前提:
禁用匿名访问,开启Windows集成身份验证。
如果客户端浏览器通过ip地址访问IIS,则访问会被当作非本地Intranet访问,只会使用NTLM验证,并且不会将当前登录用户的用户名和密码自动传到服务器,而是弹出对话框要求手工输入用户名和密码。除非,在IE的本地Intranet设置中将这些ip地址设置为本地Intranet地址
如果客户端通过机器名访问IIS,则如果客户端用域用户登录,并且服务器也在域中,会采用Kerberos验证,通过此用户的验证票来确定是否有权访问IIS资源;如果客户端不是用域用户登录,或者服务器不在域中,则IE首先会将当前用户的用户名和密码自动传到服务器进行验证,如果成功,则IIS允许访问资源,否则拒绝访问,并且IE会弹出一个对话框,要求用户输入一个用户名和密码,输入了之后IE会用用户输入的用户名和密码再次传到服务器验证。
总结来源:IIS的各种身份验证详细测试