HOW TO:配置 IIS 以支持 Kerberos 和 NTLM 身份验证
要确保 IIS 对 Kerberos 和 NTLM 身份验证都支持,请确认在“NTAuthenticationProviders”元数据库项中设置了 Negotiate 标题:[*] 单击“开始”,单击“运行”,键入 cmd,然后按 Enter 键。
[*] 找到包含 Adsutil.vbs 文件的目录。默认情况下,该目录是 C:\Inetpub\Adminscripts。
[*] 使用下面的命令检索“NTAuthenticationProviders”的当前值:
cscript adsutil.vbs get w3svc/NTAuthenticationProviders
如果启用了 Negotiate,将会返回以下内容:
NTAuthenticationProviders :(STRING) "Negotiate,NTLM"
[*] 如果此字符串中未返回 Negotiate,请使用下面的命令启用它:
cscript adsutil.vbs set w3svc/NTAuthenticationProviders “Negotiate,NTLM”
[*] 重复第 3 步验证是否已启用了 Negotiate。
注意:可以禁用 Negotiate 以强制 IIS 仅发送 NTLM 标题。要禁用 Negotiate(从而阻止 Kerberos 身份验证),请使用下面的命令(注意“NTLM”必须大写,以避免出现任何不利的影响):
cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”
http://support.microsoft.com/kb/215383/zh-cn
页:
[1]