Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Cómo configurar IIS para admitir el protocolo Kerberos y el protocolo NTLM para la autenticación de red

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 215383
Importante: Este artículo contiene información acerca de cómo modificar la metabase. Antes de modificar la metabase, compruebe que dispone de una copia de seguridad que pueda restaurar si surge algún problema. Para obtener información acerca de cómo hacerlo, consulte el tema "copia de seguridad o restaurar la configuración" de Microsoft Management Console (MMC).
Resumen
En este artículo paso a paso se describe cómo configurar Microsoft Internet Information Services (IIS) para admitir el protocolo Kerberos y el protocolo NTLM para la autenticación de red.

IIS pasa el encabezado de seguridad Negotiate cuando se utiliza la autenticación de Windows integrada para autenticar las solicitudes de cliente. El encabezado de seguridad "Negotiate" permite a los clientes seleccionar entre la autenticación Kerberos y la autenticación NTLM. El proceso de negociación selecciona la autenticación Kerberos a menos que una de las siguientes condiciones sea verdadera:
  • Uno de los sistemas que está implicado en la autenticación no puede utilizar la autenticación Kerberos.
  • La aplicación de llamada no proporciona información suficiente para utilizar la autenticación Kerberos.
Para habilitar el proceso de negociación seleccionar el protocolo Kerberos para la autenticación, la aplicación cliente debe proporcionar un nombre principal de servicio (SPN), un nombre principal de usuario (UPN) o un nombre de cuenta de NetBIOS como el nombre de destino. De lo contrario, el proceso de negociación selecciona siempre el protocolo NTLM como método de autenticación preferido.

Establecer el encabezado de seguridad Negotiate

Advertencia: Si modifica la metabase incorrectamente, puede provocar problemas graves que conlleven la reinstalación de todos los productos que utilizan la metabase. Microsoft no puede garantizar que puedan resolverse los problemas resultantes si modifica la metabase incorrectamente. Editar la metabase bajo su propia responsabilidad.

Nota: Siempre hacer copia de seguridad de la metabase antes de modificarla.

Nota:
  • De forma predeterminada, la propiedad de metabase NTAuthenticationProviders no está definida cuando se instala IIS 6.0. IIS 6.0 utiliza el parámetro Negotiate, NTLM cuando la propiedad de metabase NTAuthenticationProviders no está definida. Por lo tanto, no es necesario configurar IIS para utilizar el valor de la propiedad Negotiate, NTLM a menos que el valor predeterminado se ha sobrescrito.
  • De forma predeterminada, la propiedad de metabase NTAuthenticationProviders se define cuando se instalación IIS 5.1 e IIS 5.0. Esta propiedad de la metabase utiliza el parámetro Negotiate, NTLM . Por lo tanto, no es necesario configurar IIS para utilizar el valor de la propiedad Negotiate, NTLM a menos que el valor predeterminado se ha sobrescrito.
Para asegurarse de que IIS es compatible con el protocolo Kerberos y el protocolo NTLM, debe confirmar que el encabezado de seguridad Negotiate se establece en la propiedad de metabase NTAuthenticationProviders . Para ello, utilice el método apropiado para la versión de IIS que tiene.

IIS 6.0

  1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd, y, a continuación, presione ENTRAR.
  2. Busque el directorio que contiene el archivo Adsutil.vbs. Bydefault, este directorio es C:\Inetpub\Adminscripts.
  3. Utilice el siguiente comando para recuperar la propiedad de la metabase NTAuthenticationProviders de prioridadCon actual:
    cscript adsutil.vbs get w3svc /Sitio Web/ root/NTAuthenticationProviders
    En este comando, Sitio Web es un marcador de posición para el número de identificador del sitio Web. El número de identificador del sitio Web del sitio Web predeterminado es 1.

    Advertencia: No realice una operación de copiar y pegar para pegar el comando de este artículo. Esta operación puede producir problemas con el valor de la propiedad. Para evitar estos problemas, escriba todo el comando en un símbolo del sistema.

    Nota: Este comando produce un error si la propiedad de metabase NTAuthenticationProviders no está definida. Para obtener más información, consulte la nota anterior de esta sección.

    Si el proceso de negociación está habilitado, este comando devuelve la información siguiente:
    NTAuthenticationProviders: (Cadena) "Negotiate, NTLM"
  4. Si el comando en el paso 3 no devuelve la cadena "Negotiate, NTLM" Utilice los comandos siguientes para activar el proceso de negociación:
    cscript adsutil.vbs set w3svc /Sitio Web/ root/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita el paso 3 para comprobar que el proceso de negociación tiene beenenabled.
Nota: Si recibe un error al intentar comprobar que se ha habilitado el proceso de negociación, asegúrese de que no haya dejado un espacio entre "Negociar" y "NTLM". Por ejemplo, "Negotiate, NTLM" difiere "Negotiate, NTLM".

IIS 5.1 o IIS 5.0

  1. Haga clic en Inicio, haga clic en Ejecutar, tipo cmd, y, a continuación, presione ENTRAR.
  2. Busque el directorio que contiene el archivo Adsutil.vbs. Bydefault, este directorio es C:\Inetpub\Adminscripts.
  3. Utilice el siguiente comando para recuperar la propiedad de la metabase NTAuthenticationProviders de prioridadCon actual:
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    Advertencia: No realice una operación de copiar y pegar para pegar el comando de este artículo. Esta operación puede producir problemas con el valor de la propiedad. Para evitar estos problemas, escriba todo el comando en un símbolo del sistema.

    Nota: Este comando produce un error si la propiedad de metabase NTAuthenticationProviders no está definida. Para obtener más información, consulte la nota anterior de esta sección.

    Si el proceso de negociación está habilitado, este comando devuelve la información siguiente:
    NTAuthenticationProviders: (Cadena) "Negotiate, NTLM"
    Nota: De forma predeterminada, se establece la propiedad de metabase NTAuthenticationProvidersNegotiate , NTLM cuando se instala IIS 5.1 o IIS 5.0.
  4. Si el comando en el paso 3 no devuelve la cadena "Negotiate, NTLM" Utilice los comandos siguientes para activar el proceso de negociación:
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita el paso 3 para comprobar que el proceso de negociación tiene beenenabled.


Nota: Si recibe un error al intentar comprobar que se ha habilitado el proceso de negociación, asegúrese de que no haya dejado un espacio entre "Negociar" y "NTLM". Por ejemplo, "Negotiate, NTLM" difiere "Negotiate, NTLM".

Puede deshabilitar el proceso de negociación para forzar IIS para utilizar el protocolo NTLM para la autenticación de red. Este procedimiento impide que IIS mediante el protocolo Kerberos. Para deshabilitar el proceso de negociación, utilice el siguiente comando.

Nota: "En este comando, NTLM" debe ir en mayúsculas para evitar efectos negativos.
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
Nota: Para comprobar que el cambio se ha realizado correctamente, siempre Repita el paso 3 al cambiar este valor de la metabase.
adsutil Kerberos

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 215383 - Última revisión: 03/20/2016 07:58:00 - Revisión: 8.0

Servicios de Microsoft Internet Information Server 6.0

  • kbhowtomaster kbhowto kbmt KB215383 KbMtes
Comentarios