怎样配置 WSS 以使用 Kerberos 身份验证(下)

方法 2：使用 IIS 管理脚本编辑 IIS 元数据库

使用脚本在虚拟服务器上启用 Kerberos 身份验证：

1.       在安装IIS的服务器上，打开命令行工具cmd。

2.        更改到如下文件夹“驱动器:\Inetpub\Adminscripts”，驱动器为安装windows的驱动器。

3.       键入以下命令行cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders，其中 xx 是虚拟服务器 ID 号，IIS 中的默认 Web 站点的虚拟服务器 ID 是 1。将返回如下字符串：ntauthenticationproviders:(STRING) "NTLM"

4.       启用kerberos身份验证，键入以下命令行：cscript adsutil.vbs set w3svc/ xx /NTAuthenticationProviders "Negotiate,NTLM"。

5.       重新启动IIS.

二．在确认IIS已启用了Kerberos身份验证后，你需要为域账户配置服务主要名称（SPN）

如果将 Windows SharePoint Services 站点的应用程序池标识配置为使用内置的安全主体（例如，NT Authority\Network Service 或 NT Authority\Local System），则无须执行该步骤。内置帐户被自动配置为使用 Kerberos 身份验证。如果应用程序池标识是一个域用户帐户，则必须为该帐户配置 SPN。要为该域用户帐户配置 SPN，具体步骤如下

１．下载并安装 Setspn.exe 命令行工具，下载地址：http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/setspn-o.asp

２．使用 Setspn.exe 工具为域帐户添加 SPN，键入Setspn -A HTTP/服务器名称　域\用户名，其中服务器名称 是服务器的完全限定域名 (FQDN)，域 是该域的名称，用户名 是该域用户帐户的名称。

注意：

A．如果您使用远程Microsoft SQL Server 2000 服务器，并且您需要使用 NT Authority\Network Service 作为域帐户，则您必须添加域\计算机名称$ 项，并使用“数据库创建者”和“安全管理员”权限对其进行配置。这样，Windows SharePoint Services 就可以连接到远程 SQL Server 计算机以创建配置和内容数据库。

       B．如果 IIS 服务器是域的成员但不是域控制器，则该服务器必须被信任作为委派，Kerberos 身份验证才能正常工作。要配置 IIS 服务器以信任其作为委派，请按照下列步骤操作：

1.       在域控制器上，启动“Active Directory 用户和计算机”。

2.       在左窗格中，单击“计算机”。

3.       在右窗格中，右键单击 IIS 服务器的名称，然后单击“属性”。

4.       单击“常规”选项卡，单击以选中“信任计算机作为委派”复选框，然后单击“确定”。

C. 如果将应用程序池标识配置为使用域用户帐户，则该帐户必须被信任作为委派，然后才能使用 Kerberos 身份验证。要配置域帐户以信任其作为委派，请按照下列步骤操作：

1.       在域控制器上，启动“Active Directory 用户和计算机”。

2.       在左窗格中，单击“用户”。

3.       在右窗格中，右键单击该用户帐户的名称，然后单击“属性”。

4.       单击“帐户”选项卡，在“帐户选项”下，单击以选中“帐户可委派其他帐户”复选框，然后单击“确定”。