如何將 Windows SharePoint Service

1、如何將 Windows SharePoint Services 虛擬服務(wù)器配置為使用 Kerberos 身份驗(yàn)證以及如何從 Kerberos 身份驗(yàn)證切換回 NTLM 身份驗(yàn)證從 Microsoft Windows SharePoint Services Service Pack 2 (SP2 開始，您就可以創(chuàng)建 SharePoint 管理中心虛擬服務(wù)器或擴(kuò)展內(nèi)容虛擬服務(wù)器以使用 Kerberos 身份驗(yàn)證或 NTLM 身份驗(yàn)證，而不必再直接修改 IIS 元數(shù)據(jù)庫。 Microsoft Windows 集成身份驗(yàn)證支持以下兩種提供質(zhì)詢/響應(yīng)身份驗(yàn)證的協(xié)議： NTLMNTLM 協(xié)議是一個(gè)安全協(xié)議

2、，它建立在通過網(wǎng)絡(luò)發(fā)送用戶名和密碼前對用戶名和密碼進(jìn)行加密的基礎(chǔ)上。在服務(wù)器接收客戶端的請求而客戶端不支持 Kerberos 身份驗(yàn)證的網(wǎng)絡(luò)中，必須使用 NTLM 身份驗(yàn)證。 KerberosKerberos 協(xié)議基于票證過程。在此方案中，用戶必須首先向身份驗(yàn)證服務(wù)器提供有效的用戶名和密碼。然后，身份驗(yàn)證服務(wù)器發(fā)給用戶一個(gè)票證。該票證可用于在網(wǎng)絡(luò)上請求其他網(wǎng)絡(luò)資源。要使用此方案，客戶端和服務(wù)器都必須有到域密鑰分發(fā)中心 (KDC 的可信連接。此外，客戶端和服務(wù)器還都必須與 Active Directory 目錄服務(wù)兼容。注意：大多數(shù)情況下，您應(yīng)選擇 NTLM 身份驗(yàn)證。如果您沒有具體的使用 Ke

3、rberos 身份驗(yàn)證的需求或無法配置服務(wù)主體名稱 (SPN，請選擇 NTLM 身份驗(yàn)證。如果您選擇 Kerberos 身份驗(yàn)證但無法配置 SPN，則只有服務(wù)器管理員能夠通過 SharePoint 站點(diǎn)的身份驗(yàn)證。配置 Windows SharePoint Services 以使用 Kerberos 身份驗(yàn)證或 NTLM 身份驗(yàn)證從 Windows SharePoint Services Service Pack 2 (SP2 開始，您可以使用 SharePoint 用戶界面或從命令提示符處使用命令來配置 SharePoint 管理中心虛擬服務(wù)器和內(nèi)容虛擬服務(wù)器?？梢栽趧?chuàng)建 SharePoin

4、t 管理中心時(shí)配置 SharePoint 管理中心虛擬服務(wù)器，在擴(kuò)展內(nèi)容虛擬服務(wù)器時(shí)配置內(nèi)容虛擬服務(wù)器。當(dāng)創(chuàng)建 SharePoint 管理中心虛擬服務(wù)器或擴(kuò)展一個(gè)新虛擬服務(wù)器時(shí)，會出現(xiàn)一個(gè)新的“安全性配置”部分，您可在此處指定使用 NTLM 身份驗(yàn)證還是 Kerberos 身份驗(yàn)證。要查看所有用于配置身份驗(yàn)證設(shè)置的管理設(shè)置，請參閱“Windows SharePoint Services Administrator's Guide”（Windows SharePoint Services 管理員指南）。要查看 Windows SharePoint Services 管理員指南，請?jiān)L問下面

5、的 Microsoft 網(wǎng)站： 如果您運(yùn)行的 SharePoint 虛擬服務(wù)器是在低于 Windows SharePoint Services SP2 的 Windows SharePoint Services 版本中擴(kuò)展或創(chuàng)建的，但又需要配置虛擬服務(wù)器使用 Kerberos 身份驗(yàn)證，則必須手動完成此配置。要使用腳本在虛擬服務(wù)器上啟用 Kerberos 身份驗(yàn)證，請按照下列步驟操作： 1. 在運(yùn)行 IIS 的服務(wù)器上，單擊“開始”，單擊“運(yùn)行”，在“打開”框中鍵入 cmd，然后單擊“確定”。 2. 更改到 InetpubAdminscripts 文件夾。 3. 鍵入下面的命令，然后按 Ent

6、er： cd Drive:inetpubadminscripts注意：在此命令中，Drive 是安裝 Microsoft Windows 的驅(qū)動器。 4. 鍵入下面的命令，然后按 Enter： cscript adsutil.vbs get w3svc/#/root/NTAuthenticationProviders注意：在此命令中，# 是虛擬服務(wù)器 ID 號。IIS 中的默認(rèn)網(wǎng)站的虛擬服務(wù)器 ID 號是 1。 5. 要在虛擬服務(wù)器上啟用 Kerberos 身份驗(yàn)證，請鍵入下面的命令，然后按 Enter： cscript adsutil.vbs set w3svc/#/root/NTAuthe

7、nticationProviders "Negotiate,NTLM"注意：在此命令中，# 是虛擬服務(wù)器 ID 號。 6. 重新啟動 IIS。為此，請按照下列步驟操作： 1. 單擊“開始”，單擊“運(yùn)行”，在“打開”框中鍵入 cmd，然后單擊“確定”。 2. 在命令提示符處，鍵入 iisreset，然后按 Enter。 3. 鍵入 exit，然后按 Enter 關(guān)閉命令提示符窗口。如果在創(chuàng)建 SharePoint 管理中心或內(nèi)容虛擬服務(wù)器時(shí)選擇了 Kerberos 身份驗(yàn)證，但現(xiàn)在必須切換回 NTLM 身份驗(yàn)證，您可以使用腳本在虛擬服務(wù)器上啟用 NTLM 身份驗(yàn)證。要使用腳本

