Teď jste offline a čekáte, až se znova připojí internet.

Jak konfigurovat službu IIS na podporu protokolu Kerberos a protokolu NTLM pro ověřování v síti

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:215383
Důležité Tento článek obsahuje informace o úpravě metabáze. Před úpravou metabázi ověřte, zda máte záložní kopii, která je možné obnovit v případě, že dojde k potížím. Informace o tomto postupu naleznete v tématu nápovědy "zálohování či obnovení konfigurace" v konzole MMC (konzola Microsoft Management Console).
Souhrn
Tento podrobný článek popisuje, jak nakonfigurovat Internetová informační služba (IIS) Podpora protokolu Kerberos a protokolu NTLM pro ověřování v síti.

IIS předává záhlaví Negotiate security při integrovaného systému Windows ověřování se používá k ověřování požadavků klientů. Vyjednat metodu zabezpečení záhlaví umožňuje klientům vybrat mezi ověřování pomocí protokolu Kerberos a NTLM ověřování. Vybere vyjednat proces Ověřování pomocí protokolu Kerberos Pokud je splněna jedna z následujících podmínek:
 • Jeden ze systémů účastnícího ověřování nelze použít ověřování pomocí protokolu Kerberos.
 • Volající aplikace neposkytuje dostatečné informace o použití ověřování pomocí protokolu Kerberos.
Povolení procesu vyjednat vyberte Protokol Kerberos pro ověřování v síti, klientská aplikace musí poskytnout hlavní název služby (SPN), hlavního názvu uživatele (UPN) nebo účtu NetBIOS s názvem cíle. Jinak procesu Negotiate vždy vybere protokol NTLM jako upřednostňovanou ověřovací metodu.

Nastavte záhlaví Negotiate security

Upozornění Pokud upravíte metabázi nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalaci každého produktu, jenž metabázi využívá. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávné úpravy metabáze budete moci vyřešit. Metabázi upravujete na vlastní nebezpečí.

Poznámka: Před úpravou metabázi vždy zálohujte.

Poznámka:
 • Standardně NTAuthenticationProviders Při instalaci služby IIS 6.0 není definována vlastnost metabáze. Služba IIS 6.0 používá Negotiate, NTLM parametr při NTAuthenticationProviders Vlastnost metabáze není definována. Proto jste konfigurace služby IIS pro použití Negotiate, NTLM vlastnost hodnotu, pokud byl přepsán výchozí hodnotu.
 • Standardně NTAuthenticationProviders Vlastnost metabáze je definován při instalaci služby IIS 5.1 a IIS 5.0. Tato vlastnost metabáze používá Negotiate, NTLM parametr. Proto jste konfigurace služby IIS pro použití Negotiate, NTLM vlastnost hodnotu, pokud byl přepsán výchozí hodnotu.
Zkontrolujte, zda služba IIS podporuje protokol Kerberos a protokol NTLM, musíte potvrdit, že záhlaví zabezpečení Negotiate je nastavena v NTAuthenticationProviders Vlastnost metabáze. Chcete-li to provést, použijte příslušnou metodu pro verzi služby IIS, který máte.

SLUŽBA IIS 6.0

 1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, Typ cmd, a pak stiskněte klávesu ENTER.
 2. Vyhledejte adresář, který obsahuje soubor Adsutil.vbs. Podle výchozí adresář je C:\Inetpub\Adminscripts.
 3. Pomocí následujícího příkazu načíst aktuální hodnoty pro NTAuthenticationProviders Vlastnost metabáze:
  cscript adsutil.vbs get w3svc /Web/ root/NTAuthenticationProviders
  V tomto příkazu Web představuje číslo ID webového serveru. Číslo ID webového serveru výchozí webový server je 1.

  Upozornění Neprovádějte operace kopírování a vkládání, vložte příkaz z tohoto článku. Tato operace může způsobit problémy s nastavením vlastnosti. Chcete-li předejít těmto problémům, zadejte celý příkaz na příkazovém řádku.

  Poznámka: Tento příkaz se nezdaří, pokud NTAuthenticationProviders Vlastnost metabáze není definována. Další informace naleznete v poznámce výše v této části.

  Pokud je povolena možnost Vyjednat proces, tento příkaz vrátí následující informace:
  NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
 4. Pokud příkaz v kroku 3 nevrátí řetězec "Negotiate, ntlm" použít proces Negotiate povolit následující příkaz:
  cscript adsutil.vbs set w3svc /Web/ root/NTAuthenticationProviders "Negotiate, ntlm"
 5. Opakováním kroku 3 ověřte, že proces vyjednat byl povoleno.
Poznámka: Obdržíte-li k chybě při pokusu ověřit povoleno záhlaví Negotiate proces, přesvědčte se, zda není ponechat mezeru mezi "Negotiate" a "ntlm" Například "Negotiate, ntlm" liší od "Negotiate, ntlm."

Služba IIS 5.1 nebo IIS 5.0

 1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, Typ cmd, a pak stiskněte klávesu ENTER.
 2. Vyhledejte adresář, který obsahuje soubor Adsutil.vbs. Podle výchozí adresář je C:\Inetpub\Adminscripts.
 3. Pomocí následujícího příkazu načíst aktuální hodnoty pro NTAuthenticationProviders Vlastnost metabáze:
  cscript adsutil.vbs get w3svc/NTAuthenticationProviders
  Upozornění Neprovádějte operace kopírování a vkládání, vložte příkaz z tohoto článku. Tato operace může způsobit problémy s nastavením vlastnosti. Chcete-li předejít těmto problémům, zadejte celý příkaz na příkazovém řádku.

  Poznámka: Tento příkaz se nezdaří, pokud NTAuthenticationProviders Vlastnost metabáze není definována. Další informace naleznete v poznámce výše v této části.

  Pokud je povolena možnost Vyjednat proces, tento příkaz vrátí následující informace:
  NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
  Poznámka: Standardně NTAuthenticationProviders vlastnosti metabáze nastavena na Negotiate, NTLM Při instalaci služby IIS 5.1 nebo IIS 5.0.
 4. Pokud příkaz v kroku 3 nevrátí řetězec "Negotiate, ntlm" použít proces Negotiate povolit následující příkaz:
  cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate, ntlm"
 5. Opakováním kroku 3 ověřte, že proces vyjednat byl povoleno.


Poznámka: Obdržíte-li k chybě při pokusu ověřit povoleno záhlaví Negotiate proces, přesvědčte se, zda není ponechat mezeru mezi "Negotiate" a "ntlm" Například "Negotiate, ntlm" liší od "Negotiate, ntlm."

Můžete vypnout vyjednat proces ke službě IIS vnutit použití NTLM protokol pro ověřování v síti. Tento postup brání službě IIS pomocí protokolu Kerberos. Vypnout vyjednat procesu, Pomocí následujícího příkazu.

Poznámka: V tomto příkazu musí být velké, aby se zabránilo žádné "ntlm" nepříznivé účinky.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "ntlm"
Poznámka: K Ověřte úspěšně provedena změna, vždy opakujte krok 3, změníte-li tuto hodnotu metabáze.
adsutil Kerberos

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 215383 - Poslední kontrola: 04/26/2011 09:47:00 - Revize: 9.0

Microsoft Internet Information Services 6.0

 • kbhowtomaster kbhowto kbmt KB215383 KbMtcs
Váš názor