Een virtuele server voor Windows SharePoint Services configureren voor gebruik van Kerberos-verificatie en terugkeren van Kerberos-verificatie naar NTLM-verificatie

Inleiding

Dit artikel bevat informatie over het configureren van een virtuele server voor Microsoft Windows SharePoint Services voor gebruik van Kerberos-verificatie. Bovendien bevat het artikel informatie over het overschakelen van Kerberos-verificatie naar NTLM-verificatie.

Opmerking Versie 3 van Microsoft Windows SharePoint Services voor Microsoft Office 2007 gebruikt standaard NTLM-verificatie. Kerberos wordt nog steeds ondersteund.

Meer informatie

Vanaf Microsoft Windows SharePoint Services Service Pack 2 (SP2) kunt u een virtuele server maken voor centraal beheer van SharePoint of een virtuele inhoudsserver uitbreiden voor gebruik met Kerberos-verificatie of NTLM-verificatie. U hoeft de IIS-metabase niet meer rechtstreeks te wijzigen.Geïntegreerde Microsoft Windows-verificatie ondersteunt de volgende twee protocollen voor vraag/antwoord-verificatie:

 • NTLM

  Het NTML-protocol is een veilig protocol op basis van het versleutelen van gebruikersnamen en wachtwoorden voordat deze via het netwerk worden verzonden. NTLM-verificatie is vereist op netwerken waarop de server aanvragen ontvangt van clients die geen Kerberos-verificatie ondersteunen.
 • Kerberos

  Het Kerberos-protocol is gebaseerd op het verlenen van tickets. Hierbij moet een gebruiker eerst een geldige gebruikersnaam en een geldig wachtwoord opgeven bij een verificatieserver. De verificatieserver verstrekt de gebruiker hierna een ticket. Het ticket kan op het netwerk worden gebruikt voor het aanvragen van andere netwerkbronnen. Voor het gebruik hiervan moet zowel de client als de server beschikken over een vertrouwde verbinding met het KDC (Key Distribution Center) van het domein. Bovendien moet zowel de client als de server compatibel zijn met Active Directory.
Opmerking Het verdient aanbeveling om waar mogelijk te kiezen voor NTLM-verificatie. Als er geen specifieke vereiste is voor Kerberos-verificatie of als u de SPN (Service Principal Name) niet kunt configureren, kies dan voor NTLM-verificatie. Als u voor Kerberos-verificatie kiest en u de SPN niet kunt configureren, kunnen alleen serverbeheerders de SharePoint-site verifiëren.

Windows SharePoint Services configureren voor gebruik van Kerberos-verificatie of NTLM-verificatie

Vanaf Windows SharePoint Services Service Pack 2 (SP2), kunt u de gebruikersinterface van SharePoint of opdrachten bij de opdrachtprompt gebruiken voor het configureren van de virtuele server voor centraal beheer van SharePoint en virtuele inhoudsservers. U configureert de virtuele server voor centraal beheer van SharePoint bij het instellen van centraal beheer van SharePoint en u configureert de virtuele inhoudsserver bij het uitbreiden van de virtuele inhoudsserver. Als u de virtuele server voor centraal beheer van SharePoint maakt of een nieuwe virtuele server uitbreidt, beschikt u over een nieuwe sectie Beveiligingsconfiguratie, waarin u kunt opgeven of u NTLM-verificatie, danwel Kerberos-verificatie wilt gebruiken. Raadpleeg de Administrator's Guide van Windows SharePoint Services als u alle beheerinstellingen wilt bekijken voor het configureren van de verificatie-instellingen. Ga naar de volgende Microsoft-website om de Administrator's Guide van Windows SharePoint Services te bekijken:Als u virtuele servers voor SharePoint gebruikt die zijn uitgebreid of gemaakt in een versie van Windows SharePoint Services ouder dan Windows SharePoint Services SP2, en u de virtuele servers moet configureren voor Kerberos-verificatie, moet u Kerberos-verificatie handmatig voor de virtuele server configureren als deze vorm van verificatie is vereist.

Als u een script wilt gebruiken voor het inschakelen van Kerberos-verificatie op de virtuele server, voert u de volgende stappen uit:
 1. Klik op de server waarop IIS wordt uitgevoerd op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik op OK.
 2. Ga naar de map Inetpub\Adminscripts.
 3. Typ de volgende opdracht en druk op Enter:
  cd station:\inetpub\adminscripts
  Opmerking In deze opdracht staat station voor het station waarop Microsoft Windows is geïnstalleerd.
 4. Typ de volgende opdracht en druk op Enter:
  cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
  Opmerking In deze opdracht staat ## voor de id van de virtuele server. De id van de virtuele server voor de standaardwebsite in IIS is 1.
 5. Als u Kerberos-verificatie op de virtuele server wilt inschakelen, typt u de volgende opdracht en drukt u op Enter:
  cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
  Opmerking In deze opdracht staat ## voor de id van de virtuele server.
 6. Start IIS opnieuw. Ga hiervoor als volgt te werk:
  1. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik op OK.
  2. Typ iisreset bij de opdrachtprompt en druk op Enter.
  3. Typ exit en druk op Enter om het opdrachtpromptvenster te sluiten.
Als u voor Kerberos-verificatie hebt gekozen bij het maken van de virtuele server voor centraal beheer van SharePoint of de virtuele inhoudsserver, maar u moet overschakelen op NTLM-verificatie, kunt u een script gebruiken om NTLM-verificatie in te schakelen op de virtuele server.

