Como configurar o IIS para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede

Traduções de Artigos Traduções de Artigos
Artigo: 215383 - Ver produtos para os quais este artigo se aplica.
importante Este artigo contém informações sobre como editar a metabase. Antes de editar a metabase, verifique se tem uma cópia de segurança que pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar este procedimento, consulte o tópico de ajuda "configuração de cópia de segurança/restauro" na consola de gestão da Microsoft.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo passo a passo descreve como configurar o Microsoft Internet Information Services (IIS) para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede.

IIS transmite o cabeçalho de segurança Negociar quando pedidos de autenticação é utilizada para autenticar o cliente integrada do Windows. Negociar segurança cabeçalho permite que os clientes seleccione entre a autenticação Kerberos e a autenticação NTLM. O processo de negociar selecciona a autenticação Kerberos, a menos que uma das seguintes condições verdadeira:
  • Um dos sistemas que está envolvido na autenticação não pode utilizar a autenticação Kerberos.
  • Aplicação de chamada não fornece informações suficientes para utilizar a autenticação Kerberos.
Para activar o processo de Negotiate seleccionar o protocolo Kerberos para autenticação de rede, a aplicação cliente forneça um nome principal de serviço (SPN), um nome de principal de utilizador (UPN) ou um nome de conta de NetBIOS como o nome de destino. Caso contrário, o processo de negociar sempre selecciona o protocolo NTLM como o método de autenticação preferido.

Definir o cabeçalho de segurança Negotiate

aviso Se editar a metabase incorrectamente, poderá provocar problemas graves que poderão forçar a reinstalação de qualquer produto que utiliza a metabase. Microsoft não garante que problemas resultantes da incorrecta editar a metabase podem ser resolvidos. Edite a metabase por sua conta e risco.

Nota Sempre uma cópia da metabase antes de o editar de segurança.

Nota
  • Por predefinição, a propriedade de metabase NTAuthenticationProviders não está definida quando instala o IIS 6.0. O IIS 6.0 utiliza o parâmetro Negotiate, NTLM quando a propriedade de metabase NTAuthenticationProviders não está definida. Por conseguinte, não é necessário configurar o IIS para utilizar o valor da propriedade Negotiate, NTLM , a menos o valor predefinido foi substituído.
  • Por predefinição, a propriedade de metabase NTAuthenticationProviders é definida quando instala o IIS 5.1 e IIS 5.0. Esta propriedade da metabase utiliza o parâmetro Negotiate, NTLM . Por conseguinte, não é necessário configurar o IIS para utilizar o valor da propriedade Negotiate, NTLM , a menos o valor predefinido foi substituído.
Para se certificar de que o IIS suporta o protocolo Kerberos e o protocolo NTLM, tem de confirmar que o cabeçalho de segurança Negociar está definido na propriedade da metabase NTAuthenticationProviders . Para o fazer, utilize o método adequado para a versão do IIS que tiver.

IIS 6.0

  1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, prima ENTER.
  2. Localize o directório que contém o ficheiro Adsutil.vbs. Por predefinição, este directório é C:\Inetpub\Adminscripts.
  3. Utilize o seguinte comando para obter os valores actuais para a propriedade de metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc / WebSite WebSite/raiz/NTAuthenticationProviders
    Neste comando, WebSite é um marcador de posição do número de ID de Web site. O número de ID de Web site de Web site predefinido é 1.

    aviso Não efectue uma operação de copiar e colar para colar o comando a partir deste artigo. Esta operação pode causar problemas com a definição da propriedade. Para evitar estes problemas, escreva o comando completo numa linha de comandos.

    Nota Este comando falha se a propriedade de metabase NTAuthenticationProviders não está definida. Para mais informações, consulte a nota anterior desta secção.

    Se o processo de negociar estiver activado, este comando devolve as seguintes informações:
    NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
  4. Se o comando no passo 3 não devolve a cadeia "Negotiate, NTLM," Utilize o seguinte comando para activar o processo de negociar:
    cscript adsutil.vbs set w3svc / WebSite WebSite/raiz/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita o passo 3 para verificar se o processo de negociar foi activado.
Nota Se receber um erro quando tenta verificar se o processo de negociar foi activado, certifique-se de que não deixou um espaço entre "Negotiate" e "NTLM". Por exemplo, "Negotiate, NTLM" difere "Negotiate, NTLM."

O IIS 5.1 ou IIS 5.0

  1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, prima ENTER.
  2. Localize o directório que contém o ficheiro Adsutil.vbs. Por predefinição, este directório é C:\Inetpub\Adminscripts.
  3. Utilize o seguinte comando para obter os valores actuais para a propriedade de metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    aviso Não efectue uma operação de copiar e colar para colar o comando a partir deste artigo. Esta operação pode causar problemas com a definição da propriedade. Para evitar estes problemas, escreva o comando completo numa linha de comandos.

    Nota Este comando falha se a propriedade de metabase NTAuthenticationProviders não está definida. Para mais informações, consulte a nota anterior desta secção.

    Se o processo de negociar estiver activado, este comando devolve as seguintes informações:
    NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
    Nota Por predefinição, a propriedade de metabase NTAuthenticationProviders está definida para Negociar, NTLM quando instala o IIS 5.1 ou IIS 5.0.
  4. Se o comando no passo 3 não devolve a cadeia "Negotiate, NTLM," Utilize o seguinte comando para activar o processo de negociar:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita o passo 3 para verificar se o processo de negociar foi activado.


Nota Se receber um erro quando tenta verificar se o processo de negociar foi activado, certifique-se de que não deixou um espaço entre "Negotiate" e "NTLM". Por exemplo, "Negotiate, NTLM" difere "Negotiate, NTLM."

Pode desactivar o processo de Negotiate para forçar o IIS para utilizar o NTLM protocolo para autenticação de rede. Este procedimento impede que o IIS utilizem o protocolo Kerberos. Para desactivar o processo de negociar, utilize o seguinte comando.

Nota Este comando, "NTLM" tem de estar em maiúsculas para evitar quaisquer efeitos adversos.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Nota Para verificar que a alteração foi efectuada com êxito, sempre Repita o passo 3 quando alterar este valor da metabase.

Propriedades

Artigo: 215383 - Última revisão: 19 de janeiro de 2007 - Revisão: 7.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbhowtomaster kbhowto KB215383 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 215383

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com