要确保 IIS 对 Kerberos 和 NTLM 身份验证都支持,请确认在“NTAuthenticationProviders”元数据库项中设置了 Negotiate 标题:
-
单击“开始”,单击“运行”,键入 cmd,然后按 Enter 键。
-
找到包含 Adsutil.vbs 文件的目录。默认情况下,该目录是 C:\Inetpub\Adminscripts。
-
使用下面的命令检索“NTAuthenticationProviders”的当前值:
cscript adsutil.vbs get w3svc/NTAuthenticationProviders
如果启用了 Negotiate,将会返回以下内容:
NTAuthenticationProviders :(STRING) "Negotiate,NTLM"
-
如果此字符串中未返回 Negotiate,请使用下面的命令启用它:
cscript adsutil.vbs set w3svc/NTAuthenticationProviders “Negotiate,NTLM”
-
重复第 3 步验证是否已启用了 Negotiate。
注意:可以禁用 Negotiate 以强制 IIS 仅发送 NTLM 标题。要禁用 Negotiate(从而阻止 Kerberos 身份验证),请使用下面的命令(注意“NTLM”必须大写,以避免出现任何不利的影响):
cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”