您目前已離線,請等候您的網際網路重新連線

如何設定 Windows SharePoint Services 虛擬伺服器使用 Kerberos 驗證,以及如何從 Kerberos 驗證切換回 NTLM 驗證

簡介
本文包含有關如何設定 Microsoft Windows SharePoint Services 虛擬伺服器使用 Kerberos 驗證的資訊。此外,本文還包括有關如何從 Kerberos 驗證切換回 NTLM 驗證的資訊。
其他相關資訊
從 Microsoft Windows SharePoint Services Service Pack 2 (SP2) 開始,您可以建立 SharePoint 管理中心虛擬伺服器或擴充內容虛擬伺服器,以搭配 Kerberos 驗證或 NTLM 驗證使用。您不再需要直接修改 IIS Metabase。

「Microsoft Windows 整合式驗證」支援下列兩種提供挑戰/回應驗證的通訊協定:
  • NTLM

    NTLM 通訊協定是安全的通訊協定,會在透過網路傳送使用者名稱和密碼之前,先將使用者名稱和密碼加密。在伺服器從不支援 Kerberos 驗證的用戶端接收要求的這類網路中,便需要用到 NTLM 驗證。
  • Kerberos

    Kerberos 通訊協定是以票證為基礎。在這個配置中,使用者必須先提供有效的使用者名稱和密碼給驗證伺服器。然後,驗證伺服器便會授與使用者票證。使用者可以利用票證在網路上要求其他網路資源。如果要使用這個配置,用戶端和伺服器都必須具備連線至網域「金鑰發佈中心」(Key Distribution Center,KDC) 的信任連線。此外,用戶端和伺服器也都必須與 Active Directory 目錄服務相容。
注意 大多時候,您應該選擇 NTLM 驗證。如果您對 Kerberos 驗證沒有特定需求,或者無法設定服務主要名稱 (SPN),那麼請選擇 NTLM 驗證。如果您選擇 Kerberos 驗證,並且無法設定 SPN,將只有伺服器系統管理員能夠驗證 SharePoint 網站。

回到頁首

設定 Windows SharePoint Services 使用 Kerberos 驗證或 NTLM 驗證

從 Windows SharePoint Services Service Pack 2 (SP2) 開始,您可以使用 SharePoint 使用者介面或命令提示字元中的命令,設定 SharePoint 管理中心虛擬伺服器和內容虛擬伺服器。您會在建立 SharePoint 管理中心時,設定 SharePoint 管理中心虛擬伺服器,並在擴充內容虛擬伺服器時,設定內容虛擬伺服器。當您建立 SharePoint 管理中心虛擬伺服器或擴充新的虛擬伺服器時,會出現新的 [安全性設定] 區域,您可以在這個區域中指定要使用 NTLM 驗證或 Kerberos 驗證。如果要檢視用來設定驗證設定的所有系統管理設定,請參閱《Windows SharePoint Services Administrator's Guide》。如果要參閱《Windows SharePoint Services Administrator's Guide》,請造訪下列 Microsoft 網站:

如果執行的 SharePoint 虛擬伺服器是在 Windows SharePoint Services SP2 之前的 Windows SharePoint Services 版本中加以擴充或建立的,並且您需要設定虛擬伺服器,以用於 Kerberos 驗證,則您必須手動為虛擬伺服器設定 Kerberos 驗證 (需要的話)。

如果要在虛擬伺服器上使用指令碼啟用 Kerberos 驗證,請依照下列步驟執行:
  1. 在執行 IIS 的伺服器上,按一下 [開始],再按一下 [執行],並在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
  2. 變更為 Inetpub\Adminscripts 資料夾。
  3. 輸入下列命令,然後按下 ENTER:
    cd Drive:\inetpub\adminscripts
    注意 在這個命令中,Drive 是安裝 Microsoft Windows 的磁碟機。
  4. 輸入下列命令,然後按下 ENTER:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    注意 在這個命令中,## 是虛擬伺服器的識別碼。在 IIS 中,「預設的網站」的虛擬伺服器識別碼為 1。
  5. 如果要在虛擬伺服器上啟用 Kerberos 驗證,請輸入下列命令,然後按下 ENTER:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "Negotiate,NTLM"
    注意 在這個命令中,## 是虛擬伺服器的識別碼。
  6. 重新啟動 IIS。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [執行],並在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
    2. 在命令提示字元輸入 iisreset,然後按下 ENTER。
    3. 輸入 exit,再按下 ENTER,關閉 [命令提示字元] 視窗。
如果您在建立 SharePoint 管理中心或內容虛擬伺服器時,選擇了 Kerberos 驗證,但是必須切換回 NTLM 驗證,您可以在虛擬伺服器使用指令碼啟用 NTLM 驗證。

