Windows客戶端損壞授權標頭（Kerberos）=> IIS 400（錯誤請求）

Question

在大約5％的Windows（7 Pro和XP Pro，分別為32位和64位）客戶端計算機上，我們面臨着奇怪的行為。 這些計算機從IIS服務器隨機獲得錯誤-400錯誤的請求。 我們正在使用Windows域，並且這些客戶端正在嘗試通過Kerberos授權給IIS。

症狀：

• 客戶端嘗試通過Internet Explorer連接到IIS服務器到需要身份驗證（Kerberos）的站點。
• IIS服務器返回錯誤400 Bad Request。
• 在客戶端計算機“愉快地重啟”之前，錯誤不會消失。 我們沒有找到其他方法來“修復”此狀態。 順利重啟意味着您可以多次重啟。 有時它有時無效。 如果工作正常，它將安全地工作直到下一次重新啟動。 如果沒有，請確保安全，直到下一次重啟。 :)

我們所知道的

• 我們正在使用更多的群組。 因此，我們的用戶通常使用更大的Kerberos TGT。 MaxTokenSize增加到48000。

• 我們在受影響的客戶端上嗅探網絡流量，發現客戶端發送的授權標頭已損壞 。 帶有Kerberos授權標頭的部分已被剪切-未正確結束。 因此，來自IIS服務器的響應是正確且合乎邏輯的。 因此問題出在客戶端 。

• 我們試圖在沒有運氣的情況下在受影響的計算機上找到工作狀態和錯誤狀態之間的差異。

• 我們的網絡上有更多的IIS服務器。 受影響的計算機在“錯誤狀態”中的所有計算機上都存在相同的問題。

• 希望我們的想法是正確的，即Internet Explorer使用.NET Framework進行HTTP請求和授權。 那么可能原因是.NET的某個地方？ 所有客戶端都使用版本4。

誰能幫助我們澄清這個謎團？ :)

Answer 1

解決了。 Eset NOD32 Antivirus版本4正在修改某些計算機上的HTML授權標頭。 禁用Web訪問保護后，所有內容都像一個超級按鈕。