要确保 IIS 对 Kerberos 和 NTLM 身份验证都支持,请确认在“NTAuthenticationProviders”元数据库项中设置了 Negotiate 标题:  

  1. 单击“开始”,单击“运行”,键入 cmd,然后按 Enter 键。

  2. 找到包含 Adsutil.vbs 文件的目录。默认情况下,该目录是 C:\Inetpub\Adminscripts。

  3. 使用下面的命令检索“NTAuthenticationProviders”的当前值:

    cscript adsutil.vbs get w3svc/NTAuthenticationProviders

    如果启用了 Negotiate,将会返回以下内容:

    NTAuthenticationProviders       :(STRING) "Negotiate,NTLM"
  4. 如果此字符串中未返回 Negotiate,请使用下面的命令启用它:

    cscript adsutil.vbs set w3svc/NTAuthenticationProviders “Negotiate,NTLM”

  5. 重复第 3 步验证是否已启用了 Negotiate。


注意:可以禁用 Negotiate 以强制 IIS 仅发送 NTLM 标题。要禁用 Negotiate(从而阻止 Kerberos 身份验证),请使用下面的命令(注意“NTLM”必须大写,以避免出现任何不利的影响):

cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”



http://support.microsoft.com/kb/215383/zh-cn