Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Làm thế nào để cấu hình IIS hỗ trợ cả giao thức Kerberos và giao thức NTLM cho mạng xác thực

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:215383
Quan trọng Bài viết này chứa thông tin về cách chỉnh sửa metabase. Trước khi bạn chỉnh sửa metabase, kiểm chứng rằng bạn có một sao lưu mà bạn có thể khôi phục lại nếu một vấn đề xảy ra. Thông tin về làm thế nào để làm điều này, xem chủ điểm trợ giúp "cấu hình sao lưu/khôi phục lại" trong Microsoft Management Console (MMC).
TÓM TẮT
Bài viết từng bước này mô tả cách cấu hình Microsoft Internet Information Services (IIS) để hỗ trợ cả giao thức Kerberos và giao thức NTLM cho mạng xác thực.

IIS vượt qua tiêu đề an ninh Negotiate, khi tích hợp Windows xác thực được sử dụng để xác thực khách hàng yêu cầu. An ninh Negotiate tiêu đề cho phép khách hàng chọn giữa Kerberos xác thực và NTLM xác thực. Quá trình Negotiate chọn Xác thực Kerberos trừ khi một trong những điều kiện sau là đúng:
 • Một trong những hệ thống đó tham gia vào các xác thực không thể sử dụng xác thực Kerberos.
 • Các ứng dụng gọi không cung cấp đủ thông tin sử dụng xác thực Kerberos.
Để kích hoạt trình Negotiate để chọn các Giao thức Kerberos cho mạng xác thực, các ứng dụng khách hàng phải cung cấp một dịch vụ chính tên (SPN), một người sử dụng chính tên (UPN), hoặc một tài khoản NetBIOS tên như tên đích. Nếu không, tiến trình Negotiate luôn chọn giao thức NTLM như các phương thức xác thực ưa thích.

Đặt tiêu đề an ninh Negotiate

Cảnh báo Nếu bạn chỉnh sửa metabase không chính xác, bạn có thể gây ra vấn đề nghiêm trọng mà có thể yêu cầu bạn cài đặt lại bất kỳ sản phẩm có sử dụng metabase. Microsoft không thể đảm bảo rằng những vấn đề gây ra nếu bạn không chính xác chỉnh sửa metabase có thể được giải quyết. Chỉnh sửa metabase nguy cơ của riêng bạn.

Chú ý Luôn luôn sao lưu metabase trước khi bạn chỉnh sửa nó.

Chú ý
 • Theo mặc định, các NTAuthenticationProviders bất động sản metabase không xác định khi bạn cài đặt IIS 6.0. IIS 6.0 sử dụng các Thương lượng, NTLM tham số khi các NTAuthenticationProviders bất động sản metabase không xác định. Vì vậy, bạn không cần phải cấu hình IIS để sử dụng các Thương lượng, NTLM bất động sản có giá trị trừ khi giá trị mặc định đã được ghi đè.
 • Theo mặc định, các NTAuthenticationProviders bất động sản metabase được định nghĩa khi bạn cài đặt IIS 5.1 và IIS 5.0. Bất động sản metabase này sử dụng các Thương lượng, NTLM tham số. Vì vậy, bạn không cần phải cấu hình IIS để sử dụng các Thương lượng, NTLM bất động sản có giá trị trừ khi giá trị mặc định đã được ghi đè.
Để đảm bảo rằng IIS hỗ trợ cả hai giao thức Kerberos và giao thức NTLM, bạn phải xác nhận rằng tiêu đề an ninh Negotiate được đặt các NTAuthenticationProviders bất động sản metabase. Để thực hiện việc này, sử dụng các phương pháp thích hợp cho phiên bản IIS mà bạn có.

IIS 6.0

 1. Nhấp vào Bắt đầu, bấm Chạy, loại CMD, và sau đó nhấn ENTER.
 2. Xác định vị trí thư mục chứa các tập tin Adsutil.vbs. Bởi mặc định, thư mục này là C:\Inetpub\Adminscripts.
 3. Sử dụng lệnh sau đây để lấy các giá trị hiện tại Đối với các NTAuthenticationProviders bất động sản metabase:
  nhận được cscript adsutil.vbs w3svc /Trang web/ root/NTAuthenticationProviders
  Trong lệnh này, Trang web là một giữ chỗ cho số lượng trang Web ID. Web site ID số lượng các trang Web mặc định là 1.

