Você está offline; aguardando reconexão

Como configurar o IIS para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 215383
Importante Este artigo contém informações sobre como editar a metabase. Antes de editar a metabase, certifique-se de que tem uma cópia de segurança que pode restaurar se ocorrer um problema. Para obter informações sobre como efectuar este procedimento, consulte o tópico de ajuda "configuração cópia de segurança/restauro" na consola de gestão da Microsoft (MMC).
Sumário
Este artigo passo a passo descreve como configurar o Microsoft Internet Information Services (IIS) para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede.

IIS passa do cabeçalho de segurança Negotiate quando a autenticação integrada do Windows é utilizada para autenticar pedidos de cliente. Negociar segurança cabeçalho permite que os clientes seleccione entre a autenticação Kerberos e a autenticação NTLM. O processo de negociar selecciona a autenticação Kerberos, a menos que uma das seguintes condições for verdadeira:
  • Um dos sistemas que esteja envolvido na autenticação não é possível utilizar a autenticação Kerberos.
  • A aplicação de chamada não fornece informações suficientes para utilizar a autenticação Kerberos.
Para activar o processo de Negotiate seleccionar o protocolo Kerberos para autenticação de rede, a aplicação cliente tem de fornecer um nome principal do serviço (SPN), um nome principal de utilizador (UPN) ou um nome de conta de NetBIOS como o nome de destino. Caso contrário, o processo de negociar sempre selecciona o protocolo NTLM como o método de autenticação preferido.

Definir o cabeçalho de segurança Negotiate

Aviso Se editar a metabase incorrectamente, poderá provocar problemas graves que poderão forçar a reinstalação de todos os produtos que utilizem a metabase. A Microsoft não garante que os problemas resultantes da edição incorrecta da metabase possam ser resolvidos. Edite a metabase na sua conta e risco.

Nota Sempre efectuar cópias de segurança da metabase antes de o editar.

Nota
  • Por predefinição, a propriedade de metabase NTAuthenticationProviders não está definida quando instala o IIS 6.0. O IIS 6.0 utiliza o parâmetro Negotiate, NTLM quando a propriedade de metabase NTAuthenticationProviders não está definida. Por conseguinte, não tem de configurar o IIS para utilizar o valor da propriedade Negotiate, NTLM , a menos que o valor predefinido foi substituído.
  • Por predefinição, a propriedade de metabase NTAuthenticationProviders é definida quando instala o IIS 5.1 e IIS 5.0. Esta propriedade da metabase utiliza o parâmetro Negotiate, NTLM . Por conseguinte, não tem de configurar o IIS para utilizar o valor da propriedade Negotiate, NTLM , a menos que o valor predefinido foi substituído.
Para se certificar de que o IIS suporta o protocolo Kerberos e o protocolo NTLM, tem de confirmar que o cabeçalho de segurança Negotiate é definido na propriedade da metabase de NTAuthenticationProviders . Para tal, utilize o método adequado para a versão do IIS que tiver.

IIS 6.0

  1. Clique em Iniciar, clique em Executar, tipo cmd, e, em seguida, prima ENTER.
  2. Localize o directório que contém o ficheiro Adsutil. vbs. Bydefault, este directório é c:\Inetpub\Adminscripts.
  3. Utilize o seguinte comando para obter a propriedade da metabase de NTAuthenticationProviders de valuesfor actual:
    cscript adsutil. vbs get w3svc /Web site/ raiz/NTAuthenticationProviders
    Neste comando, Web site é um marcador de posição para o número de ID de Web site. O número de ID de Web site de Web site predefinido é 1.

    Aviso Não efectue uma operação de copiar e colar para colar o comando a partir deste artigo. Esta operação pode causar problemas com a definição da propriedade. Para evitar estes problemas, escreva o comando completo numa linha de comandos.

    Nota Este comando falha se a propriedade de metabase NTAuthenticationProviders não está definida. Para mais informações, consulte a nota anteriormente nesta secção.

    Se o processo de negociação estiver activado, este comando devolve as seguintes informações:
    NTAuthenticationProviders: (Cadeia) "Negotiate, NTLM"
  4. Se o comando no passo 3 não devolvem a cadeia "Negotiate, NTLM," Utilize o comando de thefollowing para permitir que o processo de negociar:
    cscript adsutil. vbs set w3svc /Web site/ raiz/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita o passo 3 para verificar se o processo de negociação tem beenenabled.
Nota Se receber um erro quando tenta verificar que o processo de negociação tiver sido activado, certifique-se de que não de deixar um espaço entre "Negotiate" e "NTLM". Por exemplo, "Negotiate, NTLM" é diferente de "Negotiate, NTLM."

O IIS 5.1 ou IIS 5.0

  1. Clique em Iniciar, clique em Executar, tipo cmd, e, em seguida, prima ENTER.
  2. Localize o directório que contém o ficheiro Adsutil. vbs. Bydefault, este directório é c:\Inetpub\Adminscripts.
  3. Utilize o seguinte comando para obter a propriedade da metabase de NTAuthenticationProviders de valuesfor actual:
    cscript adsutil. vbs get w3svc/NTAuthenticationProviders
    Aviso Não efectue uma operação de copiar e colar para colar o comando a partir deste artigo. Esta operação pode causar problemas com a definição da propriedade. Para evitar estes problemas, escreva o comando completo numa linha de comandos.

    Nota Este comando falha se a propriedade de metabase NTAuthenticationProviders não está definida. Para mais informações, consulte a nota anteriormente nesta secção.

    Se o processo de negociação estiver activado, este comando devolve as seguintes informações:
    NTAuthenticationProviders: (Cadeia) "Negotiate, NTLM"
    Nota Por predefinição, a propriedade de metabase NTAuthenticationProviders está definida para negociar, NTLM quando instala o IIS 5.1 ou IIS 5.0.
  4. Se o comando no passo 3 não devolvem a cadeia "Negotiate, NTLM," Utilize o comando de thefollowing para permitir que o processo de negociar:
    cscript adsutil. vbs set w3svc/NTAuthenticationProviders "Negotiate, NTLM"
  5. Repita o passo 3 para verificar se o processo de negociação tem beenenabled.


Nota Se receber um erro quando tenta verificar que o processo de negociação tiver sido activado, certifique-se de que não de deixar um espaço entre "Negotiate" e "NTLM". Por exemplo, "Negotiate, NTLM" é diferente de "Negotiate, NTLM."

Pode desactivar o processo de Negotiate para forçar o IIS para utilizar o protocolo NTLM para autenticação de rede. Este procedimento impede que o IIS utilizando o protocolo Kerberos. Para desactivar o processo de negociar, utilize o seguinte comando.

Nota Neste comando, tem de ser em maiúsculas para evitar quaisquer efeitos adversos "NTLM".
cscript adsutil. vbs set w3svc/NTAuthenticationProviders "NTLM"
Nota Para verificar que a alteração foi efectuada com êxito, sempre Repita o passo 3 quando alterar este valor de metabase.
adsutil Kerberos

Aviso: Este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 215383 - Última Revisão: 04/08/2016 09:32:00 - Revisão: 8.0

Microsoft Internet Information Services 6.0

  • kbhowtomaster kbhowto kbmt KB215383 KbMtpt
Comentários