други, будьте любезны подскажите какие основные методы выявления проблем.

вкратце:
я не админ, программер
сделал сайтец на IIS технология ASP classic
сервак входит в домен 2008, iis 7.5
анонимная аутентификация для стартовой страницы которая в корне wwroot
+ включаю виндоуз аутентификацию для узла который в папке

сам захожу на сайт, вижу свое имя пользователя ДОМЕННОЕИМЯ\логин
(вебсервер и контроллер домена разные компы)

коллега заходит и видит свое имя.
другой коллега входит на стартовую страницу но получает отлуп на защищенную

в разрешениях нтфс написал права для ДОМЕННОЕИМЯ\all

из чтения доки выяснил что бывает NTLM (видимо для старых ос)
и керберос


тут пишется http://wwwrus.imm.uran.ru/_vti_bin/help/1049/sps/html/wsapSubC.htm
что в похожей ситуации надо прописать что сайт является доверенным гдето в настройках домена?
(у меня никакой не пул приложений, тупо сайтец на asp classic)

можно ли этот не использовать этот керберос для аутентицикации на сайте ограничившись NTLM?
как понять что именно является причиной отказа доступа?
какие логи читать, на что братить внимание?

у меня прописан айпишник в зону интранет,
галка передавать учетные записи windows в настройках безопасности значится

k-nikeMsDatabaseruу меня прописан айпишник в зону интранет


пока режим тестирования - ходим по айпишнику,
резумеется он же прописан в зону безопасности
он же прописан в исключения для использования прокси, судя по мануалам виндовая аутентификация через прокси не ходит

за настроечку спс, попробую.
по результатам отпишусь

Вроде бы все получилось с керберос
краткий мануал для последователей
админы настроили в домене доверие к IIS (spn delegation)

1. отключил ntlm и negotate в протоколах аутентификации IIS. добавил negotate.kerberos, отключил kernel-mode auth (это все в настройках корневого элемента сайта)
2. прописал группу everyone в права узла сайта
3. выключил анонимную аутентификацию, оставил лишь виндовую (если виндовой нет в списке - устанваливаем компоненты win через панель управления)



вот кратко что надо для ie
1. enable integrated security in Interner Explorer (Options/Advanced and checkin the “Enable Integrated Windows Authentication” option).
2. добавить http://www.site.domain.ru к зоне "Local Intranet zone"
3. как минимум разрешить “Automatic logon only in Intranet Zone” option under Options/Security Settings/Local intranet/Custom level).
4. Добавить www.site.domain.ru в свойствах соединения с интернетом, настроки прокси в список локальных узлов, для которых прокси не используется (kerberos не работает через прокси)


в firefox
в about:config "network.negotiate-auth.trusted-uris" (for Kerberos) вписать www.site.domain.ru
network.proxy.no_proxies_on вписать www.site.domain.ru если адресов несколько то через запятую


---------------------------
что было до этого.
то пускало на единичную страничку, то просило пароль, то пускало после пароля то нет,
в списке событий безопасности то успех то отказ одному и тому же юзеру

сейчас firefox и IE аутентифицируются без вопросов.
тьху три раза чтоб не сглазить,
слава Господу, аминь.