8、在虛擬服務(wù)器上啟用 NTLM 身份驗(yàn)證，請按下列步驟操作： 1. 在運(yùn)行 IIS 的服務(wù)器上，單擊“開始”，單擊“運(yùn)行”，在“打開”框中鍵入 cmd，然后單擊“確定”。 2. 更改到 InetpubAdminscripts 文件夾。 3. 鍵入下面的命令，然后按 Enter： cd Drive:inetpubadminscripts注意：在此命令中，Drive 是安裝 Windows 的驅(qū)動器。 4. 鍵入下面的命令，然后按 Enter： cscript adsutil.vbs get w3svc/#/root/NTAuthenticationProviders注意：在此命令中，# 是虛擬服務(wù)

9、器 ID 號。IIS 中的默認(rèn)網(wǎng)站的虛擬服務(wù)器 ID 號是 1。 5. 要在虛擬服務(wù)器上啟用 NTLM 身份驗(yàn)證，請鍵入下面的命令，然后按 Enter： cscript adsutil.vbs set w3svc/#/root/NTAuthenticationProviders "NTLM"注意：在此命令中，# 是虛擬服務(wù)器 ID 號。 6. 重新啟動 IIS。為此，請按照下列步驟操作： 1. 單擊“開始”，單擊“運(yùn)行”，在“打開”框中鍵入 cmd，然后單擊“確定”。 2. 在命令提示符下，鍵入 iisreset，然后按 Enter。 3. 鍵入 exit，然后按 Ente

10、r 關(guān)閉命令提示符窗口。為域用戶帳戶配置服務(wù)主體名稱如果將 Windows SharePoint Services 網(wǎng)站的應(yīng)用程序池標(biāo)識配置為使用內(nèi)置的安全主體（例如 NT AuthorityNetwork Service 或 NT AuthorityLocal System），則無須執(zhí)行該步驟。內(nèi)置帳戶被自動配置為使用 Kerberos 身份驗(yàn)證。如果您使用遠(yuǎn)程 Microsoft SQL Server 2000 服務(wù)器，并且您希望使用 NT AuthorityNetwork Service 作為域帳戶，則您必須添加 DomainComputerName$ 項(xiàng)，并使用 Database Cr

11、eators 和 Security Administrators 權(quán)限對其進(jìn)行配置。這樣，Windows SharePoint Services 就可以連接到遠(yuǎn)程 SQL Server 計(jì)算機(jī)來創(chuàng)建配置和內(nèi)容數(shù)據(jù)庫。如果應(yīng)用程序池標(biāo)識是一個(gè)域用戶帳戶，則必須為該帳戶配置 SPN。要為該域用戶帳戶配置 SPN，請按照下列步驟操作： 1. 下載并安裝 Setspn.exe 命令行工具。為此，請?jiān)L問下面的 Microsoft 網(wǎng)站： 2. 使用 Setspn.exe 工具為域帳戶添加 SPN。方法是，在命令提示符下鍵入下面一行命令，然后按 Enter，其中 ServerName 是服務(wù)器的完全限定域

12、名 (FQDN，Domain 是該域的名稱，UserName 是該域用戶帳戶的名稱： setspn -A HTTP/ServerName DomainUserName為訪問遠(yuǎn)程資源的 Web 部件配置委派信任關(guān)系如果您正在開發(fā)需要訪問遠(yuǎn)程資源的 SharePoint Web 部件，則必須按照“為域用戶帳戶配置服務(wù)主體名稱”一節(jié)中列出的步驟操作，并通過使用下列步驟配置計(jì)算機(jī)和應(yīng)用程序池帳戶以信任其作為委派主體。注意：如果沒有訪問遠(yuǎn)程資源的 Web 部件，則無須執(zhí)行這些附加步驟。要配置 IIS 服務(wù)器以信任其作為委派，請按照下列步驟操作： 1. 啟動“Active Directory 用戶和計(jì)算機(jī)

13、”。 2. 在左窗格中，單擊“計(jì)算機(jī)”。 3. 在右窗格中，右鍵單擊 IIS 服務(wù)器的名稱，然后單擊“屬性”。 4. 單擊“常規(guī)”選項(xiàng)卡，單擊以選中“信任計(jì)算機(jī)作為委派”復(fù)選框，然后單擊“確定”。 5. 退出“Active Directory 用戶和計(jì)算機(jī)”。如果將應(yīng)用程序池標(biāo)識配置為使用域用戶帳戶，則該帳戶必須被信任作為委派，才能使用 Kerberos 身份驗(yàn)證。要配置域帳戶以信任其作為委派，請按照下列步驟操作： 1. 在域控制器上，啟動“Active Directory 用戶和計(jì)算機(jī)”。 2. 在左窗格中，單擊“用戶”。 3. 在右窗格中，右鍵單擊該用戶帳戶的名稱，然后單擊“屬性”。 4. 單擊“帳戶”選項(xiàng)卡，在“帳戶選項(xiàng)”下，單擊以選中“帳戶可以委派其他帳戶”復(fù)選框，然后單擊“確定”。 5. 退出“Active Directory 用戶和計(jì)算機(jī)”。如果應(yīng)用程序池標(biāo)識是一個(gè)域用戶帳戶，則必須為該帳戶配置 SPN。要為該域用戶帳戶配置 SPN，請按照下列步驟操作： 1. 下載