.technet.com/b/configurationmgr/archive/2010/06/03/solution-you-may-experience-slow-performance-when-using-bits-and-kerberos-authentication-on-configmgr-2007-distribution-points.aspx
- Exactement ce que je cherchais, élimine la plupart des inutile d'aller-retours.
InformationsquelleAutor dparnas
3

Avez-vous essayé ceci dans votre domaine?
```
setspn -a FQDNServerName applicationPoolServiceAccount
setspn -a biosServerName applicationPoolServiceAccount
```
Il permet à l'application de la piscine pour le service de NTLM auth demandes.

InformationsquelleAutor cfburns
2

Il pourrait être de vos paramètres de sécurité sur IE6 pour le site. Essayez de changer de local intranett ou un site de confiance.
- Salut, merci pour votre réponse. i;m tring pour trouver une solution côté serveur donc je n'aurez pas besoin de changer les réglages pour chaque clients de navigateur. pouvez-vous penser à quelque chose d'autre?
- Ce paramètre détermine si le client doit envoyer des informations de sécurité à la demande. Si la demande ne contient pas les informations de sécurité, vous obtiendrez une réponse 401.
- Le Client n'envoie pas les informations de sécurité jusqu'à ce que le serveur lui demande. 401 réponse est de savoir comment le serveur demande. Vous ne pouvez pas éviter la première 401, si vous l'ajouter à la Zone Intranet ou pas. Qui va juste faire la auth transparent, au lieu d'une fenêtre de boîte de dialogue de connexion. Aussi, les Sites de Confiance ne sera pas automatique NTLM poignée de main par défaut. Seulement Intranet de la Zone.
InformationsquelleAutor Shiraz Bhaiji
1

J'ai exactement le même problème! J'utilise le même environnement que vous. Sauf que je vois 2 401 est encore dans un violon. J'avais passé quelques jours sur ce problème, et puis simplement abandonné sur elle. AuthPersistence ne fonctionne pas pour moi non plus. Mais voici les liens que j'avais trouvé, peut-être qu'ils vont travailler dans votre cas.

http://msdn.microsoft.com/en-us/library/ms525244.aspx

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/b0b4ec5c-74f8-43e9-ac64-d8b852568341.mspx?mfr=true

http://technet.microsoft.com/en-us/library/cc786094.aspx

http://technet.microsoft.com/en-us/library/cc781339(WS.10).aspx

J'ai essayé de mettre le drapeau à la fois le répertoire virtuel et le site web de niveau, mais il n'a pas aidé. Êtes-vous à l'aide de la Métabase IIS Explorer pour modifier ces propriétés? Sa le moyen le plus propre à modifier les propriétés et peut aider plus de modifier directement le fichier XML.

Un moyen de contourner le problème est d'insérer le Cache-Control-Tête de la réponse HTTP pour les ressources qui ne sont pas prêts à changer fréquemment sur n'importe quelle page. Dans mon cas, j'ai mis en cache le css (utiliser css externe, autant que possible, afin d'optimiser ce), js et les fichiers img. Depuis que j'ai environ 60 dossiers de ces types pouvant être chargés sur notre page d'accueil, nous avons été en mesure d'éliminer environ 120 401 erreurs tout de suite!

Assurez-vous d'utiliser l'entête Cache-Control et de ne pas le si-modification ou e-balise de mise en mémoire cache où 401 et un 304 sera toujours généré, même lorsque les fichiers sont mis en cache.
- Merci pour le soutien 🙂 +1
- L'observation de deux HTTP 401 réponses est normal pour l'authentification NTLM comme faisant partie du protocole de poignée de main (la première 401 est en raison de la première demande anonyme, et la deuxième 401 est due à la stimulation NTLM) alors que l'authentification Kerberos ne réagissent qu'avec un HTTP 401. Voir cet article pour plus d'info: blogs.technet.microsoft.com/mist/2018/02/14/...
InformationsquelleAutor Punit Vora
0

J'ai eu ce problème aussi, sauf que, pour moi, c'était surtout les fichiers CSS et JS qui a causé cela. Mon site (comme la plupart des sites) conserve les fichiers CSS et JS dans leurs propres répertoires. Donc la solution pour moi a été d'aller simplement à ces répertoires dans IIS et permettre Anon Auth (je dis simplement, mais il a fallu plus de deux ans pour moi de faire ce travail; merci pour ce post). Maintenant, le site nécessite encore de l'authentification Windows, mais la sous-répertoires pour les fichiers CSS et JS ne le font pas. OIE, il semble fonctionner parfaitement.

Je voudrais aussi ne mettez jamais d'informations sensibles dans un fichier JS (ou fichier CSS pour que ce soit), et que vous n'avez pas non plus. Si vous le faites, vous aurez évidemment voulez déplacer les informations sensibles dans ces fichiers de ces répertoires.

InformationsquelleAutor krowe2

Vous devez vous connecter pour publier un commentaire.