Authentication 未受保护的文件夹上的IIS问题挑战

我们遇到了一个问题，IIS向站点上的所有目录发出挑战，包括标记为允许匿名用户的目录。这仅在通过HTTPS访问站点时发生

目录结构与此类似：

  /
  +--secure
  +--unsecure

根文件夹的配置使所有用户都得到授权，同时启用匿名和摘要身份验证。 安全文件夹已配置为拒绝匿名用户

最初，IIS向Firefox发出挑战，而不考虑目录。IE和Chrome仅在安全目录中接受挑战

从客户机注销并重新登录后，只有IE体验到预期的行为，Chrome和Firefox在所有目录中都会遇到挑战

另一个可能相关的细节。发生这种情况的服务器使用子域，因此URL为www.dev.mydomain.com，但通配符SSL证书颁发给*.mydomain.com。在另一台服务器上使用自签名证书，我们无法复制该问题

---

更新：我们发现关闭默认文档会导致问题消失，重新启用会导致问题返回。这是一个解决办法，但我们更愿意知道真正的原因。这有一种IIS漏洞的气味，再加上IE知道一些其他浏览器不知道的秘密握手。

检查不安全文件夹上的文件权限，以便运行应用程序池的用户可以访问it@AndersBornholm-我忽略了另一个细节。未受保护的路径上的挑战仅在使用https时发生。通过端口80访问站点只会在安全目录上遇到挑战。https会与其他用户关联吗？啊。。。然后我什么也没有得到-检查该默认文档的权限-该文件本身可能附加了一些权限。@WyattBarnett，当用户试图访问任何未受保护的文档，甚至不确定是否存在任何具有其中一个默认名称的文档时，就会发生质询。对于权限问题，我希望无论HTTPS如何，都会出现挑战。