Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để cấu hình một máy chủ ảo Windows SharePoint Services sử dụng Kerberos xác thực và làm thế nào để chuyển từ Kerberos xác thực về NTLM xác thực

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:832769
GIỚI THIỆU
Bài viết này chứa thông tin về cách cấu hình một Microsoft Windows Máy chủ ảo SharePoint dịch vụ sử dụng Kerberos xác thực. Thêm vào đó, bài viết này chứa thông tin về làm thế nào để chuyển từ Kerberos xác thực về NTLM xác thực.

Chú ý Phiên bản 3 của Microsoft Windows SharePoint dịch vụ cho Microsoft Office 2007 sử dụng xác thực NTLM theo mặc định. Kerberos vẫn được hỗ trợ.
THÔNG TIN THÊM
Bắt đầu với Microsoft Windows SharePoint Services 2.0 Service Pack 2 (SP2), bạn có thể tạo ra máy chủ ảo của chính quyền trung ương SharePoint hoặc mở rộng một máy chủ ảo nội dung để sử dụng với Kerberos xác thực hay NTLM xác thực. Bạn không còn phải trực tiếp sửa đổi IIS metabase.

Microsoft Windows xác thực tích hợp hỗ trợ hai giao thức sau đó cung cấp các thách thức/phản ứng xác thực:
  • NTLM

    Giao thức NTLM là một giao thức an toàn dựa trên mã hóa tên người dùng và mật khẩu trước khi gửi tên người dùng và mật khẩu qua mạng. NTLM xác thực là cần thiết trong các mạng mà máy chủ nhận được yêu cầu từ khách hàng không hỗ trợ xác thực Kerberos.
  • Kerberos

    Giao thức Kerberos được dựa trên vé. Trong sơ đồ này, một người sử dụng phải cung cấp đầu tiên cho hợp lệ tên người dùng và mật khẩu vào một máy chủ xác thực. Sau đó, các máy chủ xác thực cho người dùng một vé. Vé có thể được sử dụng trên mạng để yêu cầu khác tài nguyên mạng. Để sử dụng chương trình này, khách hàng và máy chủ phải có một kết nối đáng tin cậy vào vùng trung tâm phân phối khóa (KDC). Ngoài ra, khách hàng và máy chủ phải được tương thích với các dịch vụ thư mục Active directory.
Chú ý Hầu hết thời gian, bạn nên chọn NTLM xác thực. Nếu bạn không có một nhu cầu cụ thể cho Kerberos xác thực hoặc nếu bạn không thể cấu hình dịch vụ chính tên (SPN), chọn NTLM xác thực. Nếu bạn chọn Kerberos xác thực và không thể cấu hình SPN thì chỉ quản trị viên máy chủ sẽ có thể để xác thực các trang web SharePoint.

Cả Windows SharePoint Services 3.0 và Microsoft Office SharePoint Server 2007 có chứa một chức năng được xây dựng trong chuyển về NTLM xác thực hoặc cấu hình thiết đặt xác thực. NTLM xác thực là phương pháp ưa thích. Cấu hình xác thực NTLM trên ứng dụng Web, sử dụng một trong những phương pháp sau đây:
  • Cấu hình xác thực NTLM trên ứng dụng Web từ SharePoint 3,0 chính quyền trung ương.
    1. Nhấp vào Bắt đầuCông cụ quản trị, và sau đó double-click Chính quyền trung ương SharePoint.
    2. Bấm vào các Ứng dụng quản lý tab, và sau đó nhấp vào Các nhà cung cấp xác thực.
    3. Trong các Ứng dụng web danh sách, chọn ứng dụng Web mà bạn có để Cập Nhật.
    4. Bấm vào các Khu vực mà bạn muốn.
    5. Trên các Chỉnh sửa xác thực Trang cho các Thiết đặt xác thực IIS, Tích hợp Windows xác thực, bấm NTLM.
    6. Để áp dụng những thay đổi, nhấp vào Ok.
  • Cấu hình xác thực NTLM trên ứng dụng Web từ Stsadm.exe dòng lệnh tiện ích.
    1. Tại dấu nhắc lệnh, thay đổi thư mục như sau:
      <system drive="">: \Program Files\Common Files\Microsoft Shared\web máy chủ extensions\12\BIN</system>
    2. Chạy lệnh sau:
      xác thực -o stsadm-url http://urlofthewebapplication-gõ cửa sổ - exclusivelyusentlm
      Chú ý Để xem các tùy chọn khác cho các hoạt động, hãy chạy lệnh sau:
      stsadm-giúp đỡ xác thực

