Windows SharePoint Services sanal sunucusunu Kerberos kimlik doğrulaması kullanacak biçimde yapılandırma ve Kerberos kimlik doğrulamasından NTLM kimlik doğrulamasına dönme

GİRİŞ

Bu makalede Microsoft Windows SharePoint Services sanal sunucusunu Kerberos kimlik doğrulamasını kullanacak yapılandırma konusunda bilgiler bulunmaktadır. Bu makalede ayrıca, Kerberos kimlik doğrulamasından NTLM kimlik doğrulamasına nasıl dönüleceği anlatılmaktadır.

Not Microsoft Office 2007 için Microsoft Windows SharePoint Services sürüm 3 varsayılan olarak NTLM kimlik doğrulamasını kullanır. Kerberos hala desteklenmektedir.

Daha fazla bilgi

Microsoft Windows SharePoint Services Service Pack 2 (SP2) ile başlayarak, Kerberos ya da NTLM kimlik doğrulamasıyla kullanmak üzere bir içerik sanal sunucusunu genişletebilir veya SharePoint Yönetim Merkezi sanal sunucusunu oluşturabilirsiniz. Artık IIS metatabanında doğrudan değişiklik yapmanız gerekmemektedir.Microsoft Windows Tümleşik Kimlik Doğrulaması, sınama/yanıt kimlik doğrulaması sağlayan aşağıdaki iki protokolü destekler:

 • NTLM

  NTLM protokolü, kullanıcı adlarını ve parolalarını ağ üzerinden göndermeyen önce bunları şifrelemeye dayalı güvenli bir protokoldür. Sunucunun Kerberos kimlik doğrulamasını desteklemeyen istemcilerden istek aldığı ağlarda NTLM kimlik doğrulaması gereklidir.
 • Kerberos

  Kerberos protokolü anahtar tabanlıdır. Bu düzende, kullanıcının önce bir kimlik doğrulama sunucusuna geçerli bir kullanıcı adı ve parola sağlaması gerekir. Sonra, kimlik doğrulama sunucusu kullanıcıya bir anahtar verir. Anahtar, diğer ağ kaynaklarına yönelik istekte bulunmak için ağ üzerinde kullanılabilir. Bu düzeni kullanmak için, hem istemcinin hem de sunucunun etki alanı Anahtar Dağıtım Merkezine (KDC) güvenli bir bağlantısı olması gerekir. İstemcinin ve sunucunun Active Directory dizin hizmetiyle uyumlu olmaları da gerekir.
Not Çoğu durumda NTLM kimlik doğrulamasını seçmelisiniz. Kerberos kimlik doğrulamasını kullanmak için özel bir nedeniniz yoksa veya hizmet asıl adını (SPN) yapılandıramıyorsanız, NTLM kimlik doğrulamasını seçin. Kerberos kimlik doğrulamasını seçtiyseniz ve SPN'yi yapılandıramıyorsanız, SharePoint sitesinde yalnızca sunucu yöneticileri kimlik doğrulayabilir.

Windows SharePoint Services'ı Kerberos kimlik doğrulamasını veya NTLM kimlik doğrulamasını kullanacak şekilde yapılandırma

Windows SharePoint Services Service Pack 2 (SP2) ile başlayarak, SharePoint kullanıcı arabirimini veya komut istemini kullanarak SharePoint Yönetim Merkezi sanal sunucularını ve içerik sanal sunucularını yapılandırabilirsiniz. SharePoint Yönetim Merkezi sanal sunucusunu SharePoint Yönetim Merkezi'ni oluşturduğunuzda, içerik sanal sunucularını da içerik sanal sunucusunu genişlettiğinizde yapılandırırsınız. SharePoint Yönetim Merkezi sanal sunucusunu oluştururken veya yeni bir içerik sanal sunucusunu genişletirken, NTLM kimlik doğrulamasını mı yoksa Kerberos kimlik doğrulamasını mı kullanmak istediğinizi belirtebileceğiniz yeni bir Güvenlik Yapılandırması bölümü vardır. Kimlik doğrulama ayarlarını yapılandırmak amacıyla tüm yönetimsel ayarları gözden geçirmek için, Windows SharePoint Services Yönetici Kılavuzu'na bakın. Windows SharePoint Services Yönetici Kılavuzu için aşağıdaki Microsoft Web sitesini ziyaret edin:Windows SharePoint Services'ın Windows SharePoint Services SP2'den önceki sürümlerinde genişletilen veya oluşturulan SharePoint sanal sunucuları çalıştırıyorsanız ve sanal sunucuları Kerberos kimlik doğrulaması kullanacak şekilde yapılandırmanız gerekiyorsa, sanal sunucu için gerekliyse Kerberos kimlik doğrulamasını el ile yapılandırmalısınız.

