导出 (0) 打印
全部展开

启用 Kerberos 身份验证支持

应用到: Windows Server 2008 R2

如果计划将 Active Directory Rights Management Services (AD RMS) 与 Kerberos 身份验证一起使用,则必须在安装 AD RMS 服务器角色和设置服务器后,执行附加步骤以配置运行 AD RMS 的服务器。尤其是,必须执行以下这些过程:

  • 将 Internet 信息服务 (IIS) useAppPoolCredentials 变量设置为 True

  • 设置 AD RMS 服务帐户的服务主体名称 (SPN) 值

AD DS 中 AD RMS 企业管理员Enterprise Admins 组的成员身份或等效身份是完成此过程所需的最低要求。

将 IIS useAppPoolCredentials 值设置为 True
  1. 打开已提升的命令提示符窗口。若要打开已提升权限的命令提示符窗口,请单击“开始”,指向“所有程序”,单击“附件”,右键单击“命令提示符”,然后单击“以管理员身份运行”

  2. 导航到 %windir%\system32\inetsrv。

  3. 键入 appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true

Important重要
若要成功执行以下过程,AD RMS 服务帐户必须与 AD RMS 群集位于同一个林中。此外,如果更改 AD RMS 服务帐户,则必须删除以前的服务帐户的 SPN 注册,然后为新服务帐户执行这一过程。

设置 AD RMS 服务帐户的服务主体名称 (SPN) 值
  1. 打开已提升的命令提示符窗口。若要打开已提升权限的命令提示符窗口,请单击“开始”,指向“所有程序”,单击“附件”,右键单击“命令提示符”,然后单击“以管理员身份运行”

  2. 键入 setspn -a HTTP/<ServerName> <ServiceAccountDomain>\<ServiceAccount>,其中 <ServerName> 是服务器的名称,<ServiceAccountDomain> 是包含 AD RMS 服务帐户的域的名称,<ServiceAccount> 是 AD RMS 服务帐户的名称。

  3. 键入 setspn -a HTTP/<ServerFQDN> <ServiceAccountDomain>\<ServiceAccount>,其中 <ServerFQDN> 是服务器的完全限定的域名 (FQDN)。

  4. 键入 setspn -a HTTP/<ClusterName> <ServiceAccountDomain>\<ServiceAccount>,其中 <ClusterName> 是 AD RMS 群集的名称。

  5. 键入 setspn -a HTTP/<ClusterFQDN> <ServiceAccountDomain>\<ServiceAccount>,其中 <ClusterFQDN> 是群集的完全限定的域名 (FQDN)。

note注意
如果群集使用安全套接字层 (SSL),则重复第 2 步到第 5 步,用 HTTPS 替换 HTTP。

其他参考

本文是否对您有所帮助?
(1500 个剩余字符)
感谢您的反馈

社区附加资源

添加
显示:
© 2014 Microsoft