วิธีการกำหนดค่า IIS เพื่อสนับสนุนโพรโทคอล Kerberos และโพรโทคอล NTLM สำหรับการรับรองความถูกต้องของเครือข่าย

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 215383 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
สิ่งสำคัญบทความนี้ประกอบด้วยข้อมูลเกี่ยวกับวิธีการแก้ไข metabase ก่อนที่คุณแก้ไขการ metabase ตรวจสอบว่า คุณมีสำเนาสำรองที่คุณสามารถคืนค่าหากเกิดปัญหา สำหรับข้อมูลเกี่ยวกับวิธีการทำเช่นนี้ ให้ดูที่หัวข้อวิธีใช้ "การกำหนดค่าสำรอง ข้อมูล/Restore " ใน Microsoft Management Console (MMC)
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

บทความที่มีการทีละขั้นตอนนี้อธิบายวิธีการตั้งค่าคอนฟิกของ Microsoft ข้อมูลบริการทางอินเทอร์เน็ต (IIS) เพื่อสนับสนุนโพรโทคอล Kerberos และโพรโทคอล NTLM สำหรับการรับรองความถูกต้องของเครือข่าย

iis ส่งผ่านหัวข้อการรักษาความปลอดภัย Negotiate เมื่อ Windows แบบรวมที่มีใช้การรับรองความถูกต้องการการรับรองความถูกต้องของไคลเอ็นต์ร้องขอ การ Negotiate ความปลอดภัยหัวข้อให้ไคลเอนต์เลือกระหว่างการรับรองความถูกต้องของ Kerberos และการรับรองความถูกต้องของ NTLM กระบวนการ Negotiate เลือกการรับรองความถูกต้องของ Kerberos เว้นแต่มีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • ระบบที่เกี่ยวข้องกับการรับรองความถูกต้องอย่างใดอย่างหนึ่งไม่สามารถใช้การรับรองความถูกต้องของ Kerberos
  • โปรแกรมประยุกต์ที่เรียกไม่ได้ให้ข้อมูลเพียงพอที่จะใช้การรับรองความถูกต้องของ Kerberos
เมื่อต้องการเปิดใช้งานการประมวลผล Negotiate เพื่อเลือกโพรโทคอล Kerberos สำหรับการรับรองความถูกต้องของเครือข่าย แอพลิเคชันไคลเอนต์ต้องให้การบริการชื่อหลัก (SPN), หลักชื่อผู้ใช้ (UPN), หรือชื่อบัญชี NetBIOS เป็นชื่อเป้าหมาย มิฉะนั้น กระบวนการ Negotiate เสมอเลือกโพรโทคอล NTLM เป็นวิธีการรับรองความถูกต้องที่ต้องการ

การตั้งค่าหัวข้อการรักษาความปลอดภัย Negotiate

คำเตือนถ้าคุณแก้ไข metabase ไม่ถูกต้อง คุณสามารถทำให้เกิดปัญหาร้ายแรงซึ่งอาจทำให้ติดตั้งผลิตภัณฑ์ที่ใช้ metabase แบบใหม่ Microsoft ไม่สามารถรับประกันว่า ปัญหาที่ได้ถ้าคุณได้แก้ไข metabase ไม่ถูกต้องสามารถแก้ไข แก้ไข metabase ของคุณต้องยอมรับความเสี่ยง

หมายเหตุ:เสมอสำรอง metabase นี้ก่อนที่คุณแก้ไข

หมายเหตุ:
  • โดยค่าเริ่มต้น การNTAuthenticationProvidersคุณสมบัติ metabase ไม่ถูกกำหนดเมื่อคุณติดตั้ง IIS 6.0 IIS 6.0 ใช้นั้นเจรจา NTLMพารามิเตอร์เมื่อนั้นNTAuthenticationProvidersไม่มีกำหนดคุณสมบัติ metabase ดังนั้น คุณไม่ต้องการตั้งค่าคอนฟิก IIS ให้ใช้การเจรจา NTLMคุณสมบัติค่านอกจากการเขียนทับค่าเริ่มต้น
  • โดยค่าเริ่มต้น การNTAuthenticationProvidersมีกำหนดคุณสมบัติ metabase เมื่อคุณติดตั้ง IIS 5.1 และ IIS 5.0 คุณสมบัติ metabase นี้ใช้นั้นเจรจา NTLMพารามิเตอร์ ดังนั้น คุณไม่ต้องการตั้งค่าคอนฟิก IIS ให้ใช้การเจรจา NTLMคุณสมบัติค่านอกจากการเขียนทับค่าเริ่มต้น
เมื่อต้องการตรวจสอบให้แน่ใจว่า IIS สนับสนุนทั้งโพรโทคอล Kerberos และโพรโทคอล NTLM คุณต้องยืนยันว่า มีกำหนดหัวข้อการรักษาความปลอดภัย Negotiate ในนั้นNTAuthenticationProvidersคุณสมบัติ metabase เมื่อต้องการทำเช่นนี้ ใช้วิธีการที่เหมาะสมสำหรับรุ่นของ IIS ที่คุณได้

IIS 6.0:

