Проверка подлинности анонимного пользователя IIS не работает с учетными данными AD

Question

У меня есть каталог приложения asp.net, и я хочу использовать анонимную аутентификацию на вкладке «Безопасность каталога».

Если для имени пользователя я использую DOMAIN \ USERNAME в стиле, предшествующем Windows 2000, все в порядке.

Если я использую имя_пользователя (UPN) usename@domain.local, я получаю 401.1 неудачного входа.

Я пробовал несколько вариантов, но не могу заставить его работать. Если я выбираю пользователя из поля «Обзор», в поле появляется имя AD, но имя, предшествующее Windows 2000, заполняется. Аналогично для SQL Server 2005.

Кажется, что UPN не является "реальным", верно? Учитывая, что это не обязательно и не должно быть уникальным; это кажется очень странным.

Я прав, в том, что это не поддерживается? Будет ли IIS 7 иметь какое-либо значение?

Я хочу сделать это, потому что ограничение в 20 символов для имени пользователя, предшествующего Windows 2000, недостаточно для безопасности на основе ролей, которую я хочу применить для различных веб-сервисов (каталогов приложений), выходящих с этого сайта.

Answer 1

Суффиксы UPN должны работать, хотя есть ошибка, которая возникает, когда существует разница между пакетом обновления между IIS и контроллером домена. Для этого есть патч. Эта ссылка подробно обсуждает проблему.

Answer 2

Вы уверены, что это domain.local, а не domain.com. Если домен \ имя пользователя работает, то имя пользователя@domain.com должно работать.

Answer 3

Обновление 1: Я попробовал это на Windows 2003 sp 2. В логине «Безопасность каталога» я установил флажок «Включить анонимный доступ» (и только этот флажок) и добавил ausername@mydomain.com и пароль ausername. Сайт является простым asp.net без SQL Server.

Можете ли вы войти на сервер с помощью usename@domain.local? Можете ли вы проверить это на другом домене? Это может быть проблема разрешения проводной DNS.

Обновление 0:

Я протестировал его на iis 6, и комбинация username@domain.com отлично работает на моем компьютере.

О "реальных" именах. Никакое имя не является «реальным», реальная учетная запись - это просто GUID. Названия только для удобства.