Come configurare IIS per supportare il protocollo Kerberos e il protocollo NTLM per l'autenticazione di rete

Traduzione articoli Traduzione articoli
Identificativo articolo: 215383 - Visualizza i prodotti a cui si riferisce l?articolo.
importante Vengono fornite informazioni su come modificare la metabase. Prima di modificare la metabase, verificare di avere a disposizione una copia di backup poter ripristinare se si verifica un problema. Per informazioni su come effettuare questa operazione, vedere "backup o ripristino configurazione" della Guida in Microsoft Management Console (MMC).
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come configurare Microsoft Internet Information Services (IIS) per supportare il protocollo Kerberos e il protocollo NTLM per l'autenticazione di rete.

Quando richiede per autenticare il client viene utilizzato il autenticazione integrata di Windows, IIS passa l'intestazione di protezione Negotiate. Client selezionare la negoziazione protezione intestazione consente tra l'autenticazione Kerberos e l'autenticazione NTLM. Il processo di negoziazione seleziona l'autenticazione Kerberos, a meno che uno o pi¨ delle seguenti condizioni Ŕ true:
  • Non uno dei sistemi coinvolti nell'autenticazione possibile utilizzare l'autenticazione Kerberos.
  • L'applicazione chiamante non fornisce informazioni sufficienti per l'utilizzo dell'autenticazione Kerberos.
Per abilitare il processo di negoziazione selezionare il protocollo Kerberos per l'autenticazione di rete, l'applicazione client necessario fornire un nome principale servizio (SPN), un nome principale utente (UPN) o un nome di account di NetBIOS come il nome di destinazione. In caso contrario, il processo di negoziazione seleziona sempre il protocollo NTLM come metodo di autenticazione preferito.

Impostare l'intestazione di protezione Negotiate

avviso Se si modifica la metabase in modo non corretto, si pu˛ causare problemi gravi che potrebbero richiedere la reinstallazione dei prodotti che utilizzano la metabase. Microsoft non garantisce che i problemi derivanti se si modifica in modo non corretto della metabase possano essere risolti. La modifica della metabase a proprio rischio.

Nota Eseguire sempre il backup della metabase prima di modificarlo.

Nota
  • Per impostazione predefinita, la proprietÓ della metabase NTAuthenticationProviders non Ŕ definita quando si installa IIS 6.0. IIS 6.0 utilizza il parametro di Negotiate, NTLM quando la proprietÓ della metabase NTAuthenticationProviders non Ŕ definita. Di conseguenza, non Ŕ necessario configurare IIS affinchÚ utilizzi il valore della proprietÓ Negotiate, NTLM , a meno che non Ŕ stato sovrascritto il valore predefinito.
  • In base all'impostazione predefinita, la proprietÓ della metabase NTAuthenticationProviders viene definita quando si installa IIS 5.1 e IIS 5.0. Questa proprietÓ della metabase viene utilizzato il parametro Negotiate, NTLM . Di conseguenza, non Ŕ necessario configurare IIS affinchÚ utilizzi il valore della proprietÓ Negotiate, NTLM , a meno che non Ŕ stato sovrascritto il valore predefinito.
Per assicurarsi che IIS supporta il protocollo Kerberos e il protocollo NTLM, Ŕ necessario confermare che l'intestazione di protezione Negotiate Ŕ impostato nella proprietÓ della metabase NTAuthenticationProviders . Per effettuare questa operazione, utilizzare il metodo appropriato per la versione di IIS che si dispone.

IIS 6.0

  1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi premere INVIO.
  2. Individuare la directory che contiene il file Adsutil.vbs. Per impostazione predefinita, questa directory Ŕ C:\Inetpub\Adminscripts.
  3. Utilizzare il comando seguente per recuperare i valori correnti di proprietÓ della metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc / WebSite Web/root/NTAuthenticationProviders
    In questo comando, il WebSite Ŕ un segnaposto per il numero ID di sito Web. Il numero di ID di sito Web del sito Web predefinito Ŕ 1.

    avviso Non eseguire un'operazione di copia e Incolla per incollare il comando da questo articolo. Questa operazione potrebbe causare problemi con l'impostazione della proprietÓ. Per evitare questi problemi, digitare il comando intero comando al prompt dei comandi.

