Konfigurieren eines virtuellen Windows SharePoint Services-Servers zur Verwendung von Kerberos-Authentifizierung und Wechseln von Kerberos-Authentifizierung zurück zur NTLM-Authentifizierung

Dieser Artikel enthält Informationen darüber, wie Sie einen virtuellen Microsoft Windows SharePoint Services-Server so konfigurieren, dass er Kerberos-Authentifizierung verwendet. Außerdem enthält dieser Artikel Informationen darüber, wie Sie von der Kerberos-Authentifizierung zurück zur NTLM-Authentifizierung wechseln können.

Hinweis: Die Version 3 der Microsoft Windows SharePoint Services für Micrsosoft Office 2007 verwendet standardmäßig die NTLM-Authentifizierung. Kerberos wird weiterhin unterstützt.

Ab Microsoft Windows SharePoint Services-Service Pack 2 (SP2) können Sie den virtuellen SharePoint-Zentraladministrationsserver erstellen oder einen virtuellen Inhaltsserver für die Verwendung von Kerberos- oder NTLM-Authentifizierung erweitern. Sie müssen die IIS-Metabasis nicht mehr direkt verändern.

Die integrierte Microsoft Windows-Authentifizierung unterstützt die folgenden zwei Protokolle, die Abfrage-/Rückmeldung-Authentifizierung bereitstellen.

• NTLM
  
  Das NTLM-Protokoll ist ein sicheres Protokoll, das Benutzernamen und Kennwörter verschlüsselt, bevor sie über das Netzwerk gesendet werden. Die NTLM-Authentifizierung wird in Netzwerken benötigt, in denen der Server Anfragen von Clients erhält, die keine Kerberos-Authentifizierung unterstützen.
• Kerberos
  
  Das Kerberos-Protokoll basiert auf der Verwendung von Tickets. In diesem System, muss der Benutzer dem Authentifizierungsserver zuerst einen gültigen Benutzernamen und ein gültiges Kennwort vorlegen. Dann stellt der Authentifizierungsserver dem Benutzer ein Ticket aus. Das Ticket kann im Netzwerk dafür verwendet werden, andere Netzwerk-Ressourcen anzufordern. Um dieses System zu verwenden, müssen sowohl der Client als auch der Server über eine vertrauenswürdige Verbindung zum Schlüsselverteilungscenter (KDC, Key Distribution Center) verfügen. Außerdem müssen der Client und der Server mit dem Active Directory-Verzeichnisdienst kompatibel sein.

Hinweis: Sie sollten in den meisten Fällen die NTLM-Authentifizierung wählen. Wählen Sie die NTLM-Authentifizierung, wenn Sie keinen besonderen Grund haben, die Kerberos-Authentifizierung zu verwenden, oder wenn Sie den Dienstprinzipalnamen (SPN, Service Principal Name) nicht konfigurieren können. Wenn Sie die Kerberos-Authentifizierung wählen und den Dienstprinzipalnamen nicht konfigurieren können, können sich nur Serveradministratoren bei der SharePoint-Website authentifizieren.

Konfigurieren der Windows SharePoint Services zur Verwendung von Kerberos- oder NTLM-Authentifizierung

Beginnend mit Windows SharePoint Services Service Pack 2 (SP2) können Sie die SharePoint-Benutzeroberfläche oder Befehle in einer Eingabeaufforderung verwenden, um den virtuellen SharePoint-Zentraladministrationsserver und die virtuellen Inhaltsserver zu konfigurieren. Sie konfigurieren den virtuellen SharePoint-Zentraladministrationsserver, wenn Sie die SharePoint-Zentraladministration erstellen, und Sie erstellen die virtuellen Inhaltsserver, wenn Sie die virtuellen Inhaltsserver erweitern. Wenn Sie den virtuellen SharePoint-Zentraladministrationsserver erstellen oder einen neuen virtuellen Server erweitern, steht Ihnen der neue Abschnitt Sicherheitskonfiguration zur Verfügung, in dem Sie festlegen können, ob Sie die NTLM- oder die Kerberos-Authentifizierung verwenden möchten. Um alle administrativen Einstellungen zur Konfiguration der Authentifzierungseinstellungen zu überprüfen, lesen Sie den Windows SharePoint Services Administrator's Guide. Den Windows SharePoint Services Administrator's Guide finden Sie auf folgender Website von Microsoft: Wenn Sie virtuelle SharePoint-Server verwenden, die erweitert oder in Versionen von Windows SharePoint Services erstellt wurden, die älter als Windows SharePoint Services SP2 sind, und wenn Sie die virtuellen Server für die Kerberos-Authentifzierung konfigurieren müssen, müssen Sie die Kerberos-Authentifzierung für den virtuellen Server falls erforderlich manuell konfigurieren.