Sanal sunucuda Kerberos kimlik doğrulamasını etkinleştiren bir komut dosyası kullanmak için aşağıdaki adımları izleyin:
 1. IIS'nin çalıştığı sunucuda Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna cmd yazın ve Tamam'ı tıklatın.
 2. Inetpub\Adminscripts klasörüne gidin.
 3. Aşağıdaki komutu yazın ve ENTER tuşuna basın:
  cd Sürücü:\inetpub\adminscripts
  Not Bu komutta, Sürücü, Microsoft Windows'un yüklü olduğu sürücüdür.
 4. Aşağıdaki komutu yazın ve ENTER tuşuna basın:
  cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
  Not Bu komutta, ##, sanal sunucunun kimlik numarasıdır. ISS'deki Varsayılan Web Sitesi'nin sanal sunucu kimlik numarası 1'dir.
 5. Sanal sunucuda Kerberos kimlik doğrulamasını etkinleştirmek için aşağıdaki komutu yazın ve ENTER tuşuna basın:
  cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
  Not Bu komutta, ##, sanal sunucunun kimlik numarasıdır.
 6. IIS'yi yeniden başlatın. Bunu yapmak için aşağıdaki adımları izleyin:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna cmd yazın ve Tamam'ı tıklatın.
  2. Komut istemine iisreset yazın ve ENTER tuşuna basın.
  3. Exit yazıp ENTER tuşuna basarak Komut İstemi penceresini kapatın.
SharePoint Yönetim Merkezi veya içerik sanal sunucularını oluştururken Kerberos kimlik doğrulamasını seçtiyseniz ancak NTLM kimlik doğrulamasına geri dönmeniz gerekiyorsa, sanal sunucuda NTLM kimlik doğrulamasını etkinleştiren bir komut dosyası kullanabilirsiniz.

Sanal sunucuda NTLM kimlik doğrulamasını etkinleştiren bir komut dosyası kullanmak için aşağıdaki adımları izleyin:
 1. IIS'nin çalıştığı sunucuda Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna cmd yazın ve Tamam'ı tıklatın.
 2. Inetpub\Adminscripts klasörüne gidin.
 3. Aşağıdaki komutu yazın ve ENTER tuşuna basın:
  cd Sürücü:\inetpub\adminscripts
  Not Bu komutta, Sürücü, Windows'un yüklü olduğu sürücüdür.
 4. Aşağıdaki komutu yazın ve ENTER tuşuna basın:
  cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
  Not Bu komutta, ##, sanal sunucunun kimlik numarasıdır. ISS'deki Varsayılan Web Sitesi'nin sanal sunucu kimlik numarası 1'dir.
 5. Sanal sunucuda NTLM kimlik doğrulamasını etkinleştirmek için aşağıdaki komutu yazın ve ENTER tuşuna basın:
  cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
  Not Bu komutta, ##, sanal sunucunun kimlik numarasıdır.
 6. IIS'yi yeniden başlatın. Bunu yapmak için aşağıdaki adımları izleyin:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna cmd yazın ve Tamam'ı tıklatın.
  2. Komut istemine iisreset yazın ve ENTER tuşuna basın.
  3. Exit yazıp ENTER tuşuna basarak Komut İstemi penceresini kapatın.

Etki alanı kullanıcı hesabı için hizmet asıl adı yapılandırma

Windows SharePoint Services sitesinin uygulama havuzu kimliği yerleşik bir güvenlik sorumlusu (NT Authority\Network Service veya NT Authority\Local System gibi) kullanmak üzere yapılandırılmışsa bu adımı gerçekleştirmeniz gerekmez. Yerleşik hesaplar Kerberos kimlik doğrulaması ile kullanılmak üzere otomatik olarak yapılandırılmıştır.

Uzak bir Microsoft SQL Server 2000 sunucusu kullanıyorsanız ve etki alanı hesabı olarak NT Authority\Network Service hesabını kullanmak istiyorsanız, EtkiAlanı\BilgisayarAdı$ girişini eklemeniz ve bunu Database Creators ve Security Administrators izinleriyle yapılandırmanız gerekir. Bunu yaptığınızda, Windows SharePoint Services yapılandırma ve içerik veritabanlarını oluşturmak üzere SQL Server bilgisayarına bağlanabilir.

