我在域A中设置了IIS,我们将其称为流程网络。我们正在使用Windows身份验证,在这种环境中一切正常。
但我们也在域B中设置办公网络上的用户。域之间没有信任,但网络之间有一个空缺,因此他们可以访问该网站。对于域B中的大多数用户,一切都按预期工作,当他们尝试登录时,系统会提示他们输入域A凭据,然后登录。
但是有些用户无法登录。系统会提示他们按预期提供凭据,但是当他们这样做时,他们会被拒绝(3次尝试后跟401),原因如下:
失败原因:未知用户名或密码错误。 状态:0xc000006d 子状态:0xc000006a
以上内容取自IIS事件日志。
我确定用户名有效,密码正确。我没有尝试过所有这些用户,但是对于一些用户来说。我尝试使用无法登录的用户计算机上的凭据登录,但它确实有效。所以它似乎不是一个客户问题。
一个有趣的旁注是,遇到问题的用户在地理位置上与IIS不同。我没有收到与IIS所在区域相同的 office network -users的任何问题。
编辑:用户在重置后更改了密码,所以我不应该因为过期的密码。
答案 0 :(得分:1)
您必须建立双向域信任才能使Kerberos正常运行。正如您在日志中看到的那样,其他所有内容都将失败。