почему строка пользовательского агента Internet Explorer 9 («часть MSIE») не работает с прокси и / или NTLM-аутентификацией в Apache Tomcat 7?

Question

В моей сети мы поддерживаем прокси (pac-скрипт), когда пытаемся получить доступ к сайту в следующем формате:

http://serverName.domain.com:8080/somePath

IE (9.0.8112.16421) не может просматривать сайт (для этого требуется http auth NTLM), но я могу открыть домашнюю страницу по адресу http://serverName.domain.com:8080/ (которая на самом деле является веб-сервером). домашняя страница Apache Tomcat)

Пожалуйста, смотрите последнее обновление, похоже, проблема больше связана с аутентификацией NTLM

Однако я заметил, что Chrome отлично просматривает сайт и, открыв инструменты разработчика (F12) в Internet Explorer и установив строку User Agent в значение "Chrome", IE сможет просматривать сайт без каких-либо других изменений.

Теперь вопрос, есть ли проблема с прокси +http auth +ie? << udpate: не был ли прокси >> что еще меняется при использовании строк Chrome User Agent, почему так работает?

Я читал и знаю, что есть несколько способов изменить пользовательский агент IE9 (9.0.8112.16421), например "навсегда", с помощью IEM (http://technet.microsoft.com/en-us/library/cc770379.aspx) и Windows регистрируется, но нужны права администратора и не знаю, в этом ли проблема или есть что-то еще.

Примечание. При проверке вкладки "Сеть" в Dev Tools (IE) результаты показывают "Прервано", и нет даже заголовков / тел запроса, только доступны заголовки ответа:

Key Value
Response    HTTP/1.1 401 Unauthorized
Server  Apache-Coyote/1.1
WWW-Authenticate    NTLM TlRMTVNTUAACAAAAAAAAACgAAAABggAAAAICAgAAAAAAAAAAAAAAAA==
Content-Type    text/html;charset=utf-8
Content-Length  951
Date    Fri, 16 Jan 2015 17:04:36 GMT
Cache-Control   proxy-revalidate
Proxy-Connection    Keep-Alive
Connection  Keep-Alive
Proxy-support   Session-based-authentication

Обновление Я проверил с партнерами в другой стране, и они могут открывать сайт, не переключая их строку User Agent, прокси-скрипт выглядит примерно так же, информация о DNS из команды ipconfig выглядит одинаково, я могу только думать, что есть что-то в нашем прокси-сервере (где находится скрипт pac) << update: не был прокси >>

Я думаю, что могу отказаться от любого из DNS-серверов, поскольку, переключив User Agent, я могу попасть на сайт, но, пожалуйста, прокомментируйте, если знаете, что я не прав насчет этого.

Обновление 2 Только что понял, что при настройке ЛЮБОГО другого пользовательского агента пользователя я могу открыть сайт, я даже установил слово "привет" и работал. После нескольких попыток / неудач также выяснилось, что часть "MSIE" в строке User Agent является той, которая вызывает сбой (помимо любой другой неверной конфигурации в прокси-сервере).

Удалив "MSIE" или даже только один символ, я могу просматривать сайт, но если я включу эти 4 символа в ЛЮБУЮ другую строку User Agent, то я не смогу просмотреть сайт.

Обновление 3 Пока мои товарищи по команде в других странах могут получить доступ к сайту без использования другой строки агента пользователя, все указывает на то, что прокси +http аутентификация портится с аутентификацией активного каталога или что-то в этом роде. Я прочитал некоторые проблемы с аутентификацией kerberos, но я Пока не знаю, как это работает и почему у IE возникают проблемы.

Обновление 4 Я только что проверил запросы / ответы от моих товарищей по команде, и это выглядит примерно так же, они также используют аутентификацию NTLM, но они могут получить доступ к сайту с помощью Internet Explorer без изменения строки User Agent.

Обновление 5 Итак, мы получили миграцию домена для наших локальных учетных записей, кроме того, что мы не перешли через "другие сети" (мы работаем в Латинской Америке и мне кажется, что наш старый домен находился в Азии или что-то в этом роде, не получил много информации от ИТ-сторона) не знаю каких-либо других изменений, но теперь это работает. Тем не менее, если кто-то захочет поделиться какой-либо хорошей идеей о том, что могло быть возможным, изменилось или как это влияет на аутентификацию NTLM, я бы оценил комментарии / ответы.

Примечания Веб-сервер Apache Tomcat/7.0.33 использует http-аутентификацию. Знаете ли вы /думаете ли вы, что это связано с разрешениями в активном каталоге? У меня есть имя сервера и IP-адрес, если это разрешение, какое разрешение я могу пропустить? При переключении User Agent на Chrome я не вижу заголовки NTLM на фиддлере. Почему у меня есть доступ с Chrome User Agent (без аутентификации NTLM), но не с IE (аутентификация NTLM) << обновление: после миграции домена у меня есть доступ с IE и использованием NTLMT auth >>?