我在域A中设置了IIS,让我们将其称为流程网络 . 我们正在使用Windows身份验证,在这种环境中一切正常 .
但我们也在域B中设置了办公室网络上的用户 . 域之间没有信任,但网络之间有一个空缺,因此他们可以访问该站点 . 对于域B中的大多数用户,一切都按预期工作,当他们尝试登录时,系统会提示他们输入域A凭据,然后登录 .
但是有些用户无法登录 . 系统会提示他们按预期提供凭据,但是当他们这样做时,他们会被拒绝(3次尝试后跟401),原因如下:
失败原因:未知用户名或密码错误 . 状态:0xc000006d子状态:0xc000006a
以上内容取自IIS事件日志 .
我确定用户名是有效的,密码是正确的 . 我没有尝试过所有这些用户,但是对于一些用户来说 . 我尝试使用无法登录的用户计算机上的凭据登录,但它确实有效 . 所以它似乎不是一个客户问题 .
一个有趣的附注是,遇到问题的用户在地理位置上与IIS不同 . 我没有从IIS所在的同一地区的办公室网络用户那里收到任何问题 .
编辑:用户在重置后更改了密码,所以我不应该因为过期的密码 .
1 回答
您 must Build 双向域信任以使Kerberos正常工作 . 您在日志中看到的所有其他内容都将失败 .