Jak skonfigurować serwer wirtualny programu Windows SharePoint Services do używania uwierzytelniania Kerberos oraz przełączyć się ponownie do uwierzytelniania NTLM

WPROWADZENIE

Ten artykuł zawiera informacje na temat sposobu konfigurowania serwera wirtualnego programu Microsoft Windows SharePoint Services do korzystania z uwierzytelniania Kerberos. Ponadto zawiera opis sposobu ponownego przełączenia się z uwierzytelniania Kerberos do uwierzytelniania NTLM.

Uwaga: Wersja 3 programu Microsoft Windows SharePoint Services dla pakietu Microsoft Office 2007 używa domyślnie uwierzytelniania NTLM. Protokół Kerberos jest nadal obsługiwany.

Więcej informacji

Począwszy od wersji Microsoft Windows SharePoint Services z dodatkiem Service Pack 2 (SP2) można utworzyć serwer wirtualny Administracji centralnej programu SharePoint lub rozszerzyć serwer wirtualny zawartości, tak aby korzystał z uwierzytelniania Kerberos lub NTLM. Modyfikowanie metabazy usług IIS nie jest już konieczne.Zintegrowane uwierzytelnianie systemu Microsoft Windows obsługuje następujące dwa protokoły, które zapewniają uwierzytelnianie wyzwania/odpowiedzi:

 • NTLM

  Protokół NTLM to bezpieczny protokół oparty na szyfrowaniu nazw użytkownika i haseł przed ich wysłaniem przez sieć. Uwierzytelnianie NTLM jest wymagane w sieciach, w których serwer odbiera żądania od klientów, którzy nie obsługują uwierzytelniania Kerberos.
 • Kerberos

  Protokół Kerberos jest oparty na generowaniu biletów. W tym schemacie użytkownik musi najpierw podać prawidłową nazwę i hasło użytkownika na serwerze uwierzytelniania. Następnie serwer przydziela użytkownikowi bilet. Biletu można używać w sieci do korzystania z innych zasobów sieciowych. Aby użyć tego schematu, klient i serwer muszą mieć zaufane połączenie z Centrum dystrybucji kluczy (KDC, Key Distribution Center) domeny. Ponadto klient i serwer muszą być zgodne z usługą katalogową Active Directory.
Uwaga: W większości przypadków należy wybierać uwierzytelnianie NTLM. Jeżeli nie ma określonej potrzeby, aby używać uwierzytelniania Kerberos lub jeśli nie możesz skonfigurować głównej nazwy usługi (SPN, Service Principal Name), wybierz uwierzytelnianie NTLM. Jeżeli wybierzesz uwierzytelnianie Kerberos i nie skonfigurujesz nazwy SPN, tylko administratorzy serwera będą mogli uwierzytelniać się w witrynie programu SharePoint.

Konfiguracja programu Windows SharePoint Services do korzystania z uwierzytelniania Kerberos lub NTLM

Począwszy od programu Windows SharePoint Services z dodatkiem Service Pack 2 (SP2) można używać interfejsu użytkownika programu SharePoint lub poleceń w wierszu polecenia do konfigurowania serwera wirtualnego Administracji centralnej programu SharePoint i serwerów wirtualnych zawartości. Serwer wirtualny Administracji centralnej programu SharePoint jest konfigurowany wtedy, gdy tworzona jest witryna Administracja centralna, a serwery wirtualne zawartości konfiguruje się w przypadku rozszerzania serwera wirtualnego zawartości. Podczas tworzenia serwera wirtualnego Administracji centralnej programu SharePoint lub rozszerzania nowego serwera wirtualnego pojawia się nowa sekcja Konfiguracja zabezpieczeń, w której można wybrać uwierzytelnianie NTLM lub Kerberos. Aby przejrzeć wszystkie ustawienia administracyjne konfigurowania ustawień uwierzytelniania, zobacz podręcznik Windows SharePoint Services Administrator’s Guide. Aby uzyskać podręcznik Windows SharePoint Services Administrator’s Guide, odwiedź następującą witrynę firmy Microsoft w sieci Web:Jeżeli używasz serwerów wirtualnych programu SharePoint, które zostały rozszerzone lub utworzone w wersjach programu Windows SharePoint Services starszych niż Windows SharePoint Services z dodatkiem SP2 oraz jeżeli musisz skonfigurować serwery wirtualne dla uwierzytelniania Kerberos, musisz ręcznie skonfigurować uwierzytelnianie Kerberos dla serwera wirtualnego (jeśli jest to konieczne).

