Como configurar o IIS para oferecer suporte ao protocolo Kerberos e o protocolo NTLM para autenticação de rede

ID do artigo: 215383 - Exibir os produtos aos quais esse artigo se aplica.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
importante Este artigo contém informações sobre como editar a metabase. Antes de editar a metabase, verifique se você tem uma cópia de backup que você pode restaurar se ocorrer um problema. Para obter informações sobre como fazer isso, consulte o tópico da Ajuda "backup/restauração de configuração" no Microsoft Management Console (MMC).
Expandir tudo | Recolher tudo

Nesta página

Sumário

Este artigo passo a passo descreve como configurar o Microsoft (IIS) para oferecer suporte o protocolo Kerberos e o protocolo NTLM para autenticação de rede.

IIS passa o cabeçalho de segurança Negotiate quando solicitações de autenticação é usada para autenticar o cliente integrada do Windows. Negociar segurança cabeçalho permite que clientes Selecione entre a autenticação Kerberos e a autenticação NTLM. O processo de negociação seleciona a autenticação Kerberos, a menos que uma das seguintes condições seja verdadeira:
  • Um dos sistemas está envolvido na autenticação não é possível usar a autenticação Kerberos.
  • O aplicativo de chamada não fornece informações suficientes para usar a autenticação Kerberos.
Para ativar o processo de negociação selecionar o protocolo Kerberos para autenticação de rede, o aplicativo cliente deve fornecer um nome principal de serviço (SPN), um nome de usuário principal (UPN) ou um nome de conta de NetBIOS como o nome de destino. Caso contrário, o processo de negociação sempre seleciona o protocolo NTLM como o método de autenticação preferencial.

Definir o cabeçalho de segurança Negotiate

Aviso Se você editar a metabase incorretamente, você pode causar problemas sérios que podem exigir que você reinstale qualquer produto que usa a metabase. A Microsoft não garante que problemas resultantes se você editar incorretamente a metabase podem ser solucionados. Edite a metabase de sua responsabilidade.

Observação Sempre fazer backup da metabase antes de editá-lo.

Observação
  • Por padrão, a propriedade de metabase NTAuthenticationProviders não é definida quando você instala o IIS 6.0. O IIS 6.0 usa o parâmetro Negociar, NTLM quando a propriedade de metabase NTAuthenticationProviders não for definida. Portanto, não é necessário configurar o IIS para usar o valor da propriedade Negotiate, NTLM , a menos que o valor padrão foi substituído.
  • Por padrão, a propriedade de metabase NTAuthenticationProviders é definida quando você instala o IIS 5.1 e IIS 5.0. Essa propriedade da metabase usa o parâmetro Negociar, NTLM . Portanto, não é necessário configurar o IIS para usar o valor da propriedade Negotiate, NTLM , a menos que o valor padrão foi substituído.
Para certificar-se de que o IIS oferece suporte ao protocolo Kerberos e o protocolo NTLM, você deve confirmar que o cabeçalho de segurança Negotiate está definido na propriedade de metabase NTAuthenticationProviders . Para fazer isso, use o método apropriado para a versão do IIS que você tem.

IIS 6.0

  1. Clique em Iniciar , clique em Executar , digite cmd e pressione ENTER.
  2. Localize a pasta que contém o arquivo Adsutil.vbs. Por padrão, esse diretório é C:\inetpub\adminscripts.
  3. Use o comando a seguir para recuperar os valores atuais para a propriedade de metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc / WebSite site/raiz/NTAuthenticationProviders
    Neste comando, o WebSite é um espaço reservado para o número de identificação de site. O número de identificação de site do site da Web padrão é 1.

    Aviso Não execute uma operação copiar-e-colar para colar o comando a partir deste artigo. Esta operação pode causar problemas com a configuração da propriedade. Para evitar esses problemas, digite o comando inteiro em um prompt de comando.

    Observação Este comando falhará se a propriedade de metabase NTAuthenticationProviders não está definida. Para obter mais informações, consulte a observação anterior desta seção.

    Se o processo de negociação estiver habilitado, esse comando retornará as informações a seguir:
    NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
  4. Se o comando na etapa 3 não retornar a seqüência de caracteres "Negotiate, NTLM," use o seguinte comando para ativar o processo de negociação:
    cscript adsutil.vbs set w3svc / WebSite site/raiz/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita a etapa 3 Verifique se o processo de negociação foi ativado.
Observação Se você receber um erro ao tentar Verifique se o processo de negociação foi ativado, certifique-se que você não deixar um espaço entre "Negociar" e "NTLM". Por exemplo, "Negotiate, NTLM" difere "Negotiate, NTLM".

O IIS 5.1 ou IIS 5.0

  1. Clique em Iniciar , clique em Executar , digite cmd e pressione ENTER.
  2. Localize a pasta que contém o arquivo Adsutil.vbs. Por padrão, esse diretório é C:\inetpub\adminscripts.
  3. Use o comando a seguir para recuperar os valores atuais para a propriedade de metabase NTAuthenticationProviders :
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Aviso Não execute uma operação copiar-e-colar para colar o comando a partir deste artigo. Esta operação pode causar problemas com a configuração da propriedade. Para evitar esses problemas, digite o comando inteiro em um prompt de comando.

    Observação Este comando falhará se a propriedade de metabase NTAuthenticationProviders não está definida. Para obter mais informações, consulte a observação anterior desta seção.

    Se o processo de negociação estiver habilitado, esse comando retornará as informações a seguir:
    NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
    Observação Por padrão, a propriedade de metabase NTAuthenticationProviders é definida como Negotiate, NTLM quando você instala o IIS 5.1 ou IIS 5.0.
  4. Se o comando na etapa 3 não retornar a seqüência de caracteres "Negotiate, NTLM," use o seguinte comando para ativar o processo de negociação:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita a etapa 3 Verifique se o processo de negociação foi ativado.


Observação Se você receber um erro ao tentar Verifique se o processo de negociação foi ativado, certifique-se que você não deixar um espaço entre "Negociar" e "NTLM". Por exemplo, "Negotiate, NTLM" difere "Negotiate, NTLM".

Você pode desativar o processo de negociação para forçar o IIS para usar o NTLM protocolo para autenticação de rede. Esse procedimento impede que o IIS usem o protocolo Kerberos. Para desativar o processo de negociação, use o comando a seguir.

Observação Este comando, "NTLM" deve ser maiúscula para evitar qualquer efeito adverso.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Observação Para verificar que a alteração foi feita com êxito, sempre Repita a etapa 3 quando você alterar esse valor de metabase.
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 215383 - Última revisão: sexta-feira, 19 de janeiro de 2007 - Revisão: 7.1
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbhowtomaster kbhowto KB215383 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 215383
(http://support.microsoft.com/kb/215383/en-us/ )
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início