配置 IIS 以支持 Kerberos 和 NTLM 身份验证

最新推荐文章于 2021-11-23 16:41:04 发布
最新推荐文章于 2021-11-23 16:41:04 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: C# 文章标签: Windows认证 Kerberos NTLM

要确保 IIS 对 Kerberos 和 NTLM 身份验证都支持,请确认在“NTAuthenticationProviders”元数据库项中设置了 Negotiate 标题:  

  1. 单击“开始”,单击“运行”,键入 cmd,然后按 Enter 键。

  2. 找到包含 Adsutil.vbs 文件的目录。默认情况下,该目录是 C:\Inetpub\Adminscripts。

  3. 使用下面的命令检索“NTAuthenticationProviders”的当前值:

    cscript adsutil.vbs get w3svc/NTAuthenticationProviders

    如果启用了 Negotiate,将会返回以下内容:

    NTAuthenticationProviders       :(STRING) "Negotiate,NTLM"

  4. 如果此字符串中未返回 Negotiate,请使用下面的命令启用它:

    cscript adsutil.vbs set w3svc/NTAuthenticationProviders “Negotiate,NTLM”

  5. 重复第 3 步验证是否已启用了 Negotiate。


注意:可以禁用 Negotiate 以强制 IIS 仅发送 NTLM 标题。要禁用 Negotiate(从而阻止 Kerberos 身份验证),请使用下面的命令(注意“NTLM”必须大写,以避免出现任何不利的影响):

cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”

 

