我在 Azure 的 Windows Server 2019 DataCenter 上的 IIS 10 中托管了一个 ASP.Net 站点。此站点仅启用了 Windows 身份验证。
当我直接访问该站点 ( http://mysite-backend.example.com ) 时,系统会提示我输入凭据,之后一切都按预期进行。当我通过 App Gateway(配置为私有 IP)(https://mysite.example.com)访问该站点时,系统会提示我输入凭据,然后再次提示我请求其他资源(托管在同一个服务器上)站点,对任何子文件夹没有特殊规则)。我反复收到提示,直到我单击取消,此时我在 Chrome 的网络日志中看到资源请求的 401。
我遇到此问题的资源之一是对favicon.png
. 如果我直接访问该资源(https://mysite.example.com/favicon.png)一切正常,但是当我访问该站点的页面时,浏览器会将该资源作为页面资源的一部分发送,我看到了错误。这意味着该资源是可访问的;但是关于它在“交易”中的处理方式的一些事情引起了问题。
我尝试过使用不同的浏览器,包括全新安装/来自不同的客户端设备,以确保没有任何缓存导致问题。此外,我还Disable Cache
检查了 F12 网络设置,以确保我在两个站点之间进行完整的请求/公平比较。
后端池只有 1 个节点。后端设置说使用后端池的主机名而不是前端的主机名——所以从网络服务器的角度来看,请求看起来很相似。
在 Web 服务器的安全事件日志中,我看到4625
使用我的测试用户名登录失败(事件 ID);确认请求正在使用正确的用户名发送到后端服务器(并且我一直非常小心以确保我始终输入正确的密码/已经做了很多次以消除人为错误的可能性/都尝试过使用并覆盖保存的密码)。如果我尝试太多次,我的测试帐户就会被锁定(即在 AD 中该lockedout
属性设置为true
);之后所有请求都会收到 401 响应(可以理解)。
我检查了 App Gateway 日志以确认它没有阻止任何内容。我还为此站点设置了一个自定义 WAF 规则,并将其设置为detection only
模式以确保它不会阻止请求;以防万一某些东西被阻止但没有记录。
我在后端服务器上启用了状态 401 的失败请求跟踪;显示 401 来自:
-MODULE_SET_RESPONSE_ERROR_STATUS
ModuleName: IIS Web Core
Notification: AUTHENTICATE_REQUEST
HttpStatus: 401
HttpReason: Unauthorized
HttpSubStatus: 2
ErrorCode: Access is denied. (0x80070005)
ConfigExceptionInfo
注意:我在给定时间段内在同一设备上测试时,被阻止的资源(即获得 401 响应)通常是一致的;但如果我在不同的日子或在不同的设备上进行测试,我可能会看到不同的资源被阻止。我第一次在任何设备上进行测试(大部分情况下)时,我看到POST
对页面的两个 xhr 请求/subfolder###/Search
失败,然后在该设备上进行了几次测试后,其他资源似乎被污染了。这感觉就像它们是主要原因 - 但随后会导致会话出现问题。
我正在尝试访问后端站点的源代码,以更好地了解这些搜索端点在其中编码的内容,以了解这是否可能导致问题。
同时,非常感谢这里的任何人的任何想法......提前致谢。
更新:直接调用搜索端点也会导致 HTTP 200 / 有效响应:
$resp = Invoke-RestMethod -Method Post -Uri 'https://mySite.example.com/subfolder###/Search' -Form @{recordsToTake=25;recordsToSkip=0;sortColumn='CategorieName';sortDirection='Ascending'} -Credential $cred -StatusCodeVariable sc;"Status $sc";$resp
App Gateway ( MS Docs )不支持 NTLM(“Windows 身份验证” )。
出于安全考虑,反向代理似乎通常不实现 NTLM 支持(MS YARP NTML 讨论)。
有一些备用反向代理可以处理这个问题;例如nginx plus(商业 nginx 产品)。