ASP.net kerberos 偶尔下降到 NTLM

Question

背景（仅相关部分）： 我们有一个大型 Intranet asp.net 2.0/3.5 应用程序。
Web 服务器是 AD 域上的 Windows Server 2003。
客户端使用 Windows、IE 6-8。 Windows 身份验证，具有从 Windows 身份创建的自定义主体。 Web 服务器位于 F5 NLB 后面，F5 NLB 将用户转发到特定的 Web 服务器。 （其原因是我们公司的 F5 与 kerberos 交易的限制）。 不存在系统范围的问题，例如会话丢失、超时或服务器超载，一切都运行良好。

其中一项功能需要委派 - 我们使用域/Web 服务器提供给我们的 Kerberos 令牌作为经过身份验证的用户连接到网络文件共享。

SPN、ACL 等似乎已正确设置。

99.x% 的情况下，一切正常。我们经常看到的问题是，在刷新时，令牌会从 kerberos 下降到 ntlm。我可以在 Web 服务器的事件日志上看到登录信息，显示一个调用收到此信息：

登录过程：Kerberos 身份验证包：Kerberos

以及后续调用（通常在 10 或 20 个页面加载后）获取：

登录过程：NtLmSsp 身份验证包：NTLM

任何人都知道什么可能导致后续回发有时会进入 NTLM？

谢谢！

Answer 1

识别问题所需的所有工具和技术都位于 Kerberos 错误故障排除。那份文件从来没有让我失望过。

NTLM 后备
您可能会发现
安全日志记录了一个事件
使用 NTLM 进行登录时
它应该是使用 Kerberos 发生的
验证。

问题
有两个
可能发生这种情况的情况：
- 第一种情况是
系统尝试使用身份验证
Kerberos 协议，但失败了。作为
结果，系统尝试
使用 NTLM 进行身份验证。视窗
Server 2003、Windows XP 和 Windows
2000 使用一种称为 Negotiate 的算法
（SPNEGO）协商哪个
使用身份验证协议。
虽然 Kerberos 协议是
默认，如果默认失败，
协商会尝试NTLM。
- 第二个
情况是这样一种情况：
协商返回 NTLM 作为唯一
协议可用。

确认
这
第一种情况将导致
Kerberos 身份验证失败
你可以通过检查来调查
事件日志或数据中的错误
网络监视器捕获的数据包。
两种调查方法都是
本文档稍后讨论...