匯出 (0) 列印
全部展開

啟用支援 Kerberos 驗證

適用於: Windows Server 2008 R2

如果您計劃使用 Active Directory Rights Management Services (AD RMS) 搭配 Kerberos 驗證,您必須在安裝 AD RMS 伺服器角色和佈建伺服器之後,採取額外的步驟來設定執行 AD RMS 的伺服器。具體而言,您必須執行下列程序:

  • 將網際網路資訊服務 (IIS) useAppPoolCredentials 變數設為 True

  • 針對 AD RMS 服務帳戶設定服務主要名稱 (SPN) 值

若要完成此程序,至少需要 AD DS 中 AD RMS Enterprise Administrators 和本機 Enterprise Admins 群組 (或等同群組) 的成員資格。

將 IIS useAppPoolCredentials 值設為 True
  1. 開啟具有提升權限的命令提示字元視窗。若要開啟提升權限的 [命令提示字元] 視窗,請按一下 [開始],指向 [所有程式],按一下 [附屬應用程式],並在 [命令提示字元] 上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]

  2. 瀏覽至 %windir%\system32\inetsrv。

  3. 輸入 appcmd.exe set config -section:system.webServer/security/authentication/windowsAuthentication -useAppPoolCredentials:true

Important重要
為了能順利執行下列程序,AD RMS 服務帳戶必須與 AD RMS 叢集位於相同的樹系。此外,如果變更 AD RMS 服務帳戶,您必須刪除先前服務帳戶的 SPN 登錄,然後為新的服務帳戶執行此程序。

針對 AD RMS 服務帳戶設定服務主要名稱 (SPN) 值
  1. 開啟具有提升權限的命令提示字元視窗。若要開啟提升權限的 [命令提示字元] 視窗,請按一下 [開始],指向 [所有程式],按一下 [附屬應用程式],並在 [命令提示字元] 上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]

  2. 輸入 setspn -a HTTP/<ServerName> <ServiceAccountDomain>\<ServiceAccount>,其中的 <ServerName> 是伺服器名稱,<ServiceAccountDomain> 是包含 AD RMS 服務帳戶的網域名稱,而 <ServiceAccount> 是 AD RMS 服務帳戶的名稱。

  3. 輸入 setspn -a HTTP/<ServerFQDN> <ServiceAccountDomain>\<ServiceAccount>,其中的 <ServerFQDN> 是伺服器的完整網域名稱 (FQDN)。

  4. 輸入 setspn -a HTTP/<ClusterName> <ServiceAccountDomain>\<ServiceAccount>,其中的 <ClusterName> 是AD RMS 叢集的名稱。

  5. 輸入 setspn -a HTTP/<ClusterFQDN> <ServiceAccountDomain>\<ServiceAccount>,其中的 <ClusterFQDN> 是叢集的完整網域名稱 (FQDN)。

note附註
如果叢集使用安全通訊端層 (SSL),請重複步驟 2 到步驟 5,以 HTTPS 取代 HTTP。

其他參考資料

本文對您有任何幫助嗎?
(剩餘 1500 個字元)
感謝您提供意見

社群新增項目

新增
顯示:
© 2014 Microsoft