Aby włączyć uwierzytelnianie Kerberos na serwerze wirtualnym za pomocą skryptu, wykonaj następujące kroki:
 1. Na serwerze z usługami IIS kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie cmd w polu Otwórz, a następnie kliknij przycisk OK.
 2. Zmień folder na Inetpub\Adminscripts.
 3. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  cd Dysk:\inetpub\adminscripts
  Uwaga: W tym poleceniu Dysk jest dyskiem, na którym zainstalowano system Microsoft Windows.
 4. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
  Uwaga: W tym poleceniu ## jest numerem identyfikacyjnym serwera wirtualnego. Numer identyfikacyjny serwera wirtualnego domyślnej witryny w usługach IIS to 1.
 5. Aby włączyć uwierzytelnianie Kerberos na serwerze wirtualnym, wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
  Uwaga: W tym poleceniu ## jest numerem identyfikacyjnym serwera wirtualnego.
 6. Uruchom ponownie usługi IIS. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK.
  2. W wierszu polecenia wpisz polecenie iisreset, a następnie naciśnij klawisz ENTER.
  3. Wpisz polecenie exit, a następnie naciśnij klawisz ENTER w celu zamknięcia okna wiersza polecenia.
Jeżeli uwierzytelnianie Kerberos zostało wybrane podczas tworzenia Administracji centralnej programu SharePoint lub serwerów wirtualnych zawartości, ale trzeba ponownie przełączyć się do uwierzytelniania NTLM, możesz włączyć to uwierzytelnianie na serwerze wirtualnym za pomocą skryptu.

Aby włączyć uwierzytelnianie NTLM na serwerze wirtualnym za pomocą skryptu, wykonaj następujące kroki:
 1. Na serwerze z usługami IIS kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK.
 2. Zmień folder na Inetpub\Adminscripts.
 3. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  cd Dysk:\inetpub\adminscripts
  Uwaga: W tym poleceniu Dysk jest dyskiem, na którym zainstalowano system Windows.
 4. Wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
  Uwaga: W tym poleceniu ## jest numerem identyfikacyjnym serwera wirtualnego. Numer identyfikacyjny serwera wirtualnego domyślnej witryny w usługach IIS to 1.
 5. Aby włączyć uwierzytelnianie NTLM na serwerze wirtualnym, wpisz następujące polecenie, a następnie naciśnij klawisz ENTER:
  cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
  Uwaga: W tym poleceniu ## jest numerem identyfikacyjnym serwera wirtualnego.
 6. Uruchom ponownie usługi IIS. Aby to zrobić, wykonaj następujące kroki:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK.
  2. W wierszu polecenia wpisz polecenie iisreset, a następnie naciśnij klawisz ENTER.
  3. Wpisz polecenie exit, a następnie naciśnij klawisz ENTER w celu zamknięcia okna wiersza polecenia.

Konfiguracja głównej nazwy usługi dla konta użytkownika domeny

Jeżeli tożsamość puli aplikacji dla witryny programu Windows SharePoint Services jest skonfigurowana do korzystania z wbudowanego podmiotu zabezpieczeń (takiego jak NT Authority\Network Service lub NT Authority\Local System), nie musisz wykonywać tego kroku. Wbudowane konta są automatycznie konfigurowane do współpracy z uwierzytelnianiem Kerberos.

Jeżeli używasz zdalnego serwera Microsoft SQL Server 2000 i chcesz użyć NT Authority\Network Service jako konta domeny, musisz dodać wpis Domena\NazwaKomputera$ i skonfigurować go, nadając mu uprawnienia Twórcy baz danych i Administratorzy zabezpieczeń. Dzięki temu program Windows SharePoint Services może łączyć się ze zdalnym komputerem z programem SQL Server w celu utworzenia bazy danych konfiguracji i zawartości.