Cấu hình Windows SharePoint Services 2.0 sử dụng Kerberos xác thực hoặc NTLM xác thực

Bắt đầu với Windows SharePoint Services 2.0 Service Pack 2 (SP2), bạn có thể dùng giao diện người dùng SharePoint hoặc lệnh một dấu nhắc lệnh để lập cấu hình máy chủ ảo SharePoint chính quyền trung ương và nội dung các máy chủ ảo. Bạn cấu hình máy chủ ảo của chính quyền trung ương SharePoint khi bạn tạo các chính quyền trung ương SharePoint, và bạn cấu hình máy chủ ảo nội dung khi bạn mở rộng nội dung máy chủ ảo. Khi bạn tạo máy chủ ảo của chính quyền trung ương SharePoint hoặc mở rộng một máy chủ ảo mới, có là một mới Cấu hình bảo mật phần nơi bạn có thể xác định xem bạn muốn sử dụng NTLM xác thực hoặc Kerberos xác thực. Xem xét tất cả các thiết đặt quản trị cho cấu hình các thiết đặt xác thực, hãy xem hướng dẫn của Windows SharePoint Services Administrator. Để xem hướng dẫn của Windows SharePoint Services Administrator, ghé thăm Web site sau của Microsoft:Nếu bạn đang chạy máy chủ ảo SharePoint mà đã được mở rộng hoặc được tạo ra trong các phiên bản của Windows SharePoint Services 2.0 được sớm hơn Windows SharePoint Services 2.0 SP2, và nếu bạn cần phải cấu hình máy chủ ảo cho Kerberos xác thực, bạn phải tự cấu hình xác thực Kerberos cho máy chủ ảo nếu nó là cần thiết.

Sử dụng một tập lệnh để kích hoạt tính năng Kerberos xác thực trên các máy chủ ảo, thực hiện theo các bước sau:
  1. Trên máy chủ đang chạy IIS, nhấp Bắt đầu, bấmChạy, loại CMD trong cácMở hộp, và sau đó nhấp vào Ok.
  2. Thay đổi thư mục Inetpub\Adminscripts.
  3. Loại lệnh sau, và sau đó nhấn ENTER:
    đĩa CD Ổ đĩa: \inetpub\adminscripts
    Chú ý Trong lệnh này, Ổ đĩa là ổ nơi Microsoft Windows được cài đặt.
  4. Gõ lệnh sau đây, sau đó nhấn ENTER:
    cscript adsutil.vbs nhận được w3svc / ## / root/NTAuthenticationProviders
    Chú ý Trong lệnh này, ## là số ID máy chủ ảo. Máy chủ ảo số thẻ của trang Default Web IIS là 1.
  5. Để cho phép xác thực Kerberos trên máy chủ ảo, gõ các lệnh sau, và sau đó nhấn ENTER:
    cscript adsutil.vbs đặt w3svc / ## / root/NTAuthenticationProviders "Negotiate, NTLM"
    Chú ý Trong lệnh này, ## là số ID máy chủ ảo.
  6. Khởi động lại IIS. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Nhấp vào Bắt đầu, bấmChạy, loại CMD trong các Mở hộp, sau đó bấm Ok.
    2. Tại dấu nhắc lệnh, gõ iisreset, sau đó nhấn ENTER
    3. Loại exit, sau đó nhấn ENTER để đóng cửa sổ dấu nhắc lệnh.
Nếu bạn đã chọn Kerberos xác thực khi bạn tạo các chính quyền trung ương SharePoint hoặc nội dung máy chủ ảo, nhưng bạn phải chuyển về NTLM xác thực, bạn có thể sử dụng một tập lệnh để kích hoạt tính năng xác thực NTLM trên máy chủ ảo.

