某些用户登录失败其他域的IIS Windows身份验证
问题描述:
我在域A中设置了一个IIS,我们称之为进程网络。我们正在使用Windows身份验证,并在这个环境中一切正常,因为它应该。某些用户登录失败其他域的IIS Windows身份验证
但我们也有在域B中设置的办公网络的用户。域之间没有信任关系,但是网络之间有一个开口,因此他们可以访问该网站。对于域B中的大多数用户,一切都按预期工作,当他们尝试登录时,系统会提示他们输入域A凭据,然后登录。
但是,有些用户无法登录,系统会提示他们提供凭据但是当它们被拒绝时(3次接着401),由于:
失败原因:未知的用户名或密码错误。 状态:0xc000006d 子状态:0xc000006a
以上是从IIS事件日志中服用。
我知道用户名是有效的,密码是正确的。我没有尝试过所有这些用户,但为了一些。我尝试使用无法登录的用户计算机的凭据进行登录,并且工作正常。所以它看起来不像是客户端问题。
有趣的一面是,有问题的用户在地理位置上与IIS不同。我从办公网络未收到来自与IIS位于同一区域的用户的任何问题。
编辑:重置后用户已更改密码,所以我不应该因为过期的密码。
答
您必须建立一个双向域信任为了使Kerberos工作。正如您在日志中看到的,其他一切都会失败。
但它们不应该能够使用域B凭证从域B登录。他们必须使用域A凭证登录。这是否仍然需要信任?如果是这样,为什么它适用于大多数但不是全部? – Henrik 2013-02-26 12:53:36
为什么?哪里不重用现有的凭证。 IIS是否可以物理访问所有域? – 2013-02-26 18:43:17
为什么是一个好问题...不,域B在另一个网络上,IIS无法访问它,它只能访问域A. – Henrik 2013-02-27 13:37:07