使用 Azure 应用程序网关时出现 HTTP 401.2 错误

我在 Azure 的 Windows Server 2019 DataCenter 上的 IIS 10 中托管了一个 ASP.Net 站点。此站点仅启用了 Windows 身份验证。

当我直接访问该站点 ( http://mysite-backend.example.com ) 时，系统会提示我输入凭据，之后一切都按预期进行。当我通过 App Gateway（配置为私有 IP）（https://mysite.example.com）访问该站点时，系统会提示我输入凭据，然后再次提示我请求其他资源（托管在同一个服务器上）站点，对任何子文件夹没有特殊规则）。我反复收到提示，直到我单击取消，此时我在 Chrome 的网络日志中看到资源请求的 401。

我遇到此问题的资源之一是对favicon.png. 如果我直接访问该资源（https://mysite.example.com/favicon.png）一切正常，但是当我访问该站点的页面时，浏览器会将该资源作为页面资源的一部分发送，我看到了错误。这意味着该资源是可访问的；但是关于它在“交易”中的处理方式的一些事情引起了问题。

我尝试过使用不同的浏览器，包括全新安装/来自不同的客户端设备，以确保没有任何缓存导致问题。此外，我还Disable Cache检查了 F12 网络设置，以确保我在两个站点之间进行完整的请求/公平比较。

后端池只有 1 个节点。后端设置说使用后端池的主机名而不是前端的主机名——所以从网络服务器的角度来看，请求看起来很相似。

在 Web 服务器的安全事件日志中，我看到4625使用我的测试用户名登录失败（事件 ID）；确认请求正在使用正确的用户名发送到后端服务器（并且我一直非常小心以确保我始终输入正确的密码/已经做了很多次以消除人为错误的可能性/都尝试过使用并覆盖保存的密码）。如果我尝试太多次，我的测试帐户就会被锁定（即在 AD 中该lockedout属性设置为true）；之后所有请求都会收到 401 响应（可以理解）。

我检查了 App Gateway 日志以确认它没有阻止任何内容。我还为此站点设置了一个自定义 WAF 规则，并将其设置为detection only模式以确保它不会阻止请求；以防万一某些东西被阻止但没有记录。

我在后端服务器上启用了状态 401 的失败请求跟踪；显示 401 来自：

-MODULE_SET_RESPONSE_ERROR_STATUS 

ModuleName: IIS Web Core 
Notification: AUTHENTICATE_REQUEST 
HttpStatus: 401 
HttpReason: Unauthorized 
HttpSubStatus: 2 
ErrorCode: Access is denied. (0x80070005) 
ConfigExceptionInfo

注意：我在给定时间段内在同一设备上测试时，被阻止的资源（即获得 401 响应）通常是一致的；但如果我在不同的日子或在不同的设备上进行测试，我可能会看到不同的资源被阻止。我第一次在任何设备上进行测试（大部分情况下）时，我看到POST对页面的两个 xhr 请求/subfolder###/Search失败，然后在该设备上进行了几次测试后，其他资源似乎被污染了。这感觉就像它们是主要原因 - 但随后会导致会话出现问题。

我正在尝试访问后端站点的源代码，以更好地了解这些搜索端点在其中编码的内容，以了解这是否可能导致问题。

同时，非常感谢这里的任何人的任何想法......提前致谢。

更新：直接调用搜索端点也会导致 HTTP 200 / 有效响应：

$resp = Invoke-RestMethod -Method Post -Uri 'https://mySite.example.com/subfolder###/Search' -Form @{recordsToTake=25;recordsToSkip=0;sortColumn='CategorieName';sortDirection='Ascending'} -Credential $cred -StatusCodeVariable sc;"Status $sc";$resp