ASP.net kerberos偶尔下降到NTLM

背景（仅相关部分）： 我们有一个大型内部网asp.net 2.0/3.5应用程序。
Web服务器是广告域上的Windows Server 2003。
客户端在Windows上，即6-8。 Windows身份验证，使用从Windows标识创建的自定义主体。 Web服务器位于F5 NLB后面，该NLB将用户转发到特定的Web服务器。（原因是我们公司的F5交易有kerberos限制）。 没有系统范围内的问题，比如丢弃会话、超时或服务器过载，总体上一切都正常

有一项功能需要委托—我们使用域/web服务器提供给我们的Kerberos令牌，以经过身份验证的用户身份连接到网络文件共享

SPN、ACL等似乎设置正确

99.x%的情况下，一切正常。我们经常看到的问题是，在刷新时，令牌会从kerberos下降到ntlm。我可以在web服务器的事件日志上看到登录名，其中显示一个呼叫：

登录进程：Kerberos 身份验证包：Kerberos

以及后续调用（通常在加载10或20页后）得到以下信息：

登录过程：NtLmSsp 身份验证包：NTLM

有人知道是什么原因导致后续回发有时会转到NTLM吗

---

谢谢

您识别问题所需的所有工具和技术都在。那份文件从未让我失望过

NTLM回退
你可能会发现 安全日志在中记录了一个事件 使用NTLM登录时发生了什么 它应该在使用Kerberos时发生 认证

问题
有两个 可能发生这种情况的情况：
-第一种情况是 系统尝试使用 Kerberos协议，但它失败了。作为 因此，系统尝试 使用NTLM进行身份验证。窗户 Server 2003、Windows XP和Windows 2000使用一种叫做协商的算法 （SPNEGO）协商哪一个 使用身份验证协议。 尽管Kerberos协议是 默认，如果默认失败， 协商将尝试NTLM。
-第二 在这种情况下，我们需要 协商返回NTLM作为唯一 协议可用

确认
这个 第一种情况将导致 Kerberos身份验证失败 你可以通过检查来调查 事件日志或数据中的错误 网络监视器捕获的数据包。 两种调查方法都是有效的 本文后面将讨论

---

很好，我以前没见过。谢谢