Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

So konfigurieren Sie IIS darauf, sowohl das Kerberos- als auch das NTLM-Protokoll für Netzwerkauthentifizierung zu unterstützen

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
215383 How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Metabasis. Stellen Sie sicher, dass Sie über eine Sicherungskopie verfügen, die Sie wiederherstellen können, wenn Probleme auftreten, bevor Sie die Metabasis bearbeiten. Informationen hierzu finden Sie im Hilfethema "Sicherungskopie erstellen/Konfiguration wiederherstellen" in der MMC (Microsoft Management Console).
Zusammenfassung
Dieser schrittweise aufgebaute Artikel beschreibt, wie Sie Microsoft Internet Information Services (IIS) darauf konfigurieren, sowohl das Kerberos-Protokoll als auch das NTLM-Protokoll für die Netzwerkauthentifizierung zu unterstützen.

IIS übermittelt den Negotiate-Sicherheitsheader, wenn die "Integrierte Windows-Authentifizierung" verwendet wird, um Clientanforderungen zu authentifizieren. Der Negotiate-Sicherheitsheader ermöglicht Clients, zwischen Kerberos-Authentifizierung und NTLM-Authentifizierung zu wählen. Der Negotiate-Prozess wählt Kerberos-Authentifizierung, sofern nicht eine der folgenden Bedingungen vorliegt:
  • Eines der Systeme, das an der Authentifizierung beteiligt ist, kann Kerberos-Authentifizierung nicht verwenden.
  • Die aufrufende Anwendung stellt keine ausreichenden Informationen bereit, um Kerberos-Authentifizierung zu verwenden.
Wenn Sie dem Negotiate-Prozess ermöglichen möchten, das Kerberos-Protokoll für Netzwerkauthentifizierung zu wählen, muss die Clientanwendung einen Dienstprinzipalnamen (Service Principal Name, SPN), einen Benutzerprinzipalnamen (User Principal Name, UPN) oder einen NetBIOS-Kontonamen als Zielnamen bereitstellen. Andernfalls wählt der Negotiate-Prozess immer das NTLM-Protokoll als bevorzugte Authentifizierungsmethode.

Festlegen des Negotiate-Sicherheitsheaders

Warnung: Durch eine unkorrekte Bearbeitung der Metabasis können schwerwiegende Probleme verursacht werden, die eine Neuinstallierung der Produkte erforderlich machen, die die Metabasis verwenden. Microsoft kann nicht dafür garantieren, dass Probleme infolge der falschen Bearbeitung der Metabasis behoben werden können. Die Bearbeitung der Metabasis erfolgt auf Ihr eigenes Risiko.

Hinweis Sichern Sie die Metabasis, bevor Sie sie bearbeiten.

Hinweis
  • Die Metabasis-Eigenschaft NTAuthenticationProviders ist standardmäßig nicht definiert, wenn Sie IIS 6.0 installieren. IIS 6.0 verwendet den Parameter Negotiate,NTLM, wenn die Metabasis-Eigenschaft NTAuthenticationProviders nicht definiert ist. Daher müssen Sie IIS nicht darauf konfigurieren, den Eigenschaftswert Negotiate,NTLM zu verwenden, es sei denn, der Standardwert wurde überschrieben.
  • Die Metabasis-Eigenschaft NTAuthenticationProviders ist standardmäßig definiert, wenn Sie IIS 5.1 und IIS 5.0 installieren. Diese Metabasis-Eigenschaft verwendet den Parameter Negotiate,NTLM. Daher müssen Sie IIS nicht darauf konfigurieren, den Eigenschaftswert Negotiate,NTLM zu verwenden, es sei denn, der Standardwert wurde überschrieben.
Sie können bestätigen, dass IIS sowohl das Kerberos-Protokoll als auch das NTLM-Protokoll unterstützt, indem Sie sich vergewissern, dass der Negotiate-Sicherheitsheader in der Metabasis-Eigenschaft NTAuthenticationProviders festgelegt ist. Verwenden Sie dazu die für Ihre Version von IIS geeignete Methode.

IIS 6.0

  1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und drücken Sie die [EINGABETASTE].
  2. Suchen Sie das Verzeichnis, das die Datei "Adsutil.vbs" enthält. Standardmäßig ist dies das Verzeichnis "C:\Inetpub\Adminscripts".
  3. Verwenden Sie den folgenden Befehl, um die aktuellen Werte für die Metabasis-Eigenschaft NTAuthenticationProviders abzurufen:
    cscript adsutil.vbs get w3svc/Website/root/NTAuthenticationProviders
    In diesem Befehl ist Website ein Platzhalter für die Website-ID-Nummer. Die Website-ID-Nummer der Standardwebsite ist 1.

