Добрый день!

Пытаемся настроить доменную авторизацию при работе с информационной базой в браузере.

Что не так: Даже когда IE запрашивает авторизацию, 1С показывает окно выбора пользователей, игнорирует факт, что пользователь только что ввел доменные учетные данные.

Сервера 2008 R2, Уровень Домена 2008, 1С клиент-сервер 8.3.9.2233, IIS7, База Документооборот КОРП 2.1 демо развернута на сервере 1С.

Что сделали:
Все сервера в домене.
Прописали в конфигураторе ДО привязку Пользователей к доменным уч. записям. Под тонким, толстым клиентом автоматическая авторизация.
Установили ISS, все галки.
В дополнительных параметрах Пула приложений разрешили 32-разрядные приложения.
Дали полные права на папку bin пользователям IUSR, IIS_IUSRS.
Опубликовали ИБ под локальным администратором с галкой Использовать аутентификацию операционной системы.
В IIS для сайта отключили Анонимную проверку подлинности, включена только Проверка подлинности Windows.
В групповых политиках AD добавили сервер ISS в интранет 2-мя строчками: просто имя сервера ISS и имяISS.домен.local. Везде обновили групповые политики.

Уже даже не знаю где ему еще почесать чтобы замурлыкал.

(0)+ Добавили в ограничения ISAPI и CGI библиотеку wsisapi.dll.
На всякий случай отключили брендмауер на сервере ISS.

(0) Что-то там было с делегированием Kerberos. Ща смутно помню.

(2) нашел Веб-клиент, windows авторизация, но здесь для Server 2003. В домене 2008 у пользователей уже нет закладки Делегация.

(3) У сервера наверное есть что-то такое.

http://winitpro.ru/index.php/2016/05/18/nastrojka-kerberos-avtorizacii-na-sajte-iis/

Тут почитай.

Или вот пишут:

Сталкивался с такой же проблемой, вызвана невозможностью передавать учетку NTLM с сервера на сервер для ряда ситуаций(NTLM double hop). Мне удалось запустить подобный стенд (сервера 1С и IIS на разных машинах) в двух вариантах, к сожалению оба не идеальны:
1. Kerberos - тут все просто - в AD для сервера IIS включаем делегирование Kerberos, для веб-приложения на сервере IIS отключаем проверку подлинности в режиме ядра и добавляем поставщика KERBEROS, выставив ему высший приоритет.
После этого все должно работать, если есть проблемы, то можно проверить какой поставщик реально используется при логоне
в журнале безопасности сервера IIS событие входа в систему нашего пользователя должно содержать
"Сведения о проверке подлинности:
Процесс входа:    Kerberos
Пакет проверки подлинности:    Kerberos
"
и событие с аналогичным содержанием должно быть на сервере приложений 1С.

К сожалению такой вариант у меня заработал только если пользователь идет с доменой машины(тот же домен или траст). Клиенты из внешней сети будут пытаться авторизоваться по NTLM

2. NTLM - на сервере IIS включаем передачу учетных данных через ClearText, в качестве сервера 1С используем Windows server 2003, заставить 2008-ой принимать NTLM имперсонализацию у меня не получилось.

Работают любые клиенты(доменные и внешние), но безопасность под большим вопросом, кроме того пришлось использовать старую операционку на сервере 1С, но это скорей всего моя криворукость виновата.

По пункту 1: оставили единственного поставщика Negotiate:Kerberos, выключили проверку подлинности в режиме ядра. В Журнале Windows / Безопасность видим авторизацию пользователя:
Процесс входа:        Kerberos
Пакет проверки подлинности:    Kerberos
При единственной попытке доступа записей в журнале 10, последняя на вход Kerberos.

В итоге IE предгалает выбрать пользователя из списка.

(6) Серверу с IIS разрешено делегирование в Active Directory ?

(7) В AD Компьютеры\СерверIIS, Свойства\Делегирование выбран пункт Этот компьютер доверенный для делегирования служб (Kerberos).

Я когда настраивал автоматическую авторизацию что-то там в настройках браузера менял, после этого заработало. Сейчас не вспомню что, абырвалг

(9) Если имеется в виду Свойства браузера \ Дополнительно \ Enable Integrated Windows Authentication*, то включено.
Также через доменную политику серверIIS добавлен в зону 1 (зона интрасети).

А можно в IIS и доменную авторизацию и обычную оставить.
Для ДО. Типа заходишь по ссылке - без пароля. Но для ЕРП-ДО нужно логин/пароль