某些用户登录失败,无法从其他域进行IIS Windows身份验证
我在域a中设置了一个IIS,我们称之为进程网络。我们正在使用windows身份验证,在这种环境中,一切都正常工作 但是我们也有在域B中建立的办公网络上的用户。域之间没有信任,但是网络之间有一个开放空间,因此他们可以访问站点。对于域B中的大多数用户,一切都按预期进行,当他们尝试登录时,系统会提示他们输入域A凭据,然后登录 但是,有些用户无法登录。系统会提示他们按预期提供凭据,但当他们提供凭据时,会被拒绝(3次尝试,然后是401),原因是: 失败原因:未知用户名或错误密码。 状态:0xc000006d 子状态:0xc000006a 以上内容摘自IIS事件日志 我确信用户名是有效的,密码是正确的。我并没有为所有这些用户做过尝试,而是为一些用户做了尝试。我曾尝试使用无法登录的用户计算机上的凭据登录,但成功了。所以这似乎不是客户的问题 另一个有趣的注意事项是,有问题的用户位于不同于IIS的地理位置。我没有收到来自IIS所在地区的office network用户的任何问题某些用户登录失败,无法从其他域进行IIS Windows身份验证,iis,active-directory,webforms,Iis,Active Directory,Webforms,我在域a中设置了一个IIS,我们称之为进程网络。我们正在使用windows身份验证,在这种环境中,一切都正常工作 但是我们也有在域B中建立的办公网络上的用户。域之间没有信任,但是网络之间有一个开放空间,因此他们可以访问站点。对于域B中的大多数用户,一切都按预期进行,当他们尝试登录时,系统会提示他们输入域A凭据,然后登录 但是,有些用户无法登录。系统会提示他们按预期提供凭据,但当他们提供凭据时,会被拒绝(3次尝试,然后是401),原因是: 失败原因:未知用户名或错误密码。 状态:0xc000006
编辑:用户在重置后更改了密码,因此我不应该因为密码过期而感到不安。您必须建立双向域信任才能使Kerberos正常工作。正如您在日志中看到的,其他所有操作都将失败。您必须建立双向域信任,才能使Kerberos正常工作。正如您在日志中看到的,其他所有操作都将失败。但他们不应该能够使用域B凭据从域B登录。他们必须使用域A凭据登录。这还需要信任吗?如果是这样的话,为什么它对大多数人有效而不是对所有人有效?为什么?不重用现有凭据的意义何在。IIS对所有域都有物理访问权限吗?为什么是个好问题。。。不,域B在另一个网络上,IIS无权访问它,它只能访问域A。这些是完全不同的网络吗?如果是这样,我将求助于基本身份验证并执行LDAP绑定。也许这样做是最好的,尽管我仍然想知道为什么这不起作用。因为我可以看到用户正在尝试使用正确的域名登录,但仍然失败。子状态声明密码不正确。对我来说没有意义。但是他们不应该能够使用域B凭据从域B登录。他们必须使用域A凭据登录。这还需要信任吗?如果是这样的话,为什么它对大多数人有效而不是对所有人有效?为什么?不重用现有凭据的意义何在。IIS对所有域都有物理访问权限吗?为什么是个好问题。。。不,域B在另一个网络上,IIS无权访问它,它只能访问域A。这些是完全不同的网络吗?如果是这样,我将求助于基本身份验证并执行LDAP绑定。也许这样做是最好的,尽管我仍然想知道为什么这不起作用。因为我可以看到用户正在尝试使用正确的域名登录,但仍然失败。子状态声明密码不正确。对我来说毫无意义。