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว กด ENTER
  2. ค้นหาไดเรกทอรีที่ประกอบด้วยแฟ้ม Adsutil.vbs โดยค่าเริ่มต้น ไดเรกทอรีนี้คือ C:\Inetpub\Adminscripts
  3. ใช้คำสั่งต่อไปนี้เพื่อเรียกคืนค่าปัจจุบันสำหรับการNTAuthenticationProvidersคุณสมบัติ metabase:
    cscript adsutil.vbs รับ w3svc /เว็บไซต์ราก/NTAuthenticationProviders
    ในคำสั่งนี้เว็บไซต์ตัวยึดสำหรับหมายเลขรหัสของเว็บไซต์ได้ หมายเลขรหัสของเว็บไซต์ของเว็บไซต์เริ่มต้นคือ 1

    คำเตือนห้ามทำการดำเนินการคัดลอก และวางจะวางคำสั่งจากบทความนี้ การดำเนินการนี้อาจทำให้ตัดสินค้าจากคลังกับการตั้งค่าคุณสมบัติ เมื่อต้องการหลีกเลี่ยงปัญหาเหล่านี้ พิมพ์คำสั่งทั้งหมดที่พร้อมรับคำสั่ง

    หมายเหตุ:คำสั่งนี้ไม่สำเร็จหากการNTAuthenticationProvidersไม่มีกำหนดคุณสมบัติ metabase สำหรับข้อมูลเพิ่มเติม ให้ดูที่บันทึกไว้ก่อนหน้านี้ในส่วนนี้

    ถ้ามีการเปิดใช้งาน กระบวนการ Negotiate คำสั่งนี้ส่งกลับข้อมูลต่อไปนี้:
    NTAuthenticationProviders: (สตริงที่) "เจรจา NTLM"
  4. หากคำสั่งในขั้นตอนที่ 3 ไม่เกิดสตริ "Negotiate, NTLM ใช้คำสั่งต่อไปนี้เพื่อเปิดการใช้งานของกระบวนการ Negotiate:
    การตั้งค่า cscript adsutil.vbs w3svc /เว็บไซต์ราก/NTAuthenticationProviders "Negotiate, NTLM"
  5. ทำซ้ำขั้นตอนที่ 3 เพื่อตรวจสอบว่า กระบวนการ Negotiate ถูกเปิดใช้งาน
หมายเหตุ:ถ้าคุณได้รับข้อความแสดงข้อผิดพลาดเมื่อคุณพยายามตรวจสอบว่า กระบวนการ Negotiate ถูกเปิดใช้งาน ตรวจสอบให้แน่ใจว่า คุณจึงไม่เว้นช่องว่างระหว่าง "เจรจา" และ "NTLM" แตกตัวอย่างเช่น "Negotiate, NTLM" ต่างจาก "Negotiate, NTLM

iis 5.1 หรือ IIS 5.0

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว กด ENTER
  2. ค้นหาไดเรกทอรีที่ประกอบด้วยแฟ้ม Adsutil.vbs โดยค่าเริ่มต้น ไดเรกทอรีนี้คือ C:\Inetpub\Adminscripts
  3. ใช้คำสั่งต่อไปนี้เพื่อเรียกคืนค่าปัจจุบันสำหรับการNTAuthenticationProvidersคุณสมบัติ metabase:
    cscript adsutil.vbs รับ w3svc/NTAuthenticationProviders
    คำเตือนห้ามทำการดำเนินการคัดลอก และวางจะวางคำสั่งจากบทความนี้ การดำเนินการนี้อาจทำให้ตัดสินค้าจากคลังกับการตั้งค่าคุณสมบัติ เมื่อต้องการหลีกเลี่ยงปัญหาเหล่านี้ พิมพ์คำสั่งทั้งหมดที่พร้อมรับคำสั่ง

    หมายเหตุ:คำสั่งนี้ไม่สำเร็จหากการNTAuthenticationProvidersไม่มีกำหนดคุณสมบัติ metabase For more information, see the note earlier in this section.

    If the Negotiate process is enabled, this command returns the following information:
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
    หมายเหตุ:โดยค่าเริ่มต้น การNTAuthenticationProvidersmetabase property is set toNegotiate,NTLMwhen you install IIS 5.1 or IIS 5.0.
  4. If the command in step 3 does not return the string "Negotiate,NTLM," use the following command to enable the Negotiate process:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
  5. Repeat step 3 to verify that the Negotiate process has been enabled.


หมายเหตุ:If you receive an error when you try to verify that the Negotiate process has been enabled, make sure that you did not leave a space between "Negotiate" and "NTLM." For example, "Negotiate,NTLM" differs from "Negotiate, NTLM."

You can disable the Negotiate process to force IIS to use the NTLM protocol for network authentication. This procedure prevents IIS from using the Kerberos protocol. To disable the Negotiate process, use the following command.

หมายเหตุ:In this command, "NTLM" must be uppercase to avoid any adverse effects.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
หมายเหตุ:To verify that the change has been made successfully, always repeat step 3 when you change this metabase value.

คุณสมบัติ

หมายเลขบทความ (Article ID): 215383 - รีวิวครั้งสุดท้าย: 8 มกราคม 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Internet Information Services 6.0
Keywords: 
kbhowtomaster kbhowto kbmt KB215383 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:215383

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com