現在オフラインです。再接続するためにインターネットの接続を待っています

お使いのブラウザーはサポートされていません

このサイトを利用するには、ブラウザーを更新する必要があります。

Internet Explorer を最新バージョンに更新する

ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法

この記事は、以前は次の ID で公開されていました: JP215383
重要 : この資料には、メタベースの編集方法が記載されています。万一に備えて、編集の前には必ずバックアップ コピーを作成して、復元できるようにしてください。バックアップ方法の詳細については、Microsoft 管理コンソール (MMC) のヘルプで「メタベースのバックアップと復元の方法」を参照してください。
概要
この資料では、ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように Microsoft インターネット インフォメーション サービス (IIS) を構成する方法について、手順を追って説明します。

統合 Windows 認証がクライアントの認証要求に使用されている場合、IIS は Negotiate セキュリティ ヘッダーを渡します。Negotiate セキュリティ ヘッダーは、クライアントが Kerberos 認証と NTLM 認証のいずれかを選択できるようにします。Negotiate プロセスでは、以下のいずれかの条件に該当する場合を除いて、Kerberos 認証が選択されます。
  • 認証に関係するいずれかのシステムで、Kerberos 認証を使用できない。
  • Kerberos 認証を使用するための十分な情報が、呼び出し側のアプリケーションから提供されない。
Negotiate プロセスでネットワーク認証に Kerberos プロトコルが選択されるようにするには、クライアント アプリケーションでサービス プリンシパル名 (SPN)、ユーザー プリンシパル名 (UPN)、または NetBIOS アカウント名をターゲット名として提供する必要があります。この情報が提供されない場合、Negotiate プロセスでは常に NTLM プロトコルが優先して選択されます。

Negotiate セキュリティ ヘッダーの設定

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

  • IIS 6.0 のインストール時、デフォルトでは、NTAuthenticationProviders メタベース プロパティは定義されません。NTAuthenticationProviders メタベース プロパティが定義されていない場合、IIS 6.0 は Negotiate,NTLM パラメータを使用します。したがって、デフォルト値を上書きする場合を除き、Negotiate,NTLM プロパティ値を使用して IIS を構成する必要はありません。
  • IIS 5.1 または IIS 5.0 のインストール時、デフォルトで、NTAuthenticationProviders メタベース プロパティが定義されます。NTAuthenticationProviders メタベース プロパティは Negotiate,NTLM パラメータを使用します。したがって、デフォルト値を上書きする場合を除き、Negotiate,NTLM プロパティ値を使用して IIS を構成する必要はありません。
IIS で Kerberos プロトコルと NTLM プロトコルの両方が確実にサポートされるようにするには、NTAuthenticationProviders メタベース プロパティに Negotiate セキュリティ ヘッダーが設定されていることを確認します。この設定を確認するには、使用している IIS のバージョンに応じて、適切な方法を使用します。

IIS 6.0 の場合

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、Enter キーを押します。
  2. Adsutil.vbs ファイルが含まれているディレクトリを見つけます。デフォルトでは、C:\Inetpub\Adminscripts ディレクトリです。
  3. 次のコマンドを使用して、NTAuthenticationProviders メタベース プロパティの現在の値を取得します。
    cscript adsutil.vbs get w3svc/WebSite/root/NTAuthenticationProviders
    このコマンドで、WebSite には Web サイトの ID 番号が入ります。デフォルトの Web サイトの ID 番号は 1 です。

    警告 : プロパティの設定に問題が発生する可能性があるため、この資料に記載されているコマンドをコピーしてコマンド プロンプトに貼り付けないでください。この問題を回避するには、コマンド プロンプトで、コマンドを完全に入力します。

    : NTAuthenticationProviders メタベース プロパティが定義されていない場合、このコマンドは失敗します。詳細については、このセクションで前述した「注」を参照してください。

    Negotiate プロセスが有効になっている場合、このコマンドは次の情報を返します。
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
  4. 手順 3. で実行したコマンドで文字列 "Negotiate,NTLM" が返されない場合は、次のコマンドを使用して Negotiate プロセスを有効にします。
    cscript adsutil.vbs set w3svc/WebSite/root/NTAuthenticationProviders "Negotiate,NTLM"
  5. 手順 3. をもう一度実行し、Negotiate プロセスが有効になっていることを確認します。
: Negotiate プロセスが有効になっていることを確認する際にエラーが表示される場合は、"Negotiate," と "NTLM" との間に空白がないことを確認します。たとえば、"Negotiate,NTLM" と "Negotiate, NTLM" とは別のものとして認識されます。

IIS 5.1 または IIS 5.0 の場合

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、Enter キーを押します。
  2. Adsutil.vbs ファイルが含まれているディレクトリを見つけます。デフォルトでは、C:\Inetpub\Adminscripts ディレクトリです。
  3. 次のコマンドを使用して、NTAuthenticationProviders メタベース プロパティの現在の値を取得します。
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    警告 : プロパティ設定に問題が発生する可能性があるため、この資料に記載されているコマンドをコピーしてコマンド プロンプトに貼り付けないでください。この問題を回避するには、コマンド プロンプトで、コマンドを完全に入力します。

    : NTAuthenticationProviders メタベース プロパティが定義されていない場合、このコマンドは失敗します。詳細については、このセクションで前述した「注」を参照してください。

    Negotiate プロセスが有効になっている場合、このコマンドは次の情報を返します。
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
    : IIS 5.1 または IIS 5.0 のインストール時、デフォルトで、NTAuthenticationProviders メタベース プロパティは Negotiate,NTLM に設定されます。
  4. 手順 3. で実行したコマンドで文字列 "Negotiate,NTLM" が返されない場合は、次のコマンドを使用して Negotiate プロセスを有効にします。
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
  5. 手順 3. をもう一度実行し、Negotiate プロセスが有効になっていることを確認します。


: Negotiate プロセスが有効になっていることを確認する際にエラーが表示される場合は、"Negotiate," と "NTLM" との間に空白がないことを確認します。たとえば、"Negotiate,NTLM" と "Negotiate, NTLM" とは別のものとして認識されます。

Negotiate プロセスを無効にすると、IIS でネットワーク認証に NTLM プロトコルが強制的に使用されるように設定できます。この操作により、IIS による Kerberos プロトコルの使用を回避できます。Negotiate プロセスを無効にするには、次のコマンドを使用します。

: コマンドでは、予期せぬ影響を避けるために "NTLM" は必ず大文字にします。
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NTLM"
: このメタベース値を変更する場合は、必ず手順 3. をもう一度実行し、変更が正常に行われたことを確認してください。
adsutil Kerberos
プロパティ

文書番号:215383 - 最終更新日: 03/20/2007 01:53:58 - リビジョン: 7.0

  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 5.0
  • kbhowtomaster kbhowto KB215383
フィードバック
cript> + (window.location.protocol) + "//c.microsoft.com/ms.js'><\/script>");