3
NTLM-Proxyauth funktioniert unter Windows Server 2003 nicht
Moin,
ich habe hier einen Proxyserver unter Debian Lenny, welcher gegen mein AD die Benutzer authentifiziert. An den Clients funktioniert es wunderbar. Auf meinem Terminalserver (Windows Server 2003 Enterprise x86) leider nicht. Dort kommt keinerlei Nachfrage nach einem Passwort, sondern der Internet Explorer bricht die Anforderung einfach mit einer Standardfehlerseite ab.
Sobald ich eine Ausnahmeregel für den Anwendungsserver einrichte, komm ich damit problemlos ins Internet.
Die Integrierte Windows-Anmeldung ist im Internet Explorer aktiviert.
Proxyserver:
Debian Lenny x86
Squid 2.7
Samba3/Winbind
squidGuard
havp
Auth erst über NTLM, danach über Basic gegen Active Directory
Anwendungsserver
Windows Server 2003 Enterprise x86
Internet Explorer 7
aktuelle Updates sind installiert
Das Problem tritt auch bei meinem Domänencontroller auf (Windows Server 2003 Standard x86), da ist es mir aber egal, der ist nicht zum surfen da.
Die Konfiguration findet über eine wpad.dat statt und funktioniert auch. Die Konfigurationsdatei kann ich mit dem Anwendungsserver aufrufen und lesen.
Hat einer eine Idee, wie ich das Problem lösen kann? Gerade auf dem Anwendungsserver ist es mir wichtig, dass ich eventuellen Bullshit einem Benutzer zuordnen kann.
MfG
Kochi
ich habe hier einen Proxyserver unter Debian Lenny, welcher gegen mein AD die Benutzer authentifiziert. An den Clients funktioniert es wunderbar. Auf meinem Terminalserver (Windows Server 2003 Enterprise x86) leider nicht. Dort kommt keinerlei Nachfrage nach einem Passwort, sondern der Internet Explorer bricht die Anforderung einfach mit einer Standardfehlerseite ab.
Sobald ich eine Ausnahmeregel für den Anwendungsserver einrichte, komm ich damit problemlos ins Internet.
Die Integrierte Windows-Anmeldung ist im Internet Explorer aktiviert.
Proxyserver:
Debian Lenny x86
Squid 2.7
Samba3/Winbind
squidGuard
havp
Auth erst über NTLM, danach über Basic gegen Active Directory
Anwendungsserver
Windows Server 2003 Enterprise x86
Internet Explorer 7
aktuelle Updates sind installiert
Das Problem tritt auch bei meinem Domänencontroller auf (Windows Server 2003 Standard x86), da ist es mir aber egal, der ist nicht zum surfen da.
Die Konfiguration findet über eine wpad.dat statt und funktioniert auch. Die Konfigurationsdatei kann ich mit dem Anwendungsserver aufrufen und lesen.
Hat einer eine Idee, wie ich das Problem lösen kann? Gerade auf dem Anwendungsserver ist es mir wichtig, dass ich eventuellen Bullshit einem Benutzer zuordnen kann.
MfG
Kochi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 129590
Url: https://administrator.de/contentid/129590
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
3 Kommentare
Neuester Kommentar
Nur so als Idee: Sind DNS-Name/IP des Proxies im IE in der Zone "Lokales Intranet"?
Grüße
Max
Grüße
Max
Jop, sindse
Ich hab das ganze jetzt auch mal mit dem Firefox probiert, da gehts auch nicht.
Ich habe u.a. auch noch die Sharepoint-Services in Benutzung und da funktioniert die Anmeldung (die meines Wissens auch per NTLM läuft) einwandfrei und wunderbar.
Ich hab das ganze jetzt auch mal mit dem Firefox probiert, da gehts auch nicht.
Ich habe u.a. auch noch die Sharepoint-Services in Benutzung und da funktioniert die Anmeldung (die meines Wissens auch per NTLM läuft) einwandfrei und wunderbar.
So, ich hab das Problem jetzt gelöst.
Squid nutzt mit der mitgelieferten Version von ntlm_auth nur die LM-Auth, welche vergleichbar mit NTLM ist, aber halt nicht identisch. Bei Windows XP war es noch so, dass die LM-Auth standardmäßig nutzbar war, bei 2003 war aber nur noch NTLM und NTLMv2 Standard.
Mit einem kleinen Eingriff in die Registry
Wie bin ich darauf gekommen? Das Problem besteht auch bei Windows 7 (und sicher auch bei Vista)
Squid nutzt mit der mitgelieferten Version von ntlm_auth nur die LM-Auth, welche vergleichbar mit NTLM ist, aber halt nicht identisch. Bei Windows XP war es noch so, dass die LM-Auth standardmäßig nutzbar war, bei 2003 war aber nur noch NTLM und NTLMv2 Standard.
Mit einem kleinen Eingriff in die Registry
1. In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
If it doesn’t exist, create a DWORD value named LmCompatibilityLevel and set
the value to 1 to use LM NTLM and NTLMv2 if is negociated, this is
Also it works establishing the value to 0, and 3 though for more safety the
value using 3 though with old operating systems it will not work on having
used obligatorily NTLMv2.
2. Reboot
If it doesn’t exist, create a DWORD value named LmCompatibilityLevel and set
the value to 1 to use LM NTLM and NTLMv2 if is negociated, this is
Also it works establishing the value to 0, and 3 though for more safety the
value using 3 though with old operating systems it will not work on having
used obligatorily NTLMv2.
2. Reboot
Wie bin ich darauf gekommen? Das Problem besteht auch bei Windows 7 (und sicher auch bei Vista)
