收到WWW-Authenticate: Negotiate时浏览器挂起

Question

当Windows7上的IE或Chrome收到带有"WWW-Authenticate: Negotiate“报头的响应时，它会挂起几秒钟。

我假设它正在向KDC发出网络请求，并且请求超时。不过，这可能是错误的假设。

是服务器keytab决定浏览器查询哪个KDC吗？

有什么方法可以调试它吗？

谢谢!

Answer 1

要回答您的第一个问题，请避免假设查找KDC超时-只有网络捕获可以告诉您这一点。虽然它实际上可能在这样做，但它也可能故障转移到使用NTLM，然后成功地使用NTLM，因为Kerberos在某个地方崩溃了。

要回答您的第二个问题，keytab并不确定浏览器查询的是哪个KDC。在密钥表中没有任何东西可以做到这一点。我在这个答案的底部放置了一个示例keytab的图像。现在，被查询的KDC由DNS控制。这个过程只会被C:\ Windows \krb5.ini中设置的值覆盖--如果这个文件存在的话--而且默认情况下它在Windows上不存在。要回答您的最后一个问题，您可以使用Wireshark捕获对此进行调试，在WireShark搜索字段中过滤' Kerberos‘，以查看Kerberos流量可能在做什么，或者没有在做什么。这将会告诉你所有你需要知道的。

​