集成 Windows 身份验证(以前称为 NTLM 或 Windows NT 质询/响应验证)是一种安全的验证形式,因为在通过网络发送用户名和密码之前,先将它们进行哈希计算。当启用集成 Windows 身份验证时,用户的浏览器通过与 Web 服务器进行密码交换(包括哈希)来证明其知晓密码。集成 Windows 身份验证是 Windows Server 2003 家族成员中使用的默认验证方法。
集成 Windows 身份验证使用 Kerberos v5 验证和 NTLM 验证。如果在 Windows 2000 或更高版本域控制器上安装了 Active Directory 服务,并且用户的浏览器支持 Kerberos v5 验证协议,则使用 Kerberos v5 验证,否则使用 NTLM 验证。
集成 Windows 身份验证包括 Negotiate、Kerberos 和 NTLM 验证方法。Negotiate(Kerberos 和 NTLM 的包装)非常适用于连接 Internet 上的客户端,因为这两种验证方法均缺少某个功能(如下所示):
要成功地进行 Kerberos v5 验证,客户端和服务器都必须可靠地连接到密钥分配中心 (KDC),并且必须与 Active Directory 服务兼容。
以下步骤概述了如何使用集成 Windows 身份验证对客户端进行身份验证:
注意 如有必要,可以将 Microsoft Internet Explorer 4.0 及更高版本配置为在开始时提示输入用户信息。有关详细信息,请参阅 Internet Explorer 帮助。
尽管集成 Windows 身份验证非常安全,但它仍然有两个限制:
因此,集成 Windows 身份验证最适用于 Intranet 环境,在其中用户和 Web 服务器计算机位于相同的域中,并且管理员可以确保每个用户使用 Internet Explorer 2.0 或更高版本。如果集成 Windows 身份验证由于用户凭据错误或其他问题而失败,则浏览器就会提示用户输入用户名和密码。
集成 Windows 身份验证使用 Kerberos。在 Kerberos 身份验证服务对某个服务进行验证之前,该服务只能在一个帐户对象上注册。如果服务实例的登录帐户发生变化,则该服务必须使用新帐户重新注册。因此,只有一个注册了该服务的应用程序池可以使用 Kerberos 进行验证。因此,在应用程序池的虚拟目录级别上,不能将站点彼此隔离。但是,有一个解决办法。客户可以基于域名来隔离这些站点。例如,CompanynameHR.com 和 CompanynameSales.com。
要点 您必须是本地计算机上 Administrators 组的成员或者您必须被委派相应的权限才能执行下列步骤。作为安全性的最佳操作,请使用不属于 Administrators 组的帐户登录到计算机,然后使用运行方式命令来以管理员身份运行 IIS 管理器。在命令提示符下,键入 runas /user:administrative_accountname "mmc %systemroot%\system32\inetsrv\iis.msc"。
启用集成 Windows 身份验证
注意 所有网站均能继承在网站文件夹级别设定的配置设置。