So konfigurieren Sie IIS darauf, sowohl das Kerberos- als auch das NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 215383 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
215383 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Metabasis. Stellen Sie sicher, dass Sie über eine Sicherungskopie verfügen, die Sie wiederherstellen können, wenn Probleme auftreten, bevor Sie die Metabasis bearbeiten. Informationen hierzu finden Sie im Hilfethema "Sicherungskopie erstellen/Konfiguration wiederherstellen" in der MMC (Microsoft Management Console).
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser schrittweise aufgebaute Artikel beschreibt, wie Sie Microsoft Internet Information Services (IIS) darauf konfigurieren, sowohl das Kerberos-Protokoll als auch das NTLM-Protokoll für die Netzwerkauthentifizierung zu unterstützen.

IIS übermittelt den Negotiate-Sicherheitsheader, wenn die "Integrierte Windows-Authentifizierung" verwendet wird, um Clientanforderungen zu authentifizieren. Der Negotiate-Sicherheitsheader ermöglicht Clients, zwischen Kerberos-Authentifizierung und NTLM-Authentifizierung zu wählen. Der Negotiate-Prozess wählt Kerberos-Authentifizierung, sofern nicht eine der folgenden Bedingungen vorliegt:
  • Eines der Systeme, das an der Authentifizierung beteiligt ist, kann Kerberos-Authentifizierung nicht verwenden.
  • Die aufrufende Anwendung stellt keine ausreichenden Informationen bereit, um Kerberos-Authentifizierung zu verwenden.
Wenn Sie dem Negotiate-Prozess ermöglichen möchten, das Kerberos-Protokoll für Netzwerkauthentifizierung zu wählen, muss die Clientanwendung einen Dienstprinzipalnamen (Service Principal Name, SPN), einen Benutzerprinzipalnamen (User Principal Name, UPN) oder einen NetBIOS-Kontonamen als Zielnamen bereitstellen. Andernfalls wählt der Negotiate-Prozess immer das NTLM-Protokoll als bevorzugte Authentifizierungsmethode.

Festlegen des Negotiate-Sicherheitsheaders

Warnung: Durch eine unkorrekte Bearbeitung der Metabasis können schwerwiegende Probleme verursacht werden, die eine Neuinstallierung der Produkte erforderlich machen, die die Metabasis verwenden. Microsoft kann nicht dafür garantieren, dass Probleme infolge der falschen Bearbeitung der Metabasis behoben werden können. Die Bearbeitung der Metabasis erfolgt auf Ihr eigenes Risiko.

Hinweis Sichern Sie die Metabasis, bevor Sie sie bearbeiten.

Hinweis
  • Die Metabasis-Eigenschaft NTAuthenticationProviders ist standardmäßig nicht definiert, wenn Sie IIS 6.0 installieren. IIS 6.0 verwendet den Parameter Negotiate,NTLM, wenn die Metabasis-Eigenschaft NTAuthenticationProviders nicht definiert ist. Daher müssen Sie IIS nicht darauf konfigurieren, den Eigenschaftswert Negotiate,NTLM zu verwenden, es sei denn, der Standardwert wurde überschrieben.
  • Die Metabasis-Eigenschaft NTAuthenticationProviders ist standardmäßig definiert, wenn Sie IIS 5.1 und IIS 5.0 installieren. Diese Metabasis-Eigenschaft verwendet den Parameter Negotiate,NTLM. Daher müssen Sie IIS nicht darauf konfigurieren, den Eigenschaftswert Negotiate,NTLM zu verwenden, es sei denn, der Standardwert wurde überschrieben.
Sie können bestätigen, dass IIS sowohl das Kerberos-Protokoll als auch das NTLM-Protokoll unterstützt, indem Sie sich vergewissern, dass der Negotiate-Sicherheitsheader in der Metabasis-Eigenschaft NTAuthenticationProviders festgelegt ist. Verwenden Sie dazu die für Ihre Version von IIS geeignete Methode.

IIS 6.0

  1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und drücken Sie die [EINGABETASTE].
  2. Suchen Sie das Verzeichnis, das die Datei "Adsutil.vbs" enthält. Standardmäßig ist dies das Verzeichnis "C:\Inetpub\Adminscripts".
  3. Verwenden Sie den folgenden Befehl, um die aktuellen Werte für die Metabasis-Eigenschaft NTAuthenticationProviders abzurufen:
    cscript adsutil.vbs get w3svc/Website/root/NTAuthenticationProviders
    In diesem Befehl ist Website ein Platzhalter für die Website-ID-Nummer. Die Website-ID-Nummer der Standardwebsite ist 1.

