我有一个 asp.net 应用程序目录,我想在 Directory Sercurity 选项卡中使用匿名身份验证。
如果我使用 Windows 2000 之前的样式 DOMAIN\USERNAME 作为用户名,一切都很好。
如果我使用 AD 样式 (UPN) usename@domain.local,则会收到 401.1 登录失败。
我尝试了许多变体,但无法使其正常工作。如果我从“浏览”框中选择用户,则 AD 名称会出现在框中,但会填写 Windows 2000 之前的名称。对于 SQL Server 2005 也是如此。
似乎 UPN 不是“真实的”,对吗?鉴于它不是必需的,也不必是唯一的;这似乎很奇怪。
我是对的吗,因为这不受支持?IIS 7 会有什么不同吗?
我希望这样做,因为 Windows 2000 之前的用户名的 20 个字符的限制不足以实现基于角色的安全性,我希望申请来自该网站的不同 Web 服务(应用程序目录)。
UPN 后缀应该可以工作,尽管 IIS 框和域控制器之间存在服务包差异时会出现错误。有一个补丁。这个链接详细讨论了这个问题。
您确定它是 domain.local 而不是 domain.com。如果域\用户名有效,则 username@domain.com 应该有效。
更新 1: 我在 Windows 2003 sp 2 上尝试过。在登录“目录安全”中,我选中了启用匿名访问复选框(并且只有这个框)并输入 ausername@mydomain.com 和 ausername 密码。该站点是纯 asp.net,没有 sql 后端。
您可以使用 usename@domain.local 登录服务器吗?你能在不同的域上测试这个吗?这可能是一些有线 dns 解析问题。
更新0:
我在 iis 6 上对其进行了测试,并且 username@domain.com 组合在我的机器上运行良好。
关于名称的“真实性”。没有名称是“真实的”,实际帐户只是一个 GUID。这些名称只是为了方便。