  Cảnh báo Không thực hiện một hoạt động sao chép và dán để dán lệnh từ bài viết này. Thao tác này có thể gây ra các vấn đề với các cài đặt tài sản. Để tránh những vấn đề này, gõ lệnh toàn bộ tại một dấu nhắc lệnh.

  Chú ý Lệnh này không thành công nếu các NTAuthenticationProviders bất động sản metabase không xác định. Để biết thêm chi tiết, xem lưu ý trước đó trong phần này.

  Nếu quá trình Negotiate được kích hoạt, lệnh này trở về các thông tin sau:
  NTAuthenticationProviders: Thương (STRING) "lượng, NTLM"
 4. Nếu lệnh trong bước 3 không trở về chuỗi "Negotiate, ntlm," sử dụng các lệnh sau để kích hoạt trình Negotiate:
  cscript adsutil.vbs đặt w3svc /Trang web/ root/NTAuthenticationProviders "Negotiate, ntlm"
 5. Lặp lại bước 3 để xác minh rằng quá trình Negotiate đã được kích hoạt.
Chú ý Nếu bạn nhận được một lỗi khi bạn cố gắng để xác minh rằng quá trình Negotiate có được kích hoạt, hãy chắc chắn rằng bạn đã không để lại một không gian giữa "Đàm phán" và "ntlm." Ví dụ, "Negotiate, ntlm" khác với "Negotiate, ntlm."

IIS 5.1 hoặc IIS 5,0

 1. Nhấp vào Bắt đầu, bấm Chạy, loại CMD, và sau đó nhấn ENTER.
 2. Xác định vị trí thư mục chứa các tập tin Adsutil.vbs. Bởi mặc định, thư mục này là C:\Inetpub\Adminscripts.
 3. Sử dụng lệnh sau đây để lấy các giá trị hiện tại Đối với các NTAuthenticationProviders bất động sản metabase:
  cscript adsutil.vbs nhận được w3svc/NTAuthenticationProviders
  Cảnh báo Không thực hiện một hoạt động sao chép và dán để dán lệnh từ bài viết này. Thao tác này có thể gây ra các vấn đề với các cài đặt tài sản. Để tránh những vấn đề này, gõ lệnh toàn bộ tại một dấu nhắc lệnh.

  Chú ý Lệnh này không thành công nếu các NTAuthenticationProviders bất động sản metabase không xác định. Để biết thêm chi tiết, xem lưu ý trước đó trong phần này.

  Nếu quá trình Negotiate được kích hoạt, lệnh này trở về các thông tin sau:
  NTAuthenticationProviders: Thương (STRING) "lượng, NTLM"
  Chú ý Theo mặc định, các NTAuthenticationProviders metabase tài sản được thiết lập để Thương lượng, NTLM khi bạn cài đặt IIS 5.1 hoặc IIS 5.0.
 4. Nếu lệnh trong bước 3 không trở về chuỗi "Negotiate, ntlm," sử dụng các lệnh sau để kích hoạt trình Negotiate:
  cscript adsutil.vbs đặt w3svc/NTAuthenticationProviders "Negotiate, ntlm"
 5. Lặp lại bước 3 để xác minh rằng quá trình Negotiate đã được kích hoạt.


Chú ý Nếu bạn nhận được một lỗi khi bạn cố gắng để xác minh rằng quá trình Negotiate có được kích hoạt, hãy chắc chắn rằng bạn đã không để lại một không gian giữa "Đàm phán" và "ntlm." Ví dụ, "Negotiate, ntlm" khác với "Negotiate, ntlm."

Bạn có thể vô hiệu hoá trình Negotiate để buộc IIS để sử dụng NTLM giao thức cho mạng xác thực. Thủ tục này ngăn cản IIS từ việc sử dụng giao thức Kerberos. Để vô hiệu hoá trình Negotiate, sử dụng lệnh sau đây.

Chú ý Trong lệnh này, "ntlm" phải được viết hoa để tránh bất kỳ tác dụng phụ.
cscript adsutil.vbs đặt w3svc/NTAuthenticationProviders "ntlm"
Chú ý Để kiểm chứng rằng sự thay đổi đã được thực hiện thành công, luôn luôn lặp lại bước 3 khi bạn thay đổi giá trị metabase này.
adsutil Kerberos

Cảnh báo: Bài viết này được dịch tự động

Özellikler

Makale No: 215383 - Son İnceleme: 08/21/2011 11:21:00 - Düzeltme: 2.0

Microsoft Internet Information Services 6.0

 • kbhowtomaster kbhowto kbmt KB215383 KbMtvi
Geri bildirim