He creado un sitio de Intranet ASP.NET MVC 3 con la autenticación de Windows habilitada:

en las propiedades del archivo de proyecto de Visual Studio en la web.config, es decir,<authentication mode="Windows"/>en las propiedades del sitio en IIS 7.5. servido

El acceso anónimo está deshabilitado para los tres anteriores, el web.config dice<deny users="?"/>. La suplantación está deshabilitada en web.config por identity<impersonate="false"/> y en las propiedades del sitio en el servidor IIS 7.5. Y finalmente, el SERVICIO DE RED está configurado para ejecutar el grupo de aplicaciones y también tiene Leer en la carpeta del sitio (aunque no estoy seguro si es necesario, dígame, pero seguro que no es suficiente para resolver mi problema a continuación).

Ahora, al iniciar sesión a través del cuadro de diálogo estándar de autenticación de Windows, a los usuarios del dominio se les presenta un error 401.3 después de tres intentos de inicio de sesión válidos. Esto parece ser incluso antes de llegar al código de mi sitio MVC, es decir, parece estar completamente relacionado con IIS. El registro de eventos proporciona el siguiente tipo de entrada (es una entrada de información, no un error, y la he ofuscado un poco para proteger a mi cliente) para todos los usuarios que han intentado iniciar sesión:

Event code: 4008
Event message: File authorization failed for the request.
Event time: 2012-02-20 18:45:41
Event time (UTC): 2012-02-20 17:45:41
Event ID: 6dd3b4bf99784ba1a0fe06694dd89691
Event sequence: 3
Event occurrence: 1
Event detail code: 0
Application information:
Application domain: /LM/W3SVC/2/ROOT-1-129742335229554599
Trust level: Full
Application Virtual Path: /
Application Path: D:\Public\BlahblahManager\
Machine name: HUB01-XYZ123
Process information:
Process ID: 2920
Process name: w3wp.exe
Account name: NT AUTHORITY\NETWORK SERVICE
Request information:
Request URL: http://blahblahmanager.user.ad.blah.com/
Request path: /
User host address: 134.XXX.XXX.XXX
User: USER-AD\teh-user
Is authenticated: True
Authentication Type: Negotiate
Thread account name: NT AUTHORITY\NETWORK SERVICE
Custom event details:

Solo es cuando otorgo específicamenteUSER-AD\teh-user oUSER-AD\Domain usuarios elRead permiso en la carpeta raíz del sitio (D: \ Public \ BlahblahManager) para que el usuario pueda iniciar sesión y realmente ver el sitio.

¿Por qué es esto? Debe haber algún tipo de configuración que me falta. ¿No debería ser suficiente que el SERVICIO DE RED haya leído en la carpeta raíz del sitio? He buscado en Google esto por un tiempo, y la suplantación se menciona aquí y allá, pero el jurado todavía está fuera, parece. Algunos sitios afirman que debe ir con la suplantación y proporcionan ejemplos sobre cómo hacerlo, pero cuando pruebo los ejemplos todavía no funciona. Otros sitios dicen que la suplantación NO es el camino a seguir y que NECESITA otorgar permisos a la carpeta en estos casos. Pero eso parece algo muy extraño. Los usuarios no tienen negocios en el servidor real, deberían trabajar solo a través del sitio web.

¿Alguna sugerencia? ¿Cuál es generalmente la cantidad mínima de configuración necesaria para que esto funcione? ¿Algún consejo sobre cómo solucionar este tipo de problema y llegar a la causa raíz?