看起来你碰到了ASP.NET Core Windows身份验证在Windows Server 2008 R2 IIS上失效的典型部署坑，结合你的代码和现象，我整理了几个关键修复点：

1. 紧急修正：中间件顺序完全搞反了！ #

你的Configure方法里，UseAuthorization放在了UseAuthentication前面，这是致命错误——授权逻辑需要先识别当前用户身份，必须先执行认证中间件，再执行授权中间件。

修正后的Configure方法如下：

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Error");
        app.UseHsts();
    }
    app.UseHttpsRedirection();
    app.UseStaticFiles();
    app.UseRouting();
    // 先认证，再授权！顺序绝对不能错
    app.UseAuthentication();
    app.UseAuthorization();
    app.UseEndpoints(endpoints =>
    {
        endpoints.MapControllerRoute(
            name: "default",
            pattern: "{Area=Uzivatel}/{controller=Home}/{action=Index}/{id?}");
    });
}

2. IIS站点身份验证：必须禁用匿名身份验证 #

你提到已经启用了Windows身份验证，但大概率没禁用匿名身份验证——IIS会优先使用匿名身份，导致用户根本不会触发Windows身份验证流程，自然@User.IsAuthenticated返回false。

操作步骤：

• 打开IIS管理器，找到你的站点 → 身份验证
• 右键点击「匿名身份验证」→ 禁用
• 确保「Windows身份验证」处于启用状态

3. Windows Server 2008 R2特殊要求：安装正确的ASP.NET Core托管包 #

Windows Server 2008 R2是较老的系统，ASP.NET Core的Windows身份验证依赖ASP.NET Core Hosting Bundle，注意事项：

• 必须安装与你项目.NET版本匹配的托管包（推荐用.NET Core 3.1，因为.NET 6+对2008 R2的支持有限）
• 安装完成后务必重启IIS，确保ASP.NET Core模块正常注册

4. 补充身份验证配置：添加Negotiate方案 #

域环境下的Windows身份验证依赖Negotiate协议（Kerberos/NTLM），需要在ConfigureServices里显式添加：

services.AddAuthentication(IISDefaults.AuthenticationScheme)
    .AddNegotiate(); // 新增这一行，完善Windows身份验证支持

5. 应用池设置检查 #

• 应用池的**.NET CLR版本**必须设置为「无托管代码」——ASP.NET Core是自托管运行时，不需要IIS的托管CLR
• 应用池的身份：如果是域环境，建议使用具备AD读取权限的域账户；如果是本地账户，确保账户有权限访问AD用户组信息

6. 关于404错误的说明 #

目前的404是因为用户未被认证，访问带[Authorize]特性的页面时，系统找不到对应的登录跳转页（Windows身份验证没有传统登录页）。修复上述身份验证问题后，这个错误会变成401未授权，此时IIS会自动触发Windows身份验证弹窗（域环境下会自动登录），验证通过后就能正常访问页面了。

内容的提问来源于stack exchange，提问作者Miroslav Lalík