转自:http://blog.51cto.com/huifu/1438448

正在注销账号
关注
专栏目录
IIS 开启 Kerberos 认证
Matthew的博客
02-14 2930
IIS 开启 Kerberos 认证 1. 试验环境 Windows server 2008 Active Directory: 2k8beta.com IIS 7 on Windows server 2008 R2: kerbtree.2k8beta.com (是 2k8beta.com 的域成员服务器) 2. 开启 Windows Authentic
AD认证KerberosNTLM
b10d9的博客
02-07 3892
AD认证主要用到两种协议:KerberosNTLM NTLM 认证过程如下: client本地生成NTLM hash,值为用户密码的hash值。 client发送用户名给应用服务器。 应用服务器随机生成一个值给client,这个值通常叫nonce或challenge。 client用NTLM hash对nonce进行加密,并发送给应用服务器。 应用服务器收到后,连同用户名和nonce一并发送给AD服务器。 AD根据该用户的密码生成NTLM
HOW TO:配置 IIS支持 KerberosNTLM 身份验证
weixin_33997389的博客
07-15 364
要确保 IISKerberosNTLM 身份验证支持,请确认在“NTAuthenticationProviders”元数据库项中设置了 Negotiate 标题: 单击“开始”,单击“运行”,键入 cmd,然后按 Enter 键。找到包含 Adsutil.vbs 文件的目录。默认情况下,该目录是 C:\Inetpub\Adminscripts。使用下面的命...
cmd中配置IIS支持KerberosNTLM 协议
weixin_34363171的博客
11-12 320
通过集成Windows验证(Integrated Windows authentication)验证客户请求时IIS传递Negotiate安全头(security header).Negotiate安全头让客户选择Kerberos验证还是NTLM验证.除了以下情形外Negotiate过程一般都选择Kerberos验证: 1.参与验证的一方系统不能使用K...
KerberosConfigMgrIIS:IISKerberos配置管理器
05-24
我们许多人发现对Kerberos进行故障排除是一项繁琐的任务,因为它涉及多个级别的故障排除。 今天,为了在IIS服务器上配置kerberos,我们需要完成一系列步骤,这确实很耗时并且非常复杂。 为什么Kerberos有时会很痛苦? 首先,了解Kerberos非常棘手。 配置需要花费很多时间,因为我们需要查看IIS服务器,域控制器和客户端的配置。 一旦站点由于一些与配置有关的问题而中断,由于复杂性,很难真正确定原因。 为了解决这些问题,我创建了“ IISKerberos配置管理器”。 该工具通过读取和修改配置文件在IIS上任何站点上配置Kerberos单跳。 这样可以减少花费的时间。此工具允许您执行以下任务: 查看IIS中任何特定网站的与Kerberos相关的当前设置。 为受影响的网站配置Kerberos 它也提供了一种还原,以备不时之需。 它还具有通过日志文件进行审核的
调试IIS7 Kerberos认证错误:KRB_AP_ERR_MODIFIED
weixin_30463341的博客
03-14 1275
问题简介 KRB_AP_ERR_MODIFIED是一种常见的 Kerberos 认证失败消息。意思是在服务器上客户端发送加密的 Kerberos 身份验证数据没有被正确解密。当 Kerberos客户端为某服务请求票据时,通过SPN标识该服务,KDC授予客户端通过服务密钥加密的服务票据。通常情况下是与SPN匹配的AD帐户的密码。 有些时候KDC可能会生成一个通过错误的账号信息加密的服务票据。当客...
如何配置 IIS 中的身份验证
bafang0526的博客
05-25 711
.首先我说下,我在网上找过 1、web.config 2、IIS 中启用Windows集成认证,关闭匿名访问 3、通过User.Identity.Name进行读取,读出登录帐号 如何在 Windows Server 2003 中配置 IIS 网站身份验证 1. 启动“IIS 管理器”或者打开 IIS 管理单...
Windows系统安全风险-本地NTLM重放提权
wwwwestcn的博客
11-23 1955
经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整: 1、关闭DCOM功能 下面列出关闭DCOM步骤win2008/2012/2016/2019均适用 打开控制面板->管理工具->组件服务 展开组件服务-计算机,右...
【学习笔记】内网安全4-NTLM认证禁用对策
Lazy_SugaR的博客
05-29 922
概念 PTH(pass the hash) 利用lm或ntlm的值进行渗透测试 PTT(pass the ticket) 利用的票据凭证TGT进行的渗透测试 PTK(pas the key) 利用ekeys、aes256进行的渗透测试 分析 #PTH在内网渗透中是一种经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不是提供明文面 #PTK:如果禁用了NTLM认证,PsExec无法利用获得的NTLM Hash进行远程连接,但是使用mimikatz还是
Kerberos的相关配置
08-07
对于AD域控制器下设置kerberos,以及iis登陆使用kerberos认证方式
IIS的各种身份验证详细测试
weixin_33682790的博客
11-20 571
IIS的各种身份验证详细测试 一、 IIS身份验证概述 1、 匿名访问 2、 集成windows身份验证 2.1. NTLM验证 2.2. Kerberos验证 3、 基本身份验证 二、 匿名访问 三、 Windows集成验证 1、 NTLM验证过程 1.1. 客户端选择NTLM方式 1.2...
IIS 用户验证及授权
after_的专栏
11-01 2252
1.用户访问网站,要进行身份验证,通过以下方式: 2.当访问集体资源时,如某个aspx文件,要用线程池中的指定的账户去运行,要保证这个账户有访问这个资源的权限,账户指定如下图:默认情况是用users组成员访问资源文件,所有要保证资源文件具有users账户组权限.
NTLM 工作原理概述
Matthew的博客
12-28 8866
NTLM 工作原理概述 1. 为何采用NTLM 微软采用 Kerberos 作为 Windows 2000及之后的活动目录域的默认认证协议。当某个服务器隶属于一个Windows 服务器域或者通过某种方式(如Linux到Windows AD的认证)与Windows 服务器域建立了信任关系的时候,通常采用Kerberos作为认证协议。但是无论你是否拥有活动目录域,NTLM都可以被采用。
IIS Windows 集成身份验证弹出输入用户名密码的解决办法
weixin_34128839的博客
06-18 1735
作者:夏明亮Technorati 标签: IIS,Windo 集成身份验证,IE,弹窗,用户名密码,解决办法如果您正在设置您的IIS身份验证方式为“Windows 集成身份验证”,并且您在使用IE访问您的站点时发现IE仍然要求您输入您的用户名和密码,您有不知道问题出在哪里,那么本文将对您有所帮助。根据我们的理解“Windows 集成身份验证”意味着IE会自动使用当前系统登录的...
重置IIS匿名用户密码
weixin_30608131的博客
06-07 113
1 打开C:\Inetpub\AdminScripts下的adsutil.vbs ,找到IsSecureProperty = True ,修改成IsSecureProperty = False 2 在命令行进入C:\Inetpub\AdminScripts目录 3 运行Cscript adsutil.vbs get w3svc\anonymoususerpass---->将得到类...
IIS身份验证测试:NTLMKerberos详解
"IIS的各种身份验证模式包括匿名访问、集成Windows身份验证(涉及NTLMKerberos验证)以及基本身份验证。本文详细介绍了这些验证方法的原理和过程,特别是NTLMKerberos在不同场景下的应用。" 在IIS(Internet ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值