Você está offline; aguardando reconexão

Como configurar o IIS para oferecer suporte ao protocolo Kerberos e o protocolo NTLM para autenticação de rede

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 215383
Importante Este artigo contém informações sobre como editar a metabase. Antes de editar a metabase, verifique se você tem uma cópia de backup que você pode restaurar se ocorrer um problema. Para obter informações sobre como fazer isso, consulte o tópico da Ajuda "Backup/restauração de configuração" no Console de gerenciamento Microsoft (MMC).
Sumário
Este artigo passo a passo descreve como configurar os Serviços de Informações da Internet da Microsoft (IIS) para oferecer suporte ao protocolo Kerberos e o protocolo NTLM para autenticação de rede.

O IIS passa o cabeçalho de segurança Negotiate quando a autenticação integrada do Windows é usada para autenticar solicitações de cliente. Negociar segurança cabeçalho permite que clientes selecionar entre a autenticação Kerberos e a autenticação NTLM. O processo de negociação seleciona a autenticação Kerberos, a menos que uma das seguintes condições for verdadeira:
  • Um dos sistemas envolvidos na autenticação não é possível usar a autenticação Kerberos.
  • O aplicativo de chamada não fornece informações suficientes para usar a autenticação Kerberos.
Para habilitar o processo de negociação selecionar o protocolo Kerberos para autenticação de rede, o aplicativo cliente deve fornecer um nome principal de serviço (SPN), um nome de usuário principal (UPN) ou um nome de conta de NetBIOS como o nome do destino. Caso contrário, o processo de negociação sempre seleciona o protocolo NTLM como o método de autenticação preferencial.

Definir o cabeçalho de segurança Negotiate

Aviso Se você editar a metabase incorretamente, pode causar sérios problemas que talvez exijam a reinstalação de qualquer produto que utilize a metabase. A Microsoft não garante que problemas resultantes se você editar incorretamente a metabase podem ser resolvidos. Edite a metabase de sua responsabilidade.

Observação: Sempre faça backup da metabase antes de editá-lo.

Observação:
  • Por padrão, a propriedade de metabase NTAuthenticationProviders não é definida quando você instala o IIS 6.0. O IIS 6.0 usa o parâmetro negociar, NTLM quando a propriedade de metabase NTAuthenticationProviders não está definida. Portanto, não é necessário configurar o IIS para usar o valor da propriedade Negotiate, NTLM , a menos que o valor padrão foi substituído.
  • Por padrão, a propriedade de metabase NTAuthenticationProviders é definida quando você instala o IIS 5.1 e o IIS 5.0. Essa propriedade da metabase usa o parâmetro negociar, NTLM . Portanto, não é necessário configurar o IIS para usar o valor da propriedade Negotiate, NTLM , a menos que o valor padrão foi substituído.
Para certificar-se de que o IIS oferece suporte para o protocolo Kerberos e o protocolo NTLM, você deve confirmar que o cabeçalho de segurança Negotiate está definido na propriedade de metabase NTAuthenticationProviders . Para fazer isso, use o método apropriado para a versão do IIS que você tem.

IIS 6.0

  1. Clique em Iniciar, Executar, tipo cmd, e então pressione ENTER.
  2. Localize o diretório que contém o arquivo Adsutil. vbs. Bydefault, esse diretório é C:\Inetpub\Adminscripts.
  3. Use o seguinte comando para recuperar a prioridadePara atual a propriedade de metabase NTAuthenticationProviders :
    cscript adsutil. vbs get w3svc /Siteraiz/NTAuthenticationProviders
    Neste comando, Site é um espaço reservado para o número de identificação de site da Web. O número de identificação de site da Web do site da Web padrão é 1.

    Aviso Não execute uma operação de copiar e colar para colar o comando deste artigo. Esta operação pode causar problemas com a configuração da propriedade. Para evitar esses problemas, digite todo o comando em um prompt de comando.

    Observação: Este comando falhará se a propriedade de metabase NTAuthenticationProviders não está definida. Para obter mais informações, consulte a observação anterior desta seção.

    Se o processo de negociação estiver habilitado, este comando retorna as seguintes informações:
    NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
  4. Se o comando na etapa 3 não retorna a seqüência de caracteres "Negotiate, NTLM," use asseguintes comando para habilitar o processo de negociação:
    cscript adsutil. vbs set w3svc /Siteraiz/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita a etapa 3 para verificar se o processo de negociação tem beenenabled.
Observação: Se você receber um erro ao tentar verificar se o processo de negociação foi ativado, certifique-se de que você não deixou um espaço entre "Negociar" e "NTLM". Por exemplo, "Negotiate, NTLM" é diferente de "Negotiate, NTLM".

O IIS 5.1 ou IIS 5.0

  1. Clique em Iniciar, Executar, tipo cmd, e então pressione ENTER.
  2. Localize o diretório que contém o arquivo Adsutil. vbs. Bydefault, esse diretório é C:\Inetpub\Adminscripts.
  3. Use o seguinte comando para recuperar a prioridadePara atual a propriedade de metabase NTAuthenticationProviders :
    cscript adsutil. vbs get w3svc/NTAuthenticationProviders
    Aviso Não execute uma operação de copiar e colar para colar o comando deste artigo. Esta operação pode causar problemas com a configuração da propriedade. Para evitar esses problemas, digite todo o comando em um prompt de comando.

    Observação: Este comando falhará se a propriedade de metabase NTAuthenticationProviders não está definida. Para obter mais informações, consulte a observação anterior desta seção.

    Se o processo de negociação estiver habilitado, este comando retorna as seguintes informações:
    NTAuthenticationProviders: (STRING) "Negotiate, NTLM"
    Observação: Por padrão, a propriedade de metabase NTAuthenticationProviders é definida para negociar, NTLM quando você instala o IIS 5.1 ou no IIS 5.0.
  4. Se o comando na etapa 3 não retorna a seqüência de caracteres "Negotiate, NTLM," use asseguintes comando para habilitar o processo de negociação:
    cscript adsutil. vbs set w3svc/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita a etapa 3 para verificar se o processo de negociação tem beenenabled.


Observação: Se você receber um erro ao tentar verificar se o processo de negociação foi ativado, certifique-se de que você não deixou um espaço entre "Negociar" e "NTLM". Por exemplo, "Negotiate, NTLM" é diferente de "Negotiate, NTLM".

Você pode desativar o processo de negociação para forçar o IIS a usar o protocolo NTLM para autenticação de rede. Este procedimento impede que o IIS usando o protocolo Kerberos. Para desativar o processo de negociação, use o comando a seguir.

Observação: Neste comando, "NTLM" deve estar em letras maiúsculas para evitar qualquer efeito adverso.
cscript adsutil. vbs set w3svc/NTAuthenticationProviders "NTLM"
Observação: Para verificar que a alteração foi feita com êxito, sempre Repita a etapa 3 quando você alterar esse valor de metabase.
Adsutil Kerberos

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 215383 - Última Revisão: 04/10/2016 04:36:00 - Revisão: 8.0

Microsoft Internet Information Services 6.0

  • kbhowtomaster kbhowto kbmt KB215383 KbMtpt
Comentários