问无法通过本地IIS进行windows身份验证

EN

您必须将主机文件中指定的域列入白名单，windows身份验证才能正常工作：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

• Right-click

• 单击开始，单击运行，键入regedit，然后单击确定。

• 在注册表编辑器中，找到以下注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

• Right-click参数，单击新建，然后单击DWORD (32位)值。

• 键入DisableStrictNameChecking并按DisableStrictNameChecking注册表值并在值数据框中键入1，在注册表编辑器中单击OK

H114>，找到并单击以下注册表项：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

• Right-click

，指向新建，然后单击“多字符串值”。

• 键入BackConnectionHostNames，然后按ENTER.

• Right-click BackConnectionHostNames，然后单击“修改”。

• 在“值数据”框中，键入本地计算机上站点的一个或多个主机名，然后单击“确定”。

• 退出注册表编辑器，然后重新启动IISAdmin服务。

注意:此答案中的原始Microsoft知识库链接已断开并已被删除。This article提供了设置DisableStrictNameChecking的说明。

最近，我花了三天的时间试图解决同样的问题，这让我抓狂。它发生在负载平衡设置上，其中一台服务器身份验证正确，而另一台服务器失败。调查问题-并最终解决它-发现它与负载平衡环境无关，当使用Windows身份验证进行身份验证时，任何服务器都可能发生这种情况，并且使用Active Directory可识别的名称以外的名称调用服务器

Kerberos 1.启用日志记录

要正确诊断问题，您需要在承载IIS站点的计算机上启用Kerberos日志记录。为此，请添加以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Add Registry Value LogLevel with ValueType REG_DWORD and value 0x1 (使用ValueTypeREG_DWORD和value0x1添加注册表值。

一旦打开日志记录，然后尝试进行身份验证，就会在Windows应用程序日志中记录错误。您可以忽略错误KDC_ERR_PREAUTH_REQUIRED (这只是握手的一部分)，但是如果您得到错误KDC_ERR_C_PRINCIPAL_UNKNOWN，这意味着您的AD控制器无法识别您的服务器，因此您需要遵循以下步骤。

2. KDC_ERR_C_PRINCIPAL_UNKNOWN

如果你得到的是kerberos，这意味着名称“kerberos”与AD识别你的机器的方式不同，所以它无法提供有效的KDC_ERR_C_PRINCIPAL_UNKNOWN票证。在这种情况下，您需要在AD上为“'www.mysite.mydomain”注册一个服务主体名称(SPN)。

在您的AD控制器上，运行此命令-您将需要域管理员权限：

Setspn -A HTTP/mysite.mydomain YOUR_MACHINE_HOSTNAME

3.为应用程序池使用自定义标识

最后，使您的应用程序池使用属于Active Directory的自定义帐户，而不是使用NetworkService。这可以在应用程序池的高级设置中完成。

然后..。瞧。

注意:问题可能(不太可能)与将多个SPN注册到同一台计算机有关，在这种情况下，您将需要运行命令来删除重复的SPN，但我怀疑情况是否如此。还可以尝试向站点添加不同的绑定(不使用自定义名称)，比如htttp://localhost: custom _port_number，看看身份验证是否有效。如果它起作用了，这是一个额外的迹象，表明您正在遭受与我相同的问题。

你有没有试过把域名放在用户名前面？

DOMAIN\username

如果您没有域帐户，请尝试在您的用户名前加上计算机名：

MYCOMPUTER\myusername