Uygulama havuzu kimliği bir etki alanı kullanıcısı hesabıysa, bu hesap için bir SPN yapılandırmanız gerekir. Etki alanı kullanıcısı hesabı için SPN yapılandırmak için aşağıdaki adımları izleyin:
 1. Setspn.exe komut satırı aracını karşıdan yükleyip kurun. Bunu yapmak için, aşağıdaki Microsoft Web sitelerinden birini ziyaret edin:

  Microsoft Windows 2000 Server için:Microsoft Windows Server 2003 için:
  892777 Windows Server 2003 Service Pack 1 Destek Araçları

 2. Setspn.exe aracını kullanarak etki alanı hesabı için bir SPN ekleyin. Bunu yapmak için komut isteminde aşağıdaki satırı yazın ve ENTER tuşuna basın. Burada, SunucuAdı, sunucunun tam etki alanı adı (FQDN); EtkiAlanı, etki alanının adı ve KullanıcıAdı da etki alanı kullanıcısı hesabının adıdır.
  setspn -A HTTP/SunucuAdı EtkiAlanı\KullanıcıAdı

Web bölümlerinin uzak kaynaklara erişmesi için temsil güvenini yapılandırma

SharePoint için uzak kaynaklara erişimi olan Web bölümleri geliştiriyorsanız, "Etki alanı kullanıcı hesabı için hizmet asıl adı yapılandırma" bölümünde listelenen adımları izlemeniz ve aşağıdaki adımları kullanarak hem bilgisayar hem de uygulama havuzu hesabını temsilci seçme için güvenilecek şekilde yapılandırmanız gerekir.

Not Uzak kaynaklara erişen Web bölümleriniz yoksa bu ek adımları uygulamanız gerekmez.

IIS sunucusunu temsilci seçme için güvenilecek şekilde yapılandırmak için aşağıdaki adımları izleyin:
 1. Active Directory Kullanıcıları ve Bilgisayarları'nı başlatın.
 2. Sol bölmede, Bilgisayarlar'ı tıklatın.
 3. Sağ bölmede, IIS sunucusunun adını sağ tıklatın ve sonra Özellikler'i tıklatın.
 4. Genel sekmesini tıklatın, Bilgisayara temsilci seçmek için güven onay kutusunu seçin ve sonra Tamam'ı tıklatın.
 5. Active Directory Kullanıcıları ve Bilgisayarları'ndan çıkın.
Uygulama havuzu kimliği bir etki alanı hesabı kullanmak üzere yapılandırılmışsa, Kerberos kimlik doğrulamasını kullanabilmeniz için önce kullanıcı hesabına temsil seçme için güvenilmesi gerekir. Etki alanı hesabını temsilci seçme için güvenilecek şekilde yapılandırmak için aşağıdaki adımları izleyin:
 1. Etki alanı denetleyicisinde, Active Directory Kullanıcıları ve Bilgisayarları'nı başlatın.
 2. Sol bölmede, Kullanıcılar'ı tıklatın.
 3. Sağ bölmede, kullanıcı hesabının adını sağ tıklatın ve sonra Özellikler'i tıklatın.
 4. Hesap sekmesini tıklatın, Hesap Seçenekleri altında Hesap, temsilci seçme için güvenilir onay kutusunu tıklatıp seçin ve sonra Tamam'ı tıklatın.
 5. Active Directory Kullanıcıları ve Bilgisayarları'ndan çıkın.
Uygulama havuzu kimliği bir etki alanı kullanıcısı hesabıysa, bu hesap için bir SPN yapılandırmanız gerekir. Etki alanı kullanıcısı hesabı için SPN yapılandırmak için aşağıdaki adımları izleyin:
 1. Setspn.exe komut satırı aracını karşıdan yükleyip kurun. Bunu yapmak için aşağıdaki Microsoft Web sitesini ziyaret edin:
 2. Setspn.exe aracını kullanarak etki alanı hesabı için bir SPN ekleyin. Bunu yapmak için komut isteminde aşağıdaki satırı yazın ve ENTER tuşuna basın. Burada, SunucuAdı, sunucunun tam etki alanı adı (FQDN); EtkiAlanı, etki alanının adı ve KullanıcıAdı da etki alanı kullanıcısı hesabının adıdır.
  Setspn -A HTTP/SunucuAdı EtkiAlanı\KullanıcıAdı

Referanslar

Windows SharePoint Services hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
Özellikler

Makale No: 832769 - Son İnceleme: 6 Ara 2007 - Düzeltme: 1

Geri bildirim