IIS 4.0 から IIS 5.0 にアップグレードした後、Kerberos 認証が失敗する

この記事は、以前は次の ID で公開されていました: JP248350
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
重要 : この資料には、メタベースの編集に関する情報が含まれています。メタベースを編集する前に、問題が発生した場合に備えて、復元用のバックアップ コピーを取っておいてください。バックアップ コピーの方法の詳細については、Microsoft Management Console (MMC) のヘルプ トピック「Configuration Backup/Restore」を参照してください。
現象
Internet Information Server 4.0 (IIS 4.0) がインストールされている Windows NT Server 4.0 のコンピュータを、インターネット インフォメーション サービス 5.0 (IIS 5.0) をインストールした Windows 2000 にアップグレードすると、Kerberos 認証が失敗します。Windows 統合認証が選択されていても、Web サーバーでは Negotiate 認証方法が使用されない可能性があります。

ネットワーク モニタを使用してリモート クライアント コンピュータからネットワーク トレースを行うと、通常、クライアントに送信される WWW-Authenticate ヘッダーに次の内容が表示されます。
WWW-Authenticate: Negotiate
WWW-Authenticate: NTLM
Windows NT 4.0 から Windows 2000 にアップグレードしたコンピュータで同様のネットワーク トレースを行うと、クライアントに送信される NTLM WWW-Authenticate ヘッダーのみが表示されます (Negotiate はクライアントに送信されません)。たとえば、次のように表示されます。
WWW-Authenticate: NTLM
原因
IIS 4.0 で使用されていたデフォルトの認証方法を保持するために、NTAuthenticationProviders 用のメタベース設定が変更されませんでした。このメタベース キー用のデフォルトは、IIS 4.0 では "NTLM" です。しかし、IIS 5.0 では、新しい Negotiate 認証方法が "Negotiate,NTLM" を使用できるようにするために、このデフォルトが変更されています。

Windows 2000 を、アップグレードではなく新規にインストールした場合、メタベース キーには IIS 5.0 のデフォルトである "Negotiate,NTLM" が反映されます。
解決方法
この問題を解決するには、メタベースを編集する必要があります。

警告 : メタベースを誤って編集すると、深刻な問題が発生することがあります。最悪の場合、メタベースを使用するすべての製品の再インストールが必要になることがあります。マイクロソフトは、メタベースの誤った編集により発生した問題に関しては、一切責任を負わないものとします。メタベースの編集は、自己の責任において行ってください。

: メタベースを編集する前に、メタベースのバックアップを必ず作成してください。

NTAuthenticationProviders の値を変更するには、以下の手順を実行します。
  1. コマンド プロンプト (Cmd.exe) を開きます。
  2. ディレクトリを c:\inetpub\adminscripts に変更します。このパスは、デフォルトのパスです。コンテンツ エリアの変更や別ドライブへのインストールを行った場合には、該当するディレクトリに変更します。
  3. NTAuthenticationProviders の値を調べるには、次の文字列を入力し、Enter キーを押します。
    cscript adsutil.vbs get w3svc/NTAuthenticationProviders
    次のような出力が返されます。
    NTAuthenticationProviders : (STRING) "NTLM"
  4. NTAuthenticationProviders の値が "NTLM" である場合、次の文字列をそのまま入力します。
    cscript adsutil.vbs set w3svc/NTAuthenticationProviders "Negotiate,NTLM"
    Enter キーを押します。次のような出力が返されます。
    NTAuthenticationProviders : (STRING) "Negotiate,NTLM"
最後の手順でエラーが表示される場合は、Negotiate と NTLM の間にスペースを入れていないことを確認してください。たとえば、"Negotiate,NTLM" は "Negotiate, NTLM" とは異なります。
状況
マイクロソフトでは、この問題を Microsoft インターネット インフォメーション サービス 5.0 の問題として認識しています。
関連情報
Windows 2000 Server ベースのコンピュータでネットワーク モニタ ユーティリティを使用する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
812953 ネットワーク モニタを使用してネットワーク トラフィックをキャプチャする方法
iis 5 NTLM Negotiate Kerberos Upgrade
プロパティ

文書番号:248350 - 最終更新日: 01/29/2014 15:57:17 - リビジョン: 2.0

  • Microsoft Internet Information Services 5.0
  • kbnosurvey kbarchive kbbug kbpending KB248350
フィードバック