在 IIS6 下运行的 Intranet 网站的身份验证问题答案

【问题标题】：authentication issue with an intranet website running under IIS6在 IIS6 下运行的 Intranet 网站的身份验证问题
【发布时间】：2011-06-10 15:19:20
【问题描述】：

我有一个在 IIS6 下运行的 Intranet 网站（在特定端口下，而不是默认端口下），启用了集成 Windows 身份验证，并使用配置有服务帐户的应用程序池。问题是，如果我使用 URL 中具有完全限定域的服务器名称访问该网站，它会引发登录提示（即使输入我的 Windows 登录凭据也不起作用），但如果我使用 IP 地址服务器然后它工作正常。请让我知道我需要做什么才能使带有服务器名称的 URL 正常工作。例如http://servername:8080/default.aspx 抛出登录提示，但http://ip address:8080/default.aspx 工作正常

【问题讨论】：

当您使用servername:8080 登录时，您是否在尝试登录时指定servername\username 作为您的用户名？
我指定的是域\用户名，而不是服务器名\用户名。
致任何偶然发现这个问题的人，一个非常有用的链接为我解决了这个问题，同时解释了问题的原因link

标签： asp.net iis security windows-authentication application-pool

【解决方案1】：

我遇到了同样的问题。我相信这与 Kerberos 身份验证机制有关。如果它求助于 NTLM，它将起作用（它在使用 IP 地址时会起作用）。 Kerberos 需要在 Active Directory 上注册的 SPN 才能工作。 Kerberos 也不允许您让应用程序池在不同的帐户下运行但具有相同的服务器名称。在这些情况下，您应该为站点设置一个备用名称并将其注册到 Kerberos。但是，我还没有真正解决这个问题，所以这些只是建议。

【讨论】：

【解决方案2】：

我想到了两个可能的问题：

您网络中的 DNS 服务器未将 servername 解析为 IP
- 从命令行运行 Ping servername 以检查名称是否带来预期的 IP
- 编辑C:\Windows\System32\drivers\etc\hosts文件并添加服务器名称和IP地址
IIS6 中的Bindings 不期望servername
- 确保servername 包含在列表中或Host Header Name 字段为空

【讨论】：

感谢您的回复。服务器名称正确解析为 IP，主机头名称为空。你是说我应该在“主机头名称”字段中包含服务器名称吗？
不，空意味着“抓住所有”。您在 IIS 中有其他网站吗？
是的，我有另一个网站使用默认端口，启用匿名访问和禁用 Windows 身份验证，并在配置有“网络服务”帐户的默认应用程序池下运行。理想情况下，我希望能够使用 DNS 别名而不是服务器名称和 IP 地址访问网站，而无需任何登录提示。

【解决方案3】：

当 Web 服务器的 IP 地址因新的内部 IP 寻址方案而更改时，我就出现了这些症状。通过网络服务器本身而不是任何其他系统进行的身份验证。在其他系统中，使用 URL 中的主机名导致 IE 提示输入始终被拒绝的凭据，使用 URL 中的 IP 地址导致 IE 提示输入已接受的凭据。在追逐了很多红鲱鱼之后，我们怀疑服务器正在缓存旧 IP 地址的凭据，所以我们重新启动了服务器，一切正常。

【讨论】：

【解决方案4】：

试试这个。我遇到了完全相同的问题，它为我解决了（我是链接线程）

我将网站的 AuthenticationProvider 设置为“NTLM，协商”

按照以下说明： http://support.microsoft.com/kb/215383

当然，他们对设置提供者的指示略有改变

我的：

cscript adsutil.vbs set w3svc/WebSite/root/NTAuthenticationProviders "**NTLM, Negotiate**"

您可以通过单击 IIS 左侧的“网站”文件夹来获取网站 ID。这应该列出您的所有网站及其 ID

感谢尼克的回答让我找到了它

【讨论】：