Gehen Sie folgendermaßen vor, um ein Skript für die Aktivierung der Kerberos-Authentifizierung auf einem virtuellen Server zu verwenden.

1. Klicken Sie auf dem IIS-Server auf Start, klicken Sie auf Ausführen, geben Sie cmd im Feld Öffnen ein, und klicken Sie auf OK.
2. Wechseln Sie zum Ordner "Inetpub\Adminscripts".
3. Geben Sie den folgenden Befehl ein, und drücken Sie danach die [EINGABETASTE]:
   cd Laufwerk:\inetpub\adminscripts
   Hinweis: In diesem Befehl steht Laufwerk für das Laufwerk, auf dem Microsoft Windows installiert ist.
4. Geben Sie den folgenden Befehl ein, und drücken Sie danach die [EINGABETASTE]:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Hinweis: In diesem Befehl steht ## für die Kennung des virtuellen Servers. Die Kennung des virtuellen Servers der Standardwebsite in IIS ist 1.
5. Geben Sie zur Aktivierung der Kerberos-Authentifizierung auf einem virtuellen Server den folgenden Befehl ein, und drücken Sie dann die [EINGABETASTE]:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
   Hinweis: In diesem Befehl steht ## für die Kennung des virtuellen Servers.
6. Starten Sie IIS neu. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie in das Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie anschließend auf OK.
   2. Geben Sie in die Eingabeaufforderung iisreset ein, und drücken Sie anschließend die [EINGABETASTE].
   3. Geben Sie exit ein, und drücken Sie anschließend die [EINGABETASTE], um das Fenster der Eingabeaufforderung zu schließen.

Wenn Sie die Kerberos-Authentifizierung gewählt haben, als Sie die SharePoint-Zentraladministration oder virtuelle Inhaltsserver erstellt haben, aber zurück zur NTLM-Authentifizierung wechseln müssen, können Sie ein Skript zur Aktivierung der NTLM-Authentifzierung auf dem virtuellen Server verwenden.

Gehen Sie folgendermaßen vor, um ein Skript für die Aktivierung der NTLM-Authentifizierung auf einem virtuellen Server zu verwenden:

1. Klicken Sie auf dem IIS-Server auf Start, klicken Sie auf Ausführen, geben Sie cmd im Feld Öffnen ein, und klicken Sie auf OK.
2. Wechseln Sie zum Ordner "Inetpub\Adminscripts".
3. Geben Sie den folgenden Befehl ein, und drücken Sie danach die [EINGABETASTE]:
   cd Laufwerk:\inetpub\adminscripts
   Hinweis: In diesem Befehl steht Laufwerk für das Laufwerk, auf dem Windows installiert ist.
4. Geben Sie den folgenden Befehl ein, und drücken Sie danach die [EINGABETASTE]:
   cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
   Hinweis: In diesem Befehl steht ## für die Kennung des virtuellen Servers. Die Kennung des virtuellen Servers der Standardwebsite in IIS ist 1.
5. Geben Sie zur Aktivierung der NTLM-Authentifizierung auf einem virtuellen Server den folgenden Befehl ein, und drücken Sie dann die [EINGABETASTE]:
   cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
   Hinweis: In diesem Befehl steht ## für die Kennung des virtuellen Servers.
6. Starten Sie IIS neu. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie in das Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie anschließend auf OK.
   2. Geben Sie in die Eingabeaufforderung iisreset ein, und drücken Sie anschließend die [EINGABETASTE].
   3. Geben Sie exit ein, und drücken Sie anschließend die [EINGABETASTE], um das Fenster der Eingabeaufforderung zu schließen.

Konfigurieren eines SPN (Service Principal Name) für das Domänenbenutzerkonto

Wenn die Anwendungspoolidentität für die Windows SharePoint Services-Site so konfiguriert ist, dass ein integrierter Sicherheitsprinzipal (wie etwa "NT Authority\Network Service" oder "NT Authority\Network Service") verwendet wird, müssen Sie diesen Schritt nicht durchführen. Die integrierten Konten sind automatisch darauf konfiguriert, mit der Kerberos-Authentifizierung zu arbeiten.

Wenn Sie einen Microsoft SQL Server 2000-Remoteserver verwenden und "NT Authority\Network Service" als Domänenkonto verwenden möchten, müssen Sie den Eintrag "Domäne\Computername$" hinzufügen und ihn mit Datenbankersteller- und Sicherheitsadministratorberechtigungen konfigurieren. Dadurch kann Windows SharePoint Services die Verbindung zu dem SQL Server-Remotecomputer herstellen, um die Konfiguration und Inhaltsdatenbanken zu erstellen.

