我有一个asp.net应用程序目录,我想在目录服务选项卡中使用匿名身份验证。
如果我使用Windows 2000之前的DOMAIN \ USERNAME作为用户名,一切都很好。
如果我使用AD风格(UPN)usename@domain.local,那么我的401登录失败。
我尝试过多种变体,但无法让它发挥作用。如果我从“浏览”框中选择用户,则会在框中显示AD名称,但会填写Windows 2000之前的名称。同样适用于SQL Server 2005。
似乎UPN不是'真实的',这是对的吗?鉴于它不是必需的,也不必是唯一的;这看起来很奇怪。
我是否正确,因为这不受支持? IIS 7会有什么不同吗?
我希望这样做,因为Windows 2000之前的用户名限制为20个字符不足以支持基于角色的安全性,我希望申请从本网站上发布的不同的Web服务(应用程序目录)。
答案 0 :(得分:1)
UPN后缀应该可以工作,但是当IIS框和域控制器之间存在服务包差异时会发生错误。它有一个补丁。这个link详细讨论了这个问题。
答案 1 :(得分:0)
更新1: 我在Windows 2003 sp 2上尝试过它。在登录“目录安全性”中,我检查了启用匿名访问复选框(仅此框)并输入ausername@mydomain.com和ausername密码。该站点是没有sql后端的普通asp.net。
您是否可以使用usename@domain.local登录服务器? 你能在不同的域上测试吗?这可能是某些有线DNS分辨率问题。
更新0:
我在iis 6上进行了测试,而且username@domain.com组合在我的机器上正常工作。
关于名字的“真实”。没有名称是“真实的”,实际帐户只是一个GUID。名字只是为了方便。
答案 2 :(得分:0)
您确定它是domain.local而不是domain.com。如果域\用户名正在运行,则username@domain.com应该可以正常工作。