Als u een script wilt gebruiken voor het inschakelen van NTLM-verificatie op de virtuele server, voert u de volgende stappen uit:
 1. Klik op de server waarop IIS wordt uitgevoerd op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik op OK.
 2. Ga naar de map Inetpub\Adminscripts.
 3. Typ de volgende opdracht en druk op Enter:
  cd station:\inetpub\adminscripts
  Opmerking In deze opdracht staat station voor het station waarop Windows is geïnstalleerd.
 4. Typ de volgende opdracht en druk op Enter:
  cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
  Opmerking In deze opdracht staat ## voor de id van de virtuele server. De id van de virtuele server voor de standaardwebsite in IIS is 1.
 5. Als u NTLM-verificatie op de virtuele server wilt inschakelen, typt u de volgende opdracht en drukt u op Enter:
  cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
  Opmerking In deze opdracht staat ## voor de id van de virtuele server.
 6. Start IIS opnieuw. Ga hiervoor als volgt te werk:
  1. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik op OK.
  2. Typ iisreset bij de opdrachtprompt en druk op Enter.
  3. Typ exit en druk op Enter om het opdrachtpromptvenster te sluiten.

Een SPN (Service Principal Name) configureren voor de domeingebruikersaccount

Als de identiteit van de groep van toepassingen voor de Windows SharePoint Services-site is geconfigureerd voor het gebruik van een ingebouwde beveiligings-principal (zoals NT Authority\Network Service of NT Authority\Local System), hoeft u deze stap niet uit te voeren. De ingebouwde accounts zijn automatisch geconfigureerd voor gebruik met Kerberos-verificatie.

Als u een externe Microsoft SQL Server 2000-server gebruikt en u NT Authority\Network Service wilt gebruiken als de domeinaccount, moet u de vermelding Domain\ComputerName$ toevoegen en configureren met de machtigingen Database Creators en Security Administrators. Hierdoor kan Windows SharePoint Services een verbinding maken met de externe SQL Server-computer voor het maken van de configuratie- en inhoudsdatabase.

Als de identiteit van de groep van toepassingen een domeingebruikersaccount is, moet u voor die account een SPN configureren. Voer de volgende stappen uit om een SPN te configureren voor de domeingebruikersaccount:
 1. Download en installeer het opdrachtregelprogramma Setspn.exe. Hiertoe gaat u naar een van de volgende websites van Microsoft:

  Voor Microsoft Windows 2000 Server:Voor Microsoft Windows Server 2003:
  892777 Ondersteuningsprogramma's voor Windows Server 2003 Service Pack 1
 2. Gebruik Setspn.exe om een SPN toe te voegen voor de domeinaccount. Typ hiervoor de volgende regel bij de opdrachtprompt en druk op Enter, waarbij Servernaam de FQDN-naam (Fully Qualified Domain Name) van de server is, Domein de naam van het domein en Gebruikersnaam de naam van de domeingebruikersaccount:
  setspn -A HTTP/Servernaam Domein\Gebruikersnaam

Vertrouwen voor overdracht configureren, zodat webonderdelen toegang krijgen tot externe bronnen

Als u voor SharePoint webonderdelen maakt die toegang hebben tot externe bronnen, volgt u de procedure in de sectie 'Een SPN (Service Principal Name) configureren voor de domeingebruikersaccount' en configureert u als volgt de computer en de account voor de groep van toepassingen voor vertrouwde overdracht.

Opmerking U hoeft deze extra stappen niet uit te voeren als u geen webonderdelen hebt die toegang moeten krijgen tot externe bronnen.

Voer de volgende stappen uit om de IIS-server te configureren voor vertrouwde overdracht:
 1. Start Active Directory: gebruikers en computers.
 2. Klik in het linkerdeelvenster op Computers.
 3. Klik in het rechterdeelvenster met de rechtermuisknop op de naam van de IIS-server en klik op Eigenschappen.
 4. Open het tabblad Algemeen, schakel het selectievakje Computer vertrouwen voor overdracht in en klik op OK.
 5. Sluit Active Directory: gebruikers en computers af.
Als de identiteit van de groep van toepassingen is geconfigureerd voor gebruik van een domeingebruikersaccount, moet de gebruikersaccount worden vertrouwd voor overdracht voordat u Kerberos-verificatie kunt gebruiken. Voer de volgende stappen uit om de domeinaccount te configureren voor vertrouwende overdracht:
 1. Start Active Directory: gebruikers en computers op de domeincontroller.
 2. Klik in het linkerdeelvenster op Gebruikers.
 3. Klik in het rechterdeelvenster met de rechtermuisknop op de naam van de gebruikersaccount en klik op Eigenschappen.
 4. Open het tabblad Account, schakel het selectievakje Account wordt vertrouwd voor overdracht onder Account-opties in en klik op OK.
 5. Sluit Active Directory: gebruikers en computers af.
Als de identiteit van de groep van toepassingen een domeingebruikersaccount is, moet u een SPN configureren voor de account. Voer de volgende stappen uit om een SPN te configureren voor de domeingebruikersaccount:
 1. Download en installeer het opdrachtregelprogramma Setspn.exe. Hiervoor gaat u naar de volgende website van Microsoft:
 2. Gebruik Setspn.exe om een SPN toe te voegen voor de domeinaccount. Typ hiervoor de volgende regel bij de opdrachtprompt en druk op Enter, waarbij Servernaam de FQDN-naam (Fully Qualified Domain Name) van de server is, Domein de naam van het domein en Gebruikersnaam de naam van de domeingebruikersaccount:
  Setspn -A HTTP/Servernaam Domein\Gebruikersnaam

Referenties

Meer informatie over Windows SharePoint Services vindt u op de volgende Microsoft-website:
Eigenschappen

Artikel-id: 832769 - Laatst bijgewerkt: 16 jul. 2013 - Revisie: 1

Feedback