Bagaimana saya bisa membuat Chrome mendelegasikan kredensial tanpa membuka aplikasi asp.net di IE terlebih dahulu?

Saya mendapatkan kesalahan berikut di browser Chrome (jika saya BELUM membuka aplikasi di IE terlebih dahulu): : Login failed for user 'NT AUTHORITY\ANONYMOUS LOGON' dan bergantung pada kode yang digunakan untuk mendapatkan nama pengguna saya mungkin mendapatkan kesalahan ini: System.DirectoryServices.DirectoryServicesCOMException: An operations error occurred

Saya telah mempersempit masalah agar Chrome mencapai tingkat peniruan identitas "Impersonation" sedangkan IE mencapai tingkat peniruan identitas "Delegation". Saya menulis aplikasi sederhana c#.net 4.5.2 bernama (VS 2017) browsercheck yang menanyakan SQL Server 2008 di satu server (SERVER2) sementara aplikasi web diinstal di server lain (SERVER1) untuk mencerminkan pengaturan produksi kami.

Di IIS 7 saya mengaktifkan Windows Authentication dan Impersonation, AppPool adalah v4.0 Klasik dengan identitas=NetworkService namun dalam pemecahan masalah saya telah mengubah identitas menjadi LocalSystem dan ApplicationPoolIdentity tanpa perubahan. Saya telah menyetel Load User Profile ke true. Saya juga telah memverifikasi dengan NA saya bahwa AD secara default telah menetapkan Delegasi untuk SERVER1 dan SERVER2 untuk Percayai komputer ini untuk delegasi ke layanan apa pun (Kerberos saja).

Saya telah mengunjungi postingan Graham Clark di sini yang sangat mirip dengan milik saya kecuali miliknya IIS AppPool Terintegrasi Mode Pipleline sedangkan milik saya Klasik Solusinya adalah mengatur penyedia Otentikasi Windows ke "Negosiasi: Kerberos, bukan NTLM" yang Saya tidak melihat di mana harus mengatur ini di IIS7??? IIS menyetel ini secara default bukan?

Saya mengerti apa masalah double hop tetapi menurut saya itu bukan masalahnya karena aplikasi berfungsi dengan baik ketika dilihat dengan browser IE 11. Beberapa aplikasi juga berfungsi di Chrome setelah saya mengautentikasinya di IE11 terlebih dahulu.

Masalahnya adalah saya memerlukan Chrome untuk mengautentikasinya terlebih dahulu (atau browser lainnya) tanpa perlu membukanya di IE terlebih dahulu karena kami akan segera beralih dari IE.

Catatan IIS

#Software: Microsoft Internet Information Services 7.0
#Version: 1.0
#Date: 2019-05-14 15:58:17
#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken
2019-05-14 15:58:17 10.100.10.00 GET /browsercheck - 80 - 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 401 2 5 72
2019-05-14 15:58:17 10.100.10.00 GET /browsercheck - 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 301 0 0 3
2019-05-14 15:58:20 10.100.10.00 GET /browsercheck/ - 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 200 0 0 2349
2019-05-14 15:58:20 10.100.10.0 GET /BrowserCheck/bundles/MsAjaxJs v=VA_FXLaB5PurewZl92JsrSUQcDrqhwBct539oVLEeiY1 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 404 0 2 2
2019-05-14 15:58:20 10.100.10.00 GET /BrowserCheck/bundles/WebFormsJs v=N8tymL9KraMLGAMFuPycfH3pXe6uUlRXdhtYv8A_jUU1 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 404 0 2 2
2019-05-14 15:58:22 10.100.10.00 POST /browsercheck/ - 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 200 0 0 108
2019-05-14 15:58:22 10.100.10.0 GET /BrowserCheck/bundles/MsAjaxJs v=VA_FXLaB5PurewZl92JsrSUQcDrqhwBct539oVLEeiY1 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 404 0 2 2
2019-05-14 15:58:22 10.100.10.00 GET /BrowserCheck/bundles/WebFormsJs v=N8tymL9KraMLGAMFuPycfH3pXe6uUlRXdhtYv8A_jUU1 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+WOW64;+Trident/7.0;+rv:11.0)+like+Gecko 404 0 2 2
2019-05-14 15:58:37 10.100.10.00 GET /browsercheck/ - 80 - 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/74.0.3729.131+Safari/537.36 401 2 5 0
2019-05-14 15:58:37 10.100.10.00 GET /browsercheck/ - 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/74.0.3729.131+Safari/537.36 500 0 0 76
2019-05-14 15:58:37 10.100.10.00 GET /favicon.ico - 80 - 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/74.0.3729.131+Safari/537.36 401 2 5 98
2019-05-14 15:58:37 10.100.10.00 GET /favicon.ico - 80 ABC\user1 00.000.00.00 Mozilla/5.0+(Windows+NT+6.1;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/74.0.3729.131+Safari/537.36 404 0 2 3

google-chrome sql-server-2008 iis-7 c#-4.0
person Doreen    schedule 14.05.2019    source sumber
comment
Saya ragu ada orang yang akan menanggapi posting ini tetapi saya menemukan bahwa di IE11 Tingkat Peniruan Identitas untuk pengguna adalah delegasi dan Tingkat Peniruan Identitas adalah peniruan identitas di chrome. Semua nilai Identitas Windows lainnya adalah sama (pengguna yang sama).   -  person Doreen    schedule 15.05.2019
comment
Bicaralah dengan administrator domain Anda sehingga mereka dapat membantu Anda menganalisis pengaturan terkait Kerberos. IE/Edge dapat bekerja dengan sempurna dengan delegasi Kerberos, tetapi tidak yakin apakah Chrome mendukung hal yang sama.   -  person Lex Li    schedule 15.05.2019