Настройка служб IIS для поддержки протокола Kerberos и протокол NTLM для проверки подлинности в сети

Переводы статьи Переводы статьи
Код статьи: 215383 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важные Эта статья содержит сведения об изменении метабазы. Перед изменением метабазы убедитесь, что у вас есть резервная копия, которую можно восстановить в случае возникновения проблем. Сведения о том, как это сделать, обратитесь к разделу справки "Архивирование и восстановление конфигурации" консоли управления (MMC).
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается настройка Microsoft IIS (IIS) поддерживает протокол Kerberos и протокол NTLM для проверки подлинности в сети.

Службы IIS передают заголовок безопасности Negotiate при установке Windows Проверка подлинности используется для проверки подлинности запросов клиентов. Согласовать безопасность Заголовок позволяет клиентам Выбор между проверкой подлинности Kerberos и проверка подлинности NTLM. Процесс Negotiate выбирает Проверка подлинности Kerberos не одно из следующих условий:
  • Одной из систем, участвующих в Проверка подлинности не может использовать проверку подлинности Kerberos.
  • Вызывающее приложение не предоставляет достаточно сведения для проверки подлинности Kerberos.
Чтобы включить процесс согласования для выбора Необходимо указать протокол Kerberos для проверки подлинности сети, клиентское приложение имя участника службы (SPN), имя участника-пользователя (UPN) или учетная запись NetBIOS имя как имя целевой. В противном случае процесс согласования всегда выбирает протокол NTLM основной проверки подлинности.

Задать заголовок безопасности Negotiate

Предупреждение Некорректное изменение метабазы может привести к серьезным неполадкам, требующим переустановки программ, использующих метабазу. Корпорация Майкрософт не гарантирует, что проблемы из-за неправильного изменения метабазы, могут быть устранены. Производите изменения метабазы на ваш собственный риск.

Примечание Всегда создавайте резервную копию метабазы перед изменением.

Примечание
  • По умолчанию при установке IIS 6.0 свойство метабазы NTAuthenticationProviders не определен. IIS 6.0 использует параметр Negotiate, NTLM , если не определено свойство метабазы NTAuthenticationProviders . Таким образом нет необходимости настраивать IIS, чтобы использовать значение свойства Negotiate, NTLM , если значение по умолчанию был изменен.
  • По умолчанию при установке IIS 5.1 и IIS 5.0 определено свойство метабазы NTAuthenticationProviders . Это свойство метабазы используется параметр Negotiate, NTLM . Таким образом нет необходимости настраивать IIS, чтобы использовать значение свойства Negotiate, NTLM , если значение по умолчанию был изменен.
Чтобы убедиться, что сервер IIS поддерживает протокол Kerberos и протокол NTLM, необходимо убедиться, что заголовок безопасности Negotiate установлено Свойство метабазы NTAuthenticationProviders . Чтобы сделать это, используйте соответствующий метод для версии IIS, у вас есть.

IIS 6.0

  1. Нажмите кнопку Пуск, нажмите кнопку Запуск, Тип cmd, а затем нажмите клавишу ВВОД.
  2. Перейдите в каталог, содержащий файл Adsutil.vbs. По по умолчанию этот каталог находится в C:\Inetpub\Adminscripts.
  3. Используйте следующую команду для извлечения текущего значения для свойства метабазы NTAuthenticationProviders :
    cscript adsutil.vbs получить w3svc /Веб-сайт/ root/NTAuthenticationProviders
    В этой команде Веб-сайт — Это идентификатор веб-узла. Номер идентификатора веб-узла веб-узла по умолчанию равен 1.

    Предупреждение Выполняет операцию копирования и вставки, чтобы вставить команду в данной статье. Эта операция может вызвать проблемы с параметрами свойства. Чтобы избежать этих проблем, введите полностью команду в командной строке.

    Примечание Эта команда не выполняется, если не определено свойство метабазы NTAuthenticationProviders . Для получения дополнительных сведений см. Примечание выше в этом разделе.

    Если процесс Negotiate включен, эта команда возвращает следующую информацию:
    NTAuthenticationProviders: (STRING) «Negotiate, NTLM»
  4. Если команда в шаге 3 возвращает строку «Согласование, NTLM,» следующую команду, чтобы разрешить согласование процесс:
    cscript adsutil.vbs задайте w3svc /Веб-сайт/ root/NTAuthenticationProviders «Согласование, NTLM»
  5. Повторите шаг 3, чтобы убедиться в том, что процесс согласования был включена.
Примечание Если при попытке проверить, что процесс Negotiate включен, появляется сообщение об ошибке, убедитесь в отсутствии пробелов между "Negotiate" и "NTLM". Например "Negotiate,NTLM" отличается от "Negotiate, NTLM".

Службы IIS 5.1 или IIS 5.0

  1. Нажмите кнопку Пуск, нажмите кнопку Запуск, Тип cmd, а затем нажмите клавишу ВВОД.
  2. Перейдите в каталог, содержащий файл Adsutil.vbs. По по умолчанию этот каталог находится в C:\Inetpub\Adminscripts.
  3. Используйте следующую команду для извлечения текущего значения для свойства метабазы NTAuthenticationProviders :
    get adsutil.vbs cscript w3svc/NTAuthenticationProviders
    Предупреждение Выполняет операцию копирования и вставки, чтобы вставить команду в данной статье. Эта операция может вызвать проблемы с параметрами свойства. Чтобы избежать этих проблем, введите полностью команду в командной строке.

    Примечание Эта команда не выполняется, если не определено свойство метабазы NTAuthenticationProviders . Для получения дополнительных сведений см. Примечание выше в этом разделе.

    Если процесс Negotiate включен, эта команда возвращает следующую информацию:
    NTAuthenticationProviders: (STRING) «Negotiate, NTLM»
    Примечание По умолчанию свойства метабазы NTAuthenticationProviders значение Negotiate, NTLM при установке IIS 5.1 или IIS 5.0.
  4. Если команда в шаге 3 возвращает строку «Согласование, NTLM,» следующую команду, чтобы разрешить согласование процесс:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
  5. Повторите шаг 3, чтобы убедиться в том, что процесс согласования был включена.


Примечание Если при попытке проверить, что процесс Negotiate включен, появляется сообщение об ошибке, убедитесь в отсутствии пробелов между "Negotiate" и "NTLM". Например "Negotiate,NTLM" отличается от "Negotiate, NTLM".

Можно отключить процесс согласования заставить IIS на использование NTLM протокол проверки подлинности в сети. Эта процедура не позволяет службам IIS с помощью протокола Kerberos. Чтобы отключить процесс согласования Используйте следующую команду.

Примечание В этой команде «NTLM» должны быть прописными во избежание последствий.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Примечание Для Убедитесь, что изменения были успешно внесены, повторяйте шаг 3, при изменении значений метабазы.

Свойства

Код статьи: 215383 - Последний отзыв: 30 декабря 2012 г. - Revision: 8.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 6.0
Ключевые слова: 
kbhowtomaster kbhowto kbmt KB215383 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 215383

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com