Cómo configurar IIS para que admita el protocolo Kerberos y el protocolo NTLM para la autenticación de red

Seleccione idioma Seleccione idioma
Id. de artículo: 215383 - Ver los productos a los que se aplica este artículo
importante Este artículo contiene información acerca de cómo modificar la metabase. Antes de modificar la metabase, compruebe que dispone de una copia de seguridad que pueda restaurar si surge algún problema. Para obtener información sobre cómo hacerlo, consulte el tema de la Ayuda "Hacer copia de seguridad y restaurar la configuración" de Microsoft Management Console (MMC).
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo paso a paso se describe cómo configurar Microsoft Internet Information Services (IIS) para que admita el protocolo Kerberos y el protocolo NTLM para la autenticación de red.

IIS pasa el encabezado de seguridad Negotiate cuando solicita la autenticación se utiliza para autenticar el cliente de Windows integrada. Negociar seguridad encabezado permite clientes seleccione entre la autenticación Kerberos y la autenticación NTLM. El proceso de negociación selecciona la autenticación Kerberos a menos que una de las siguientes condiciones sea true:
  • Uno de los sistemas que está implicado en la autenticación no puede utilizar la autenticación Kerberos.
  • La aplicación de llamada no proporciona información suficiente para utilizar la autenticación Kerberos.
Para habilitar el proceso de negociación seleccionar el protocolo Kerberos para la autenticación de red, la aplicación cliente debe proporcionar un nombre principal de servicio (SPN), un nombre principal de usuario (UPN) o un nombre de cuenta de NetBIOS como el nombre de destino. En caso contrario, el proceso de negociación siempre selecciona el protocolo NTLM como método de autenticación preferido.

Establecer el encabezado de seguridad Negotiate

Advertencia Si modifica la metabase incorrectamente, puede originar problemas graves que pueden requerir que vuelva a instalar cualquier producto que utiliza la metabase. Microsoft no puede garantizar la solución de los problemas resultantes de una modificación incorrecta de la metabase. Modifique la metabase bajo su responsabilidad.

Nota Haga siempre una copia de seguridad de la metabase antes de modificarla.

Nota
  • De forma predeterminada, la propiedad de metabase NTAuthenticationProviders no está definida cuando se instala IIS 6.0. IIS 6.0 utiliza el parámetro Negotiate, NTLM cuando la propiedad de metabase NTAuthenticationProviders no está definida. Por lo tanto, no es necesario configurar IIS para utilizar el valor de propiedad Negotiate, NTLM a menos que se ha sobrescrito el valor predeterminado.
  • De forma predeterminada, la propiedad de metabase NTAuthenticationProviders está definida cuando se instala IIS 5.1 e IIS 5.0. Esta propiedad de metabase utiliza el parámetro Negotiate, NTLM . Por lo tanto, no es necesario configurar IIS para utilizar el valor de propiedad Negotiate, NTLM a menos que se ha sobrescrito el valor predeterminado.
Para asegurarse de que IIS admite el protocolo Kerberos y el protocolo NTLM, debe confirmar que el encabezado de seguridad Negotiate está establecido en la propiedad NTAuthenticationProviders de la metabase. Para ello, utilice el método apropiado para la versión de IIS que haya.

IIS 6.0

  1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, presione ENTRAR.
  2. Busque el directorio que contiene el archivo Adsutil.vbs. De forma predeterminada, este directorio es C:\Inetpub\Adminscripts.
  3. Utilice el comando siguiente para recuperar los valores actuales de la propiedad de metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc / WebSite raíz/NTAuthenticationProviders
    En este comando, el WebSite es un marcador de posición para el número de identificador del sitio Web. El número de identificador del sitio Web del sitio Web predeterminado es 1.

    Advertencia No lleve a cabo una operación de copiar y pegar para pegar el comando de este artículo. Esta operación puede producir problemas con el valor de la propiedad. Para evitar estos problemas, escriba el comando completo en el símbolo del sistema.

    Nota Este comando produce un error si la propiedad de metabase NTAuthenticationProviders no está definida. Para obtener más información, consulte la nota en esta sección.

    Si el proceso de negociación está habilitado, este comando devuelve la información siguiente:
    NTAuthenticationProviders: (Cadena) "Negotiate, NTLM"
  4. Si el comando en el paso 3 no devuelve la cadena "Negotiate, NTLM," utilizar el comando siguiente para habilitar el proceso de negociación:
    cscript adsutil.vbs set w3svc / WebSite raíz/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita el paso 3 para comprobar que se ha habilitado el proceso de negociación.
Nota Si recibe un error cuando intenta Compruebe que se ha habilitado el proceso de negociación, asegúrese de que no dejar un espacio entre "Negotiate" y "NTLM". Por ejemplo, "Negotiate, NTLM" difiere de "Negotiate, NTLM".

IIS 5.1 o IIS 5.0

  1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, presione ENTRAR.
  2. Busque el directorio que contiene el archivo Adsutil.vbs. De forma predeterminada, este directorio es C:\Inetpub\Adminscripts.
  3. Utilice el comando siguiente para recuperar los valores actuales de la propiedad de metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Advertencia No lleve a cabo una operación de copiar y pegar para pegar el comando de este artículo. Esta operación puede producir problemas con el valor de la propiedad. Para evitar estos problemas, escriba el comando completo en el símbolo del sistema.

    Nota Este comando produce un error si la propiedad de metabase NTAuthenticationProviders no está definida. Para obtener más información, consulte la nota en esta sección.

    Si el proceso de negociación está habilitado, este comando devuelve la información siguiente:
    NTAuthenticationProviders: (Cadena) "Negotiate, NTLM"
    Nota De forma predeterminada, la propiedad de metabase NTAuthenticationProviders se establece en Negotiate, NTLM cuando se instala IIS 5.1 o IIS 5.0.
  4. Si el comando en el paso 3 no devuelve la cadena "Negotiate, NTLM," utilizar el comando siguiente para habilitar el proceso de negociación:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita el paso 3 para comprobar que se ha habilitado el proceso de negociación.


Nota Si recibe un error cuando intenta Compruebe que se ha habilitado el proceso de negociación, asegúrese de que no dejar un espacio entre "Negotiate" y "NTLM". Por ejemplo, "Negotiate, NTLM" difiere de "Negotiate, NTLM".

Puede deshabilitar el proceso de negociación para forzar IIS utilice NTLM el protocolo de autenticación de red. Este procedimiento impide que IIS utilicen el protocolo Kerberos. Para deshabilitar el proceso de negociación, utilice el comando siguiente.

Nota En este comando, "NTLM" debe ir en mayúsculas para evitar los efectos adversos.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Nota Para comprobar que el cambio se ha realizado correctamente, siempre Repita el paso 3 cuando se cambia este valor de la metabase.

Propiedades

Id. de artículo: 215383 - Última revisión: viernes, 19 de enero de 2007 - Versión: 7.1
La información de este artículo se refiere a:
  • Servicios de Microsoft Internet Information Server 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Palabras clave: 
kbmt kbhowtomaster kbhowto KB215383 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 215383

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com