ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法

文書翻訳 文書翻訳
文書番号: 215383 - 対象製品
この記事は、以前は次の ID で公開されていました: JP215383
重要 : この資料には、メタベースの編集方法が記載されています。万一に備えて、編集の前には必ずバックアップ コピーを作成して、復元できるようにしてください。バックアップ方法の詳細については、Microsoft 管理コンソール (MMC) のヘルプで「メタベースのバックアップと復元の方法」を参照してください。
すべて展開する | すべて折りたたむ

目次

概要

この資料では、ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように Microsoft インターネット インフォメーション サービス (IIS) を構成する方法について、手順を追って説明します。

統合 Windows 認証がクライアントの認証要求に使用されている場合、IIS は Negotiate セキュリティ ヘッダーを渡します。Negotiate セキュリティ ヘッダーは、クライアントが Kerberos 認証と NTLM 認証のいずれかを選択できるようにします。Negotiate プロセスでは、以下のいずれかの条件に該当する場合を除いて、Kerberos 認証が選択されます。
  • 認証に関係するいずれかのシステムで、Kerberos 認証を使用できない。
  • Kerberos 認証を使用するための十分な情報が、呼び出し側のアプリケーションから提供されない。
Negotiate プロセスでネットワーク認証に Kerberos プロトコルが選択されるようにするには、クライアント アプリケーションでサービス プリンシパル名 (SPN)、ユーザー プリンシパル名 (UPN)、または NetBIOS アカウント名をターゲット名として提供する必要があります。この情報が提供されない場合、Negotiate プロセスでは常に NTLM プロトコルが優先して選択されます。

Negotiate セキュリティ ヘッダーの設定

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

  • IIS 6.0 のインストール時、デフォルトでは、NTAuthenticationProviders メタベース プロパティは定義されません。NTAuthenticationProviders メタベース プロパティが定義されていない場合、IIS 6.0 は Negotiate,NTLM パラメータを使用します。したがって、デフォルト値を上書きする場合を除き、Negotiate,NTLM プロパティ値を使用して IIS を構成する必要はありません。
  • IIS 5.1 または IIS 5.0 のインストール時、デフォルトで、NTAuthenticationProviders メタベース プロパティが定義されます。NTAuthenticationProviders メタベース プロパティは Negotiate,NTLM パラメータを使用します。したがって、デフォルト値を上書きする場合を除き、Negotiate,NTLM プロパティ値を使用して IIS を構成する必要はありません。
IIS で Kerberos プロトコルと NTLM プロトコルの両方が確実にサポートされるようにするには、NTAuthenticationProviders メタベース プロパティに Negotiate セキュリティ ヘッダーが設定されていることを確認します。この設定を確認するには、使用している IIS のバージョンに応じて、適切な方法を使用します。

IIS 6.0 の場合

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、Enter キーを押します。
  2. Adsutil.vbs ファイルが含まれているディレクトリを見つけます。デフォルトでは、C:\Inetpub\Adminscripts ディレクトリです。
  3. 次のコマンドを使用して、NTAuthenticationProviders メタベース プロパティの現在の値を取得します。
    cscript adsutil.vbs get w3svc/WebSite/root/NTAuthenticationProviders
    このコマンドで、WebSite には Web サイトの ID 番号が入ります。デフォルトの Web サイトの ID 番号は 1 です。

    警告 : プロパティの設定に問題が発生する可能性があるため、この資料に記載されているコマンドをコピーしてコマンド プロンプトに貼り付けないでください。この問題を回避するには、コマンド プロンプトで、コマンドを完全に入力します。

    : NTAuthenticationProviders メタベース プロパティが定義されていない場合、このコマンドは失敗します。詳細については、このセクションで前述した「注」を参照してください。

    Negotiate プロセスが有効になっている場合、このコマンドは次の情報を返します。
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
  4. 手順 3. で実行したコマンドで文字列 "Negotiate,NTLM" が返されない場合は、次のコマンドを使用して Negotiate プロセスを有効にします。
    cscript adsutil.vbs set w3svc/WebSite/root/NTAuthenticationProviders "Negotiate,NTLM"
  5. 手順 3. をもう一度実行し、Negotiate プロセスが有効になっていることを確認します。
: Negotiate プロセスが有効になっていることを確認する際にエラーが表示される場合は、"Negotiate," と "NTLM" との間に空白がないことを確認します。たとえば、"Negotiate,NTLM" と "Negotiate, NTLM" とは別のものとして認識されます。

IIS 5.1 または IIS 5.0 の場合

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、Enter キーを押します。
  2. Adsutil.vbs ファイルが含まれているディレクトリを見つけます。デフォルトでは、C:\Inetpub\Adminscripts ディレクトリです。
  3. 次のコマンドを使用して、NTAuthenticationProviders メタベース プロパティの現在の値を取得します。
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    警告 : プロパティ設定に問題が発生する可能性があるため、この資料に記載されているコマンドをコピーしてコマンド プロンプトに貼り付けないでください。この問題を回避するには、コマンド プロンプトで、コマンドを完全に入力します。

    : NTAuthenticationProviders メタベース プロパティが定義されていない場合、このコマンドは失敗します。詳細については、このセクションで前述した「注」を参照してください。

    Negotiate プロセスが有効になっている場合、このコマンドは次の情報を返します。
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
    : IIS 5.1 または IIS 5.0 のインストール時、デフォルトで、NTAuthenticationProviders メタベース プロパティは Negotiate,NTLM に設定されます。
  4. 手順 3. で実行したコマンドで文字列 "Negotiate,NTLM" が返されない場合は、次のコマンドを使用して Negotiate プロセスを有効にします。
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
  5. 手順 3. をもう一度実行し、Negotiate プロセスが有効になっていることを確認します。


: Negotiate プロセスが有効になっていることを確認する際にエラーが表示される場合は、"Negotiate," と "NTLM" との間に空白がないことを確認します。たとえば、"Negotiate,NTLM" と "Negotiate, NTLM" とは別のものとして認識されます。

Negotiate プロセスを無効にすると、IIS でネットワーク認証に NTLM プロトコルが強制的に使用されるように設定できます。この操作により、IIS による Kerberos プロトコルの使用を回避できます。Negotiate プロセスを無効にするには、次のコマンドを使用します。

: コマンドでは、予期せぬ影響を避けるために "NTLM" は必ず大文字にします。
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
: このメタベース値を変更する場合は、必ず手順 3. をもう一度実行し、変更が正常に行われたことを確認してください。

プロパティ

文書番号: 215383 - 最終更新日: 2007年3月20日 - リビジョン: 7.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
キーワード:?
kbhowtomaster kbhowto KB215383
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com