Sử dụng một tập lệnh để kích hoạt tính năng xác thực NTLM trên máy chủ ảo, thực hiện theo các bước sau:
  1. Trên máy chủ đang chạy IIS, nhấp Bắt đầu, bấmChạy, loại CMD trong cácMở hộp, và sau đó nhấp vào Ok.
  2. Thay đổi thư mục Inetpub\Adminscripts.
  3. Loại lệnh sau, và sau đó nhấn ENTER:
    đĩa CD Ổ đĩa: \inetpub\adminscripts
    Chú ý Trong lệnh này, Ổ đĩa là ổ nơi Windows được cài đặt.
  4. Gõ lệnh sau đây, sau đó nhấn ENTER:
    cscript adsutil.vbs nhận được w3svc / ## / root/NTAuthenticationProviders
    Chú ý Trong lệnh này, ## là số ID máy chủ ảo. Máy chủ ảo số thẻ của trang Default Web IIS là 1.
  5. Để cho phép xác thực NTLM trên máy chủ ảo, gõ các lệnh sau, và sau đó nhấn ENTER:
    cscript adsutil.vbs đặt w3svc / ## / root/NTAuthenticationProviders "NTLM"
    Chú ý Trong lệnh này, ## là số ID máy chủ ảo.
  6. Khởi động lại IIS. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Nhấp vào Bắt đầu, bấmChạy, loại CMD trong các Mở hộp, sau đó bấm Ok.
    2. Tại dấu nhắc lệnh, gõ iisreset, sau đó nhấn ENTER.
    3. Loại exit, sau đó nhấn ENTER để đóng cửa sổ dấu nhắc lệnh.

Cấu hình dịch vụ chính tên cho trương mục người dùng vùng

Nếu nhận dạng hồ bơi ứng dụng cho Windows SharePoint Services 2,0 trang web được cấu hình để sử dụng một hiệu trưởng an ninh được xây dựng trong (ví dụ như NT Authority\Network dịch vụ hoặc hệ thống NT Authority\Local), bạn không cần phải thực hiện bước này. Các tài khoản được xây dựng trong tự động được cấu hình để làm việc với Kerberos xác thực.

Nếu bạn sử dụng một từ xa Microsoft SQL Server 2000 server và bạn muốn sử dụng NT Authority\Network Service như tên miền tài khoản, bạn có thêm các Miền\ComputerName$ nhập cảnh và cấu hình nó với người sáng tạo cơ sở dữ liệu và quản trị an ninh cấp phép. Bằng cách đó, Windows SharePoint Services 2.0 có thể kết nối từ xa SQL Server máy tính để tạo ra các cấu hình và nội dung cơ sở dữ liệu.

Nếu nhận dạng hồ bơi ứng dụng là trương mục người dùng vùng, bạn phải cấu hình một SPN cho tài khoản đó. Để cấu hình một SPN cho tên miền người dùng tài khoản, hãy làm theo các bước sau:
  1. Tải về và cài đặt công cụ dòng lệnh Setspn.exe. Để làm điều này, truy cập vào một trong số sau đây Microsoft Web site.

