IIS 匿名用户身份验证不适用于 AD 凭据

Question

我有一个 asp.net 应用程序目录，并且我想在“目录安全”选项卡中使用匿名身份验证。

如果我使用 Windows 2000 之前的样式 DOMAIN\USERNAME 作为用户名，一切都很好。

如果我使用 AD 样式 (UPN) [电子邮件受保护]，则我收到 401.1 登录失败信息。

我尝试了多种变体，但无法使其发挥作用。 如果我从“浏览”框中选择用户，则 AD 名称会出现在框中，但会填写 Windows 2000 之前的名称。 对于 SQL Server 2005 也是如此。

似乎 UPN 不是“真实的”，对吗？ 鉴于它不是必需的，也不必是唯一的； 这看起来很奇怪。

我是否正确，因为这不受支持？ IIS 7 会有什么不同吗？

我希望这样做，因为 Windows 2000 之前的用户名的 20 个字符的限制不足以实现基于角色的安全性，我希望从该网站申请不同的 Web 服务（应用程序目录）。

Answer 1

UPN 后缀应该可以工作，尽管当 IIS 框和域控制器之间存在服务包差异时会出现错误。 有一个补丁。 此链接详细讨论了该问题。

Answer 2

您确定它是domain.local而不是domain.com吗？ 如果域\用户名有效，则 [email protected] 应该可以正常工作。

Answer 3

更新1：
我已经在 Windows 2003 sp 2 上尝试过。在登录“目录安全”中，我选中了启用匿名访问复选框（并且仅此框）并输入 [email protected] 和用户名密码。 该网站是普通的 asp.net，没有 sql 后端。

您是否可以使用 [email protected] 登录服务器？
你可以在不同的域上测试这个吗？ 可能是有线 dns 解析问题。

更新0：

我在iis 6和[email]上测试了它protected] 组合在我的机器上运行良好。

关于名称的“真实性”。 没有名称是“真实的”，实际帐户只是一个 GUID。 这些名称只是为了方便。