IIS 4.0 から IIS 5.0 にアップグレードした後、Kerberos 認証が失敗する

文書翻訳 文書翻訳
文書番号: 248350 - 対象製品
この記事は、以前は次の ID で公開されていました: JP248350
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
重要 : この資料には、メタベースの編集に関する情報が含まれています。メタベースを編集する前に、問題が発生した場合に備えて、復元用のバックアップ コピーを取っておいてください。バックアップ コピーの方法の詳細については、Microsoft Management Console (MMC) のヘルプ トピック「Configuration Backup/Restore」を参照してください。
すべて展開する | すべて折りたたむ

現象

Internet Information Server 4.0 (IIS 4.0) がインストールされている Windows NT Server 4.0 のコンピュータを、インターネット インフォメーション サービス 5.0 (IIS 5.0) をインストールした Windows 2000 にアップグレードすると、Kerberos 認証が失敗します。Windows 統合認証が選択されていても、Web サーバーでは Negotiate 認証方法が使用されない可能性があります。

ネットワーク モニタを使用してリモート クライアント コンピュータからネットワーク トレースを行うと、通常、クライアントに送信される WWW-Authenticate ヘッダーに次の内容が表示されます。
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
Windows NT 4.0 から Windows 2000 にアップグレードしたコンピュータで同様のネットワーク トレースを行うと、クライアントに送信される NTLM WWW-Authenticate ヘッダーのみが表示されます (Negotiate はクライアントに送信されません)。たとえば、次のように表示されます。
WWW-Authenticate: NTLM

原因

IIS 4.0 で使用されていたデフォルトの認証方法を保持するために、NTAuthenticationProviders 用のメタベース設定が変更されませんでした。このメタベース キー用のデフォルトは、IIS 4.0 では "NTLM" です。しかし、IIS 5.0 では、新しい Negotiate 認証方法が "Negotiate,NTLM" を使用できるようにするために、このデフォルトが変更されています。

Windows 2000 を、アップグレードではなく新規にインストールした場合、メタベース キーには IIS 5.0 のデフォルトである "Negotiate,NTLM" が反映されます。

解決方法

この問題を解決するには、メタベースを編集する必要があります。

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

NTAuthenticationProviders の値を変更するには、以下の手順を実行します。
  1. コマンド プロンプト (Cmd.exe) を開きます。
  2. ディレクトリを c:\inetpub\adminscripts に変更します。このパスは、デフォルトのパスです。コンテンツ エリアの変更や別ドライブへのインストールを行った場合には、該当するディレクトリに変更します。
  3. NTAuthenticationProviders の値を調べるには、次の文字列を入力し、Enter キーを押します。
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    次のような出力が返されます。
    NTAuthenticationProviders : (STRING) "NTLM"
  4. NTAuthenticationProviders の値が "NTLM" である場合、次の文字列をそのまま入力します。
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
    Enter キーを押します。次のような出力が返されます。
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
最後の手順でエラーが表示される場合は、Negotiate と NTLM の間にスペースを入れていないことを確認してください。たとえば、"Negotiate,NTLM" は "Negotiate, NTLM" とは異なります。

状況

マイクロソフトでは、この問題を Microsoft インターネット インフォメーション サービス 5.0 の問題として認識しています。

関連情報

Windows 2000 Server ベースのコンピュータでネットワーク モニタ ユーティリティを使用する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
812953 ネットワーク モニタを使用してネットワーク トラフィックをキャプチャする方法

プロパティ

文書番号: 248350 - 最終更新日: 2014年1月29日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 5.0
キーワード:?
kbnosurvey kbarchive kbbug kbpending KB248350
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com