    Warnung: Fügen Sie den Befehl aus diesem Artikel nicht mittels Kopieren und Einfügen ein. Dieser Vorgang kann Probleme mit der Eigenschaftseinstellung verursachen. Geben Sie zum Vermeiden dieser Probleme den ganzen Befehl in eine Eingabeaufforderung ein.

    Hinweis: Dieser Befehl schlägt fehl, wenn die Metabasis-Eigenschaft NTAuthenticationProviders nicht definiert ist. Weitere Informationen hierzu können Sie dem Hinweis weiter oben in diesem Abschnitt entnehmen.

    Wenn der Negotiate-Prozess aktiviert ist, gibt dieser Befehl die folgenden Informationen zurück:
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
  4. Wenn der Befehl in Schritt 3 nicht die Zeichenfolge "Negotiate,NTLM" zurückgibt, verwenden Sie den folgenden Befehl, um den Negotiate-Prozess zu aktivieren:
    cscript adsutil.vbs set w3svc/WebSite/root/NTAuthenticationProviders "Negotiate,NTLM"
  5. Wiederholen Sie Schritt 3, um sich zu vergewissern, dass der Negotiate-Prozess aktiviert wurde.
Hinweis: Wenn Sie versuchen, zu ermitteln, ob der Negotiate-Prozess aktiviert wurde und Ihnen dabei eine Fehlermeldung angezeigt wird, vergewissern Sie sich, dass sich zwischen "Negotiate" und "NTLM" keine Leerstelle befindet. Beachten Sie zum Beispiel den Unterschied zwischen "Negotiate,NTLM" und "Negotiate, NTLM."

IIS 5.1 oder IIS 5.0

  1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und drücken Sie die [EINGABETASTE].
  2. Suchen Sie das Verzeichnis, das die Datei "Adsutil.vbs" enthält. Standardmäßig ist dies das Verzeichnis "C:\Inetpub\Adminscripts".
  3. Verwenden Sie den folgenden Befehl, um die aktuellen Werte für die Metabasis-Eigenschaft NTAuthenticationProviders abzurufen:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Warnung: Fügen Sie den Befehl aus diesem Artikel nicht mittels Kopieren und Einfügen ein. Dieser Vorgang kann Probleme mit der Eigenschaftseinstellung verursachen. Geben Sie zum Vermeiden dieser Probleme den ganzen Befehl in eine Eingabeaufforderung ein.

    Hinweis: Dieser Befehl schlägt fehl, wenn die Metabasis-Eigenschaft NTAuthenticationProviders nicht definiert ist. Weitere Informationen hierzu können Sie dem Hinweis weiter oben in diesem Abschnitt entnehmen.

    Wenn der Negotiate-Prozess aktiviert ist, gibt dieser Befehl die folgenden Informationen zurück:
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
    Hinweis: Die Metabasis-Eigenschaft NTAuthenticationProviders wird standardmäßig auf Negotiate,NTLM gesetzt, wenn Sie IIS 5.1 oder IIS 5.0 installieren.
  4. Wenn der Befehl in Schritt 3 nicht die Zeichenfolge "Negotiate,NTLM" zurückgibt, verwenden Sie den folgenden Befehl, um den Negotiate-Prozess zu aktivieren:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
  5. Wiederholen Sie Schritt 3, um sich zu vergewissern, dass der Negotiate-Prozess aktiviert wurde.


Hinweis: Wenn Sie versuchen, zu ermitteln, ob der Negotiate-Prozess aktiviert wurde und Ihnen dabei eine Fehlermeldung angezeigt wird, vergewissern Sie sich, dass sich zwischen "Negotiate" und "NTLM" keine Leerstelle befindet. Beachten Sie zum Beispiel den Unterschied zwischen "Negotiate,NTLM" und "Negotiate, NTLM."

Sie können den Negotiate-Prozess deaktivieren, um IIS zu zwingen, das NTLM-Protokoll für Netzwerkauthentifizierung zu verwenden. Mit dieser Prozedur wird verhindert, dass IIS das Kerberos-Protokoll verwendet. Verwenden Sie den folgenden Befehl, um den Negotiate-Prozess zu deaktivieren.

Hinweis: In diesem Befehl muss "NTLM" groß geschrieben sein, um eventuelle negative Auswirkungen zu vermeiden.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Hinweis: Wiederholen Sie immer Schritt 3, wenn Sie diesen Metabasis-Wert ändern, um sicherzustellen, dass die Änderung erfolgreich war.
adsutil Kerberos
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 215383 – Letzte Überarbeitung: 02/21/2007 14:34:31 – Revision: 7.0

  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
  • kbhowtomaster kbhowto KB215383
Feedback