    Warnung: Fügen Sie den Befehl aus diesem Artikel nicht mittels Kopieren und Einfügen ein. Dieser Vorgang kann Probleme mit der Eigenschaftseinstellung verursachen. Geben Sie zum Vermeiden dieser Probleme den ganzen Befehl in eine Eingabeaufforderung ein.

    Hinweis: Dieser Befehl schlägt fehl, wenn die Metabasis-Eigenschaft NTAuthenticationProviders nicht definiert ist. Weitere Informationen hierzu können Sie dem Hinweis weiter oben in diesem Abschnitt entnehmen.

    Wenn der Negotiate-Prozess aktiviert ist, gibt dieser Befehl die folgenden Informationen zurück:
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
  4. Wenn der Befehl in Schritt 3 nicht die Zeichenfolge "Negotiate,NTLM" zurückgibt, verwenden Sie den folgenden Befehl, um den Negotiate-Prozess zu aktivieren:
    cscript adsutil.vbs set w3svc/WebSite/root/NTAuthenticationProviders "Negotiate,NTLM"
  5. Wiederholen Sie Schritt 3, um sich zu vergewissern, dass der Negotiate-Prozess aktiviert wurde.
Hinweis: Wenn Sie versuchen, zu ermitteln, ob der Negotiate-Prozess aktiviert wurde und Ihnen dabei eine Fehlermeldung angezeigt wird, vergewissern Sie sich, dass sich zwischen "Negotiate" und "NTLM" keine Leerstelle befindet. Beachten Sie zum Beispiel den Unterschied zwischen "Negotiate,NTLM" und "Negotiate, NTLM."

IIS 5.1 oder IIS 5.0

  1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und drücken Sie die [EINGABETASTE].
  2. Suchen Sie das Verzeichnis, das die Datei "Adsutil.vbs" enthält. Standardmäßig ist dies das Verzeichnis "C:\Inetpub\Adminscripts".
  3. Verwenden Sie den folgenden Befehl, um die aktuellen Werte für die Metabasis-Eigenschaft NTAuthenticationProviders abzurufen:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Warnung: Fügen Sie den Befehl aus diesem Artikel nicht mittels Kopieren und Einfügen ein. Dieser Vorgang kann Probleme mit der Eigenschaftseinstellung verursachen. Geben Sie zum Vermeiden dieser Probleme den ganzen Befehl in eine Eingabeaufforderung ein.

    Hinweis: Dieser Befehl schlägt fehl, wenn die Metabasis-Eigenschaft NTAuthenticationProviders nicht definiert ist. Weitere Informationen hierzu können Sie dem Hinweis weiter oben in diesem Abschnitt entnehmen.

    Wenn der Negotiate-Prozess aktiviert ist, gibt dieser Befehl die folgenden Informationen zurück:
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
    Hinweis: Die Metabasis-Eigenschaft NTAuthenticationProviders wird standardmäßig auf Negotiate,NTLM gesetzt, wenn Sie IIS 5.1 oder IIS 5.0 installieren.
  4. Wenn der Befehl in Schritt 3 nicht die Zeichenfolge "Negotiate,NTLM" zurückgibt, verwenden Sie den folgenden Befehl, um den Negotiate-Prozess zu aktivieren:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
  5. Wiederholen Sie Schritt 3, um sich zu vergewissern, dass der Negotiate-Prozess aktiviert wurde.


Hinweis: Wenn Sie versuchen, zu ermitteln, ob der Negotiate-Prozess aktiviert wurde und Ihnen dabei eine Fehlermeldung angezeigt wird, vergewissern Sie sich, dass sich zwischen "Negotiate" und "NTLM" keine Leerstelle befindet. Beachten Sie zum Beispiel den Unterschied zwischen "Negotiate,NTLM" und "Negotiate, NTLM."

Sie können den Negotiate-Prozess deaktivieren, um IIS zu zwingen, das NTLM-Protokoll für Netzwerkauthentifizierung zu verwenden. Mit dieser Prozedur wird verhindert, dass IIS das Kerberos-Protokoll verwendet. Verwenden Sie den folgenden Befehl, um den Negotiate-Prozess zu deaktivieren.

Hinweis: In diesem Befehl muss "NTLM" groß geschrieben sein, um eventuelle negative Auswirkungen zu vermeiden.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Hinweis: Wiederholen Sie immer Schritt 3, wenn Sie diesen Metabasis-Wert ändern, um sicherzustellen, dass die Änderung erfolgreich war.

Eigenschaften

Artikel-ID: 215383 - Geändert am: Mittwoch, 21. Februar 2007 - Version: 7.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
Keywords: 
kbhowtomaster kbhowto KB215383
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com