Windows客户端损坏授权标头（Kerberos）=> IIS 400（错误请求）

Question

在大约5％的Windows（7 Pro和XP Pro，分别为32位和64位）客户端计算机上，我们面临着奇怪的行为。 这些计算机从IIS服务器随机获得错误-400错误的请求。 我们正在使用Windows域，并且这些客户端正在尝试通过Kerberos授权给IIS。

症状：

• 客户端尝试通过Internet Explorer连接到IIS服务器到需要身份验证（Kerberos）的站点。
• IIS服务器返回错误400 Bad Request。
• 在客户端计算机“愉快地重启”之前，错误不会消失。 我们没有找到其他方法来“修复”此状态。 顺利重启意味着您可以多次重启。 有时它有时无效。 如果工作正常，它将安全地工作直到下一次重新启动。 如果没有，请确保安全，直到下一次重启。 :)

我们所知道的

• 我们正在使用更多的群组。 因此，我们的用户通常使用更大的Kerberos TGT。 MaxTokenSize增加到48000。

• 我们在受影响的客户端上嗅探网络流量，发现客户端发送的授权标头已损坏 。 带有Kerberos授权标头的部分已被剪切-未正确结束。 因此，来自IIS服务器的响应是正确且合乎逻辑的。 因此问题出在客户端 。

• 我们试图在没有运气的情况下在受影响的计算机上找到工作状态和错误状态之间的差异。

• 我们的网络上有更多的IIS服务器。 受影响的计算机在“错误状态”中的所有计算机上都存在相同的问题。

• 希望我们的想法是正确的，即Internet Explorer使用.NET Framework进行HTTP请求和授权。 那么可能原因是.NET的某个地方？ 所有客户端都使用版本4。

谁能帮助我们澄清这个谜团？ :)

Answer 1

解决了。 Eset NOD32 Antivirus版本4正在修改某些计算机上的HTML授权标头。 禁用Web访问保护后，所有内容都像一个超级按钮。