如果要在虛擬伺服器上使用指令碼啟用 NTLM 驗證,請依照下列步驟執行:
  1. 在執行 IIS 的伺服器上,按一下 [開始],再按一下 [執行],並在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
  2. 變更為 Inetpub\Adminscripts 資料夾。
  3. 輸入下列命令,然後按下 ENTER:
    cd Drive:\inetpub\adminscripts
    注意 在這個命令中,Drive 是安裝 Windows 的磁碟機。
  4. 輸入下列命令,然後按下 ENTER:
    cscript adsutil.vbs get w3svc/##/root/NTAuthenticationProviders
    注意 在這個命令中,## 是虛擬伺服器的識別碼。在 IIS 中,「預設的網站」的虛擬伺服器識別碼為 1。
  5. 如果要在虛擬伺服器上啟用 NTLM 驗證,請輸入下列命令,然後按下 ENTER:
    cscript adsutil.vbs set w3svc/##/root/NTAuthenticationProviders "NTLM"
    注意 在這個命令中,## 是虛擬伺服器的識別碼。
  6. 重新啟動 IIS。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [執行],並在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
    2. 在命令提示字元輸入 iisreset,然後按下 ENTER。
    3. 輸入 exit,再按下 ENTER,關閉 [命令提示字元] 視窗。
回到頁首

設定網域使用者帳戶的服務主要名稱

如果 Windows SharePoint Services 網站的應用程式集區識別是設定成使用內建的安全性主體 (例如 NT Authority\Network Service 或 NT Authority\Local System),您就不需執行此步驟。內建帳戶會自動設定成與 Kerberos 驗證搭配運作。

如果您使用遠端 Microsoft SQL Server 2000 伺服器,並且想要將 NT Authority\Network Service 當做網域帳戶使用,您必須新增 Domain\ComputerName$ 項目,並以「資料庫建立者及安全性管理員」使用權限設定此項目。執行這項操作之後,Windows SharePoint Services 就可以連接至遠端 SQL Server 電腦,以建立設定和內容資料庫。

如果應用程式集區識別是網域使用者帳戶,則您必須為該帳戶設定 SPN。如果要為網域使用者帳戶設定 SPN,請依照下列步驟執行:
  1. 下載並安裝 Setspn.exe 命令列工具。如果要執行這項操作,請造訪下列 Microsoft 網站:
  2. 使用 Setspn.exe 工具為網域帳戶新增 SPN。如果要執行這項操作,請在命令提示字元輸入下行,然後按下 ENTER,其中 ServerName 是伺服器的完整網域名稱 (FQDN),Domain 是網域的名稱,而 UserName 是網域使用者帳戶的名稱:
    setspn -A HTTP/ServerName Domain\UserName

設定網頁組件委派的信任以存取遠端資源

如果您正在開發必須存取遠端資源的 SharePoint 網頁組件,則必須依照<設定網域使用者帳戶的服務主要名稱>一節所述的步驟執行,並執行下列步驟,將電腦和應用程式集區帳戶設定為受信任可以執行委派。

注意 如果您沒有要存取遠端資源的網頁組件,則不需要執行這些額外步驟。

如果要將 IIS 伺服器設定為受信任可以執行委派,請依照下列步驟執行:
  1. 啟動 [Active Directory 使用者及電腦]。
  2. 在左窗格中,按一下 [電腦]
  3. 在右窗格中,用滑鼠右鍵按一下 IIS 伺服器的名稱,然後按一下 [內容]
  4. 按一下 [一般] 索引標籤,再按一下以選取 [信任電腦以便進行委派] 核取方塊,然後按一下 [確定]
  5. 結束 [Active Directory 使用者及電腦]。
如果應用程式集區識別是設定成使用網域使用者帳戶,則您必須先將使用者帳戶設定成受信任可以執行委派,才能使用 Kerberos 驗證。如果要將網域帳戶設定為受信任可以執行委派,請依照下列步驟執行:
  1. 在網域控制站上,啟動 [Active Directory 使用者及電腦]。
  2. 在左窗格中,按一下 [使用者]
  3. 在右窗格中,以滑鼠右鍵按一下使用者帳戶的名稱,然後按一下 [內容]
  4. 按一下 [帳戶] 索引標籤,並在 [帳戶選項] 下,按一下以選取 [帳戶受信任可以委派] 核取方塊,然後按一下 [確定]
  5. 結束 [Active Directory 使用者及電腦]。
如果應用程式集區識別是網域使用者帳戶,則您必須為該帳戶設定 SPN。如果要為網域使用者帳戶設定 SPN,請依照下列步驟執行:
  1. 下載並安裝 Setspn.exe 命令列工具。如果要執行這項操作,請造訪下列 Microsoft 網站:
  2. 使用 Setspn.exe 工具為網域帳戶新增 SPN。如果要執行這項操作,請在命令提示字元輸入下行,然後按下 ENTER,其中 ServerName 是伺服器的完整網域名稱 (FQDN),Domain 是網域的名稱,而 UserName 是網域使用者帳戶的名稱:
    Setspn -A HTTP/ServerName Domain\UserName
回到頁首
参考
如需有關 Windows SharePoint Services 的詳細資訊,請造訪下列 Microsoft 網站:回到頁首
內容

文章識別碼:832769 - 最後檢閱時間:07/16/2013 08:08:00 - 修訂: 6.6

Microsoft Windows SharePoint Services

  • kbaccounts kbwebservices kbauthentication kbconfig kbhowto KB832769
意見反應
');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">