    Cho Microsoft Windows 2000 Server:Cho Microsoft Windows Server 2003:
    970536 Setspn.exe hỗ trợ công cụ cập nhật cho Windows Server 2003
    Cho Microsoft Windows Server 2008:Setspn được bao gồm mặc định trong Windows Server 2008. Nó có sẵn khi bạn thêm vai trò 'Thư mục hoạt động dịch vụ miền' trên máy chủ của bạn (bạn thêm vai trò này qua Server Manager, có sẵn khi bạn bấm bắt đầu). Bạn phải chạy Setspn từ một dấu nhắc lệnh nâng lên. Nâng cao dấu nhắc này, bấm bắt đầu, và nhấp chuột phải vào biểu tượng dấu nhắc lệnh, sau đó bấm vào 'Chạy như quản trị viên'. Điều này sẽ khởi động cửa sổ lệnh với đặc quyền elevated.
  2. Sử dụng công cụ Setspn.exe để thêm một SPN cho trương mục vùng. Để thực hiện việc này, hãy làm theo những bước sau:
    1. Gõ dòng sau tại dấu nhắc lệnh và sau đó nhấn ENTER:
      Setspn - một HTTP/FQDNTên máy chủMiền\Tên người dùng
      Chú ý Trong lệnh này, Tên máy chủ là tên miền hoàn toàn đủ tiêu chuẩn (FQDN) của máy chủ, Miền là tên miền, và Tên người dùng là tên của trương mục người dùng vùng.
    2. Gõ dòng sau tại dấu nhắc lệnh và sau đó nhấn ENTER:
      Setspn - một HTTP/NETBIOSTên máy chủMiền\Tên người dùng
      Chú ý Trong lệnh này, Tên máy chủ tên NETBIOS của máy chủ, Miền là tên miền, và Tên người dùng là tên của trương mục người dùng vùng.

Cấu hình sự tin tưởng cho đoàn đại biểu cho các bộ phận Web

Để cấu hình các IIS máy chủ được tin cậy cho đoàn đại biểu, hãy làm theo các bước sau:
  1. Bắt đầu hoạt động thư mục người dùng và máy tính.
  2. Trong ngăn bên trái, nhấp vàoMáy vi tính.
  3. Trong ngăn bên phải, bấm chuột phải vào tên của hệ phục vụ IIS, sau đó bấm Thuộc tính.
  4. Bấm vào các Tổng quát tab, nhấn vào đây để chọn cácTin tưởng máy tính cho đoàn đại biểu kiểm tra hộp và bấmOk.
  5. Bỏ hoạt động thư mục người dùng và máy tính.
Nếu nhận dạng hồ bơi ứng dụng được cấu hình để sử dụng một tên miền trương mục người dùng, trương mục người dùng phải được tin cậy cho đoàn trước khi bạn có thể sử dụng xác thực Kerberos. Để lập cấu hình trương mục vùng được tin cậy cho đoàn đại biểu, làm theo các bước sau:
  1. Trên bộ điều khiển tên miền, bắt đầu hoạt động thư mục người sử dụng và Các máy tính.
  2. Trong ngăn bên trái, nhấp vào Người dùng.
  3. Trong ngăn bên phải, bấm chuột phải vào tên người dùng tài khoản, và sau đó nhấp vào Thuộc tính.
  4. Bấm vào các Tài khoản tab, dướiTuỳ chọn tài khoản, nhấn vào đây để chọn các Tài khoản tin tưởng cho đoàn đại biểu kiểm tra hộp và bấm Ok.
  5. Bỏ hoạt động thư mục người dùng và máy tính.
Nếu nhận dạng hồ bơi ứng dụng là trương mục người dùng vùng, bạn phải cấu hình một SPN cho tài khoản đó. Để cấu hình một SPN cho người dùng tên miền tài khoản, hãy làm theo các bước sau:
  1. Tải về và cài đặt công cụ dòng lệnh Setspn.exe. Để làm như vậy, ghé thăm Web site sau của Microsoft:
  2. Sử dụng công cụ Setspn.exe để thêm một SPN cho tên miền tài khoản. Để làm điều này, hãy gõ dòng sau tại dấu nhắc lệnh, và sau đó bấm phím ENTER, nơi Tên máy chủ là hoàn toàn đủ điều kiện tên miền (FQDN) của máy chủ, Miền là tên tên miền, và Tên người dùng là tên của các trương mục người dùng vùng:
    Setspn -A HTTP/ServerName Domain\UserName
Để biết thêm thông tin về Windows SharePoint Services, ghé thăm Web site sau của Microsoft:
WSS WSSv3

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 832769 - Xem lại Lần cuối: 09/12/2011 09:59:00 - Bản sửa đổi: 2.0

Microsoft Windows SharePoint Services 3.0, Microsoft Windows SharePoint Services 2.0

  • kbaccounts kbwebservices kbauthentication kbconfig kbhowto kbmt KB832769 KbMtvi
Phản hồi