Wenn die Anwendungspoolidentität ein Domänenbenutzerkonto ist, müssen Sie einen SPN für dieses Konto konfigurieren. Gehen Sie folgendermaßen vor, um einen SPN für das Domänenbenutzerkonto zu konfigurieren:

1. Laden Sie das Befehlszeilenprogramm "Setspn.exe" herunter und installieren Sie es. Besuchen Sie hierzu eine der folgenden Websites von Microsoft:
   
   Für Microsoft Windows 2000 Server:
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
   Für Microsoft Windows Server 2003:
   892777

   (http://support.microsoft.com/kb/892777/DE/ )

   Supporttools in Windows Server 2003 Service Pack 1
2. Verwenden Sie das Programm "Setspn.exe", um einen SPN für das Domänenkonto hinzuzufügen. Geben Sie hierzu folgende Zeile an der Eingabeaufforderung ein, und drücken Sie anschließend die [EINGABETASTE]. Hierbei steht Servername für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers, Domäne für den Namen der Domäne und Benutzername für den Namen des Domänenbenutzerkontos:
   setspn -A HTTP/ServernameDomäne\Benutzername

Konfigurieren von "Für Delegierungszwecke vertrauen" für Webparts, damit auf Remote-Ressourcen zugegriffen werden kann

Wenn Sie Webparts für SharePoint entwickeln, die auf Remote-Ressourcen zugreifen sollen, müssen Sie die Hinweise unter "Konfigurieren eines SPN (Service Principal Name) für das Domänenbenutzerkonto" befolgen und den Computer sowie das Anwendungspoolkonto dahin gehend konfigurieren, dass ihnen für Delegierungszwecke vertraut wird.

Hinweis: Wenn Sie keine Webparts haben, die auf Remote-Ressourcen zugreifen, müssen Sie diese Schritte nicht ausführen.

Gehen Sie folgendermaßen vor, um den IIS-Server so zu konfigurieren, dass ihm für Delegierungszwecke vertraut wird:

1. Starten Sie das Snap-In "Active Directory-Benutzer und -Computer".
2. Klicken Sie im linken Bereich auf Computer.
3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Namen des IIS-Servers, und klicken Sie anschließend auf Eigenschaften.
4. Klicken Sie auf die Registerkarte Allgemein, aktivieren Sie das Kontrollkästchen Computer für Delegierungszwecke vertrauen, und klicken Sie auf OK.
5. Schließen Sie "Active Directory-Benutzer und -Computer".

Wenn die Anwendungspoolidentität so konfiguriert ist, dass ein Domänenbenutzerkonto verwendet wird, muss dem Benutzerkonto für Delegierungszwecke vertraut werden, bevor Sie die Kerberos-Authentifizierung verwenden können. Gehen Sie folgendermaßen vor, um das Domänenkonto so zu konfigurieren, dass ihm für Delegierungszwecke vertraut wird:

1. Starten Sie auf dem Domänencontroller "Active Directory-Benutzer und -Computer".
2. Klicken Sie im linken Bereich auf Benutzer.
3. Klicken Sie im rechten Bereich mit der rechten Maustaste auf den Namen des Benutzerkontos, und klicken Sie anschließend auf Eigenschaften.
4. Klicken Sie auf die Registerkarte Konto, aktivieren Sie unter Kontooptionen das Kontrollkästchen Konto wird für Delegierungszwecke vertraut, und klicken Sie anschließend auf OK.
5. Schließen Sie "Active Directory-Benutzer und -Computer".

Wenn die Anwendungspoolidentität ein Domänenbenutzerkonto ist, müssen Sie einen SPN für dieses Konto konfigurieren. Gehen Sie folgendermaßen vor, um einen SPN für das Domänenbenutzerkonto zu konfigurieren:

1. Laden Sie das Befehlszeilenprogramm "Setspn.exe" herunter und installieren Sie es. Besuchen Sie hierzu folgende Webseite von Microsoft:
   http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en

   (http://www.microsoft.com/downloads/details.aspx?FamilyID=5fd831fd-ab77-46a3-9cfe-ff01d29e5c46&DisplayLang=en)
2. Verwenden Sie das Programm "Setspn.exe", um einen SPN für das Domänenkonto hinzuzufügen. Geben Sie hierzu die folgende Zeile in die Eingabeaufforderung ein, und drücken Sie anschließend die [EINGABETASTE]. Hierbei steht Servername für den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Servers, Domäne für den Namen der Domäne und Benutzername für den Namen des Domänenbenutzerkontos:

   Setspn -A HTTP/ServerName Domain\UserName

Weitere Informationen zu Windows SharePoint Services finden Sie auf folgender Microsoft-Website: