Я изменил суффикс UPN для всех пользователей компании с us.mycompany.local к mycompany.com для использования приложений с поддержкой утверждений. При тестировании перед изменением я обнаружил, что даже если я изменил суффикс UPN, пользователь может успешно пройти аутентификацию, используя старый суффикс. Я не понимаю, почему это все еще работает.
Приведенные выше комментарии Райана и Джо попадают в цель. Похоже, ваши пользователи входят в систему со своими Неявный UPN. Полное доменное имя вашего домена us.mycompany.local?
В Active Directory у каждого пользователя есть два UPN:
Явное имя участника-пользователя (eUPN): Это значение пользовательского объекта userPrincipalName атрибут. Это может быть изменено на любое значение, независимо от любых альтернативных суффиксов UPN, которые вы настроили в лесу.
Неявное UPN (iUPN): Он создается путем конкатенации значения пользовательского объекта samAccountName атрибут со значением FQDN домена. Полное доменное имя сохраняется как значение dnsRoot атрибут домена crossRef объект хранится в LDAP://CN=DOMAIN_NETBIOS_NAME,CN=Partitions,CN=Configuration,DC=DOMAIN)
Хорхе де Алмейда Пинто, MVP DS, опубликовал серию статей, в которых подробно рассказывается:
Также стоит отметить, что eUPN «выигрывает» в случае конфликта. Например, рассмотрим следующий (хотя и нелепый) сценарий:
example.comuser1user1@example.comЕсли вы попытаетесь войти, используя имя пользователя user1@example.com, вы войдете в систему как User2. Однако, если вы измените User2's userPrincipalName к чему-либо еще, вы войдете как User1.
Дополнительная информация на MS: MSKB929272: Интерактивные стили входа в систему и поиск учетной записи в Центре распространения ключей в Windows Server 2003
Это могло быть одно из двух:
Domain name (pre-Windows 2000), и будет работатьПерейти к Active Directory Domains and Trusts и проверьте UPN (а) и настройку перед окнами.