Skift imellem NTLM og Kerberos godkendelse i IIS

Hvis man har oprettet et IIS websted og senere ønsker at skifte godkendelsesform kan man anvende scriptet adsutil.vbs der normalt ligger i c:inetpubadminscripts

Denne guide vil vise hvordan man bruger dette script.

Først kan man bruge det til at undersøge hvilken godkendelsesform der er sat på et givent IIS websted. Dette gøres med kommandoen:

cscript c:inetpubadminscriptsadsutil.vbs get w3svc/1/root/NTAuthenticationProviders.

Her er 1 tallet IDet på det websted man ønsker at undersøge. Man kan finde dette ID ved at åbne WebSites mappen i IIS Manager og kigge i kollonen Identifier.

Kommandoen vil, hvis websitet er sat til NTLM godkendelse, svare følgende:

NTAuthenticationProviders : (String) “NTLM

Hvis kerberos var sat som den eneste godkendelsesform ville den havde svaret:

NTAuthenticationProviders : (String) “Negotiate

Hvis man foreksempel ønsker at anvende både NTLM og Kerberos godkendelse på et websted kan dette sættes med følgende kommando:

cscript c:inetpubadminscriptsadsutil.vbs set w3svc/1/root/NTAuthenticationProvidersNegotiate,NTLM

Hvis man fjerner en godkendelses type skal man huske også at rekonfigurere den software der anvender sitet (Fx sharepoint).