问题
Exchange Server2003存在一个漏洞,有时它不是让用户无法使用OutlookWeb Access就是让用户可以完全访问其他人的帐户。
微软澳大利亚分公司Exchange产品经理AndrewCunningham在接受媒体采访时表示,微软在那之后进行的调查显示,当有人在ExchangeServer上运行MicrosoftWindows SharePoint Services时就会出现上述问题。
Cunningham说:“这不是一种常见的情况,大多数机构都有自己单独的Exchange应用功能,也有单独的SharePoint应用功能。”上述问题之所以会出现是因为,SharePoint会关闭Kerberos身份验证功能,而ExchangeServer在默认情况下总是会打开这项功能的。
解决办法
用户应该再次开启Kerberos身份验证功能,同时在SharePoint上也运行这种功能。
本文介绍如何配置 Microsoft Windows SharePoint Services 虚拟服务器以使用 Kerberos 身份验证。
当使用 Windows SharePoint Services 扩展 Microsoft Internet 信息服务 (IIS) 虚拟服务器时,会将该虚拟服务器配置为使用集成 Windows 身份验证(以前称为 NTLM 或 Windows NT 质询/响应身份验证)。通过在该虚拟服务器上配置集成 Windows 身份验证,Windows SharePoint Services 虚拟服务器可以作为域帐户运行,并且您无须在 Active Directory 目录服务中配置服务主要名称 (SPN)。
如果您的环境需要 Kerberos 身份验证,请按照本文中的步骤操作以便在虚拟服务器上配置 Kerberos 身份验证。
配置 Windows SharePoint Services 以使用 Kerberos 身份验证
要对通过 Windows SharePoint Services 扩展的虚拟服务器进行配置以使其使用 Kerberos 身份验证,您必须先在 IIS 中启用 Kerberos,然后为该虚拟服务器在运行时所使用的域帐户配置 SPN。
在 IIS 元数据库中启用 Kerberos
要在 IIS 中启用 Kerberos,请根据您的具体情况使用下列方法之一。
方法 1:手动编辑 IIS 元数据库
要手动编