    Nota Questo comando non riesce se la proprietÓ della metabase NTAuthenticationProviders non definita. Per ulteriori informazioni, vedere la nota di questa sezione.

    Se il processo di negoziazione Ŕ attivato, questo comando restituisce le informazioni seguenti:
    NTAuthenticationProviders: (Stringa) "Negotiate, NTLM"
  4. Se il comando nel passaggio 3 non viene restituita la stringa "Negotiate, NTLM," Ŕ possibile utilizzare il seguente comando per attivare il processo di negoziazione:
    cscript adsutil.vbs set w3svc / WebSite Web/root/NTAuthenticationProviders "Negotiate, NTLM"
  5. Ripetere il passaggio 3 per verificare che il processo di negoziazione Ŕ stato attivato.
Nota Se viene visualizzato un messaggio di errore quando si tenta di verificare che il processo di negoziazione Ŕ stato attivato, assicurarsi che non lasciare uno spazio tra "Negotiate" e "NTLM". Ad esempio, "Negotiate, NTLM" Ŕ diverso da "Negotiate, NTLM".

IIS 5.1 o IIS 5.0

  1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi premere INVIO.
  2. Individuare la directory che contiene il file Adsutil.vbs. Per impostazione predefinita, questa directory Ŕ C:\Inetpub\Adminscripts.
  3. Utilizzare il comando seguente per recuperare i valori correnti di proprietÓ della metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    avviso Non eseguire un'operazione di copia e Incolla per incollare il comando da questo articolo. Questa operazione potrebbe causare problemi con l'impostazione della proprietÓ. Per evitare questi problemi, digitare il comando intero comando al prompt dei comandi.

    Nota Questo comando non riesce se la proprietÓ della metabase NTAuthenticationProviders non definita. Per ulteriori informazioni, vedere la nota di questa sezione.

    Se il processo di negoziazione Ŕ attivato, questo comando restituisce le informazioni seguenti:
    NTAuthenticationProviders: (Stringa) "Negotiate, NTLM"
    Nota Per impostazione predefinita, la proprietÓ di metabase NTAuthenticationProviders Ŕ impostata su Negotiate, NTLM , in quando si installa IIS 5.1 o IIS 5.0.
  4. Se il comando nel passaggio 3 non viene restituita la stringa "Negotiate, NTLM," Ŕ possibile utilizzare il seguente comando per attivare il processo di negoziazione:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate, NTLM"
  5. Ripetere il passaggio 3 per verificare che il processo di negoziazione Ŕ stato attivato.


Nota Se viene visualizzato un messaggio di errore quando si tenta di verificare che il processo di negoziazione Ŕ stato attivato, assicurarsi che non lasciare uno spazio tra "Negotiate" e "NTLM". Ad esempio, "Negotiate, NTLM" Ŕ diverso da "Negotiate, NTLM".

╚ possibile disattivare il processo di negoziazione per forzare il NTLM protocollo per l'autenticazione di rete. Questa procedura impedisce l'utilizzo del protocollo Kerberos in IIS. Per disattivare il processo di negoziazione, utilizzare il comando riportato di seguito.

Nota In questo comando "NTLM" deve essere maiuscolo per evitare effetti negativi.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Nota Per verificare che la modifica Ŕ stata effettuata correttamente, Ŕ sempre ripetere il passaggio 3 quando si modifica questo valore di metabase.

ProprietÓ

Identificativo articolo: 215383 - Ultima modifica: venerdý 19 gennaio 2007 - Revisione: 7.1
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Chiavi:á
kbmt kbhowtomaster kbhowto KB215383 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 215383
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com