咱们先从你抓到的错误码0x80070513入手——这个错误的含义是“特定安全ID无法被分配为对象的标签”，结合你启用了<identity impersonate="true">的配置，大概率和用户令牌的处理、模拟权限或者Kerberos认证流程有关。下面是针对性的排查和解决方向：

一、排查模拟配置的权限问题 #

启用身份模拟后，IIS需要将客户端的用户令牌附加到应用程序进程中，如果进程没有足够权限处理这个令牌，就会随机触发认证失败：

• 先临时注释掉web.config里的<identity impersonate="true" />，观察问题是否消失。如果弹窗不再出现，说明模拟配置是核心诱因：
  1. 打开本地安全策略（secpol.msc），进入本地策略 -> 用户权限分配，找到“Impersonate a client after authentication”权限，确保应用程序池的身份（比如Network Service、域账户）在列表中
  2. 如果用的是域账户作为应用池身份，检查该账户是否有足够权限在本地系统中模拟客户端令牌，避免域控制器和IIS服务器之间的权限同步问题

二、检查Kerberos认证的配置问题 #

你的响应头同时返回Negotiate和NTLM，浏览器优先尝试Kerberos认证，随机失败可能和Kerberos票据或SPN配置有关：

• 验证SPN（服务主体名称）是否正确注册：打开命令提示符，执行setspn -L <应用池身份账户>，确保存在HTTP/<你的服务器主机名>和HTTP/<你的服务器完整域名（FQDN）>的SPN条目。如果缺失，用setspn -A HTTP/<主机名> <账户>添加
• 检查客户端和IIS服务器的时间同步，Kerberos要求两端时间差不超过5分钟，时间不同步会导致票据失效
• 可以在IIS的Windows认证高级设置中，暂时禁用Negotiate，只保留NTLM，观察问题是否缓解——如果缓解，说明Kerberos的配置是主要问题

三、调整IIS认证的核心设置 #

• 确保IIS的内核模式认证已启用：进入站点的“认证”->“Windows认证”->“高级设置”，勾选“启用内核模式认证”。这个设置能让IIS在内核层处理认证，减少用户令牌在用户态传递时的权限问题
• 检查你的OPTIONS请求配置：web.config里允许了OPTIONS请求匿名，要确保这类预请求不会触发Windows认证的逻辑冲突——比如某些跨域AJAX的OPTIONS请求如果被错误拦截，可能导致后续的认证流程异常

四、检查特殊用户账户的配置 #

问题涉及部分用户，说明这些用户的账户可能有特殊属性：

• 检查这些用户是否属于过多的安全组，导致用户令牌大小超过IIS的默认限制（默认48KB）。可以通过修改注册表调整限制：
  1. 打开注册表编辑器，定位到HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
  2. 添加或修改MaxFieldLength（DWORD，值设为65534）和MaxRequestBytes（DWORD，值设为16777216）
• 检查用户账户的属性，比如“用户不能更改密码”“账户已锁定”等状态是否正常，避免账户本身的异常导致认证失败

总结排查步骤 #

1. 临时关闭身份模拟，确认问题是否关联模拟配置
2. 验证Kerberos的SPN和时间同步配置
3. 启用IIS内核模式认证，调整认证模块顺序
4. 检查特殊用户的令牌大小和账户属性

内容的提问来源于stack exchange，提问作者Maxime