升级到 Internet Explorer 6 后无法协商 Kerberos 身份验证

本文已归档。它按“原样”提供,并且不再更新。
症状
升级到 Internet Explorer 6 或 Internet Explorer 6 Service Pack 1 (SP1) 后,Internet Explorer 无法与支持 Kerberos 的 Web 服务器(例如 Microsoft Internet 信息服务 5.0 版)协商 Kerberos 身份验证。
原因
发生此问题的原因是,Windows 2000 下的 Internet Explorer 6 或更高版本不响应协商质询,并且默认为 NTLM 或 Windows NT 质询/响应(默认情况下的身份验证)。
解决方案
要解决此问题,请让 Internet Explorer 6 能够响应协商质询和执行 Kerberos 身份验证:
  1. 在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”。
  2. 单击“高级”选项卡,单击以选中“安全”部分中的“启用集成 Windows 身份验证(需要重启动)”复选框,然后单击“确定”。
  3. 重新启动 Internet Explorer。
管理员可以通过将以下注册表项中的 EnableNegotiate DWORD 值设置为 1,启用“集成 Windows 身份验证”:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
注意:当 Internet Explorer 6 与 Microsoft Windows 98、Microsoft Windows 98 Second Edition、Microsoft Windows Millennium Edition 和 Microsoft Windows NT 4.0 一起使用时,它不响应协商质询,并且默认为 NTLM(或者 Windows NT 质询/响应)身份验证,即使选中了“启用集成 Windows 身份验证(需要重启动)”复选框也是如此,原因是,Kerberos 身份验证在这些操作系统上不可用。
状态
这种现象是设计导致的。
更多信息
默认情况下,在 Windows XP 和 Windows Server 2003 下的 Internet Explorer 6 中,“启用集成 Windows 身份验证(需要重启动)”复选框是选中的,因此,本文中的信息仅适用于 Windows 2000 下的 Internet Explorer 6 或更高版本。请注意,在基于 Windows 2000 且装有 Internet Explorer 版本 6 或更高版本的计算机上,Kerberos 身份验证协议仍然是其他形式的网络身份验证的默认协议。

Internet Explorer 5.x 版本或版本 6 和更高版本均不支持与代理服务器进行 Kerberos 身份验证,即使启用了“集成 Windows 身份验证”也是如此。 有关此问题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
321728Internet Explorer 不支持与代理服务器进行 Kerberos 身份验证
有关利用 Internet 信息服务 5.0 进行“集成 Windows 身份验证”的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
215383如何配置 IIS 以支持 Kerberos 和 NTLM 身份验证
294382 如果网站的“主机头”不同于服务器的 NetBIOS 名称,身份验证可能会失败并返回“401.3”错误
owa exchange 5.5
属性

文章 ID:299838 - 上次审阅时间:12/06/2015 02:54:57 - 修订版本: 4.2

Microsoft Internet Explorer 6.0

  • kbnosurvey kbarchive kbinterop kbnetwork kbprb KB299838
反馈