Jeżeli tożsamością puli aplikacji jest konto użytkownika domeny, należy skonfigurować dla tego konta główną nazwę usługi. Aby skonfigurować główną nazwę usługi dla konta użytkownika domeny, wykonaj następujące kroki:
 1. Pobierz i zainstaluj narzędzie wiersza polecenia Setspn.exe. W tym celu odwiedź jedną z następujących witryn firmy Microsoft w sieci Web:

  Dla systemu Microsoft Windows 2000 Server:Dla systemu Microsoft Windows Server 2003:
  892777 Narzędzia obsługi dodatku Service Pack 1 dla systemu Windows Server 2003

 2. Użyj narzędzia Setspn.exe, aby dodać główną nazwę usługi dla konta domeny. Aby to zrobić, wpisz następujący wiersz w wierszu polecenia i naciśnij klawisz ENTER (gdzie NazwaSerwera to w pełni kwalifikowana nazwa domeny serwera, Domena to nazwa domeny, a NazwaUżytkownika to nazwa konta użytkownika domeny):
  setspn -A HTTP/NazwaSerwera Domena\NazwaUżytkownika

Konfigurowanie zaufania w kwestii delegacji dla składników Web Part w celu uzyskiwania dostępu do zasobów zdalnych

Jeżeli opracowujesz składniki Web Part dla programu SharePoint, które muszą uzyskiwać dostęp do zasobów zdalnych, musisz wykonać kroki opisane w sekcji „Konfiguracja głównej nazwy usługi dla konta użytkownika domeny” oraz skonfigurować zaufanie w kwestii delegowania na komputerze i w koncie puli aplikacji, wykonując następujące kroki.

Uwaga: Jeżeli nie masz składników WebPart, które uzyskują dostęp do zasobów zdalnych, wykonanie tych dodatkowych kroków nie jest konieczne.

Aby ustawić na serwerze IIS zaufanie w kwestii delegowania, wykonaj następujące kroki:
 1. Uruchom przystawkę Użytkownicy i komputery usługi Active Directory.
 2. W lewym okienku kliknij folder Komputery.
 3. W prawym okienku kliknij prawym przyciskiem myszy nazwę serwera IIS, a następnie kliknij polecenie Właściwości.
 4. Kliknij kartę Ogólne, kliknij, aby zaznaczyć pole wyboru Ufaj komputerowi w kwestii delegowania, a następnie kliknij przycisk OK.
 5. Zamknij przystawkę Użytkownicy i komputery usługi Active Directory.
Jeżeli tożsamość puli aplikacji jest skonfigurowana do korzystania z konta użytkownika domeny, konto musi być zaufane w kwestii delegowania, aby można było korzystać z uwierzytelniania Kerberos. Aby skonfigurować dla konta domeny zaufanie w kwestii delegowania, wykonaj następujące kroki:
 1. Na kontrolerze domeny uruchom przystawkę Użytkownicy i komputery usługi Active Directory.
 2. W lewym okienku kliknij folder Użytkownicy.
 3. W prawym okienku kliknij prawym przyciskiem myszy konto użytkownika, a następnie kliknij polecenie Właściwości.
 4. Kliknij kartę Konto, w obszarze Opcje konta kliknij, aby zaznaczyć pole wyboru Konto jest zaufane w kwestii delegowania, a następnie kliknij przycisk OK.
 5. Zamknij przystawkę Użytkownicy i komputery usługi Active Directory.
Jeżeli tożsamością puli aplikacji jest konto użytkownika domeny, dla tego konta należy skonfigurować główną nazwę usługi. Aby skonfigurować główną nazwę usługi dla konta użytkownika domeny, wykonaj następujące kroki:
 1. Pobierz i zainstaluj narzędzie wiersza polecenia Setspn.exe. W tym celu odwiedź następującą witrynę firmy Microsoft w sieci Web:
 2. Użyj narzędzia Setspn.exe, aby dodać główną nazwę usługi dla konta domeny. Aby to zrobić, wpisz następujący wiersz w wierszu polecenia i naciśnij klawisz ENTER (gdzie NazwaSerwera to w pełni kwalifikowana nazwa domeny serwera, Domena to nazwa domeny, a NazwaUżytkownika to nazwa konta użytkownika domeny):
  Setspn -A HTTP/NazwaSerwera Domena\NazwaUżytkownika

Materiały referencyjne

Aby uzyskać więcej informacji na temat programu Windows SharePoint Services, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 832769 — ostatni przegląd: 15.05.2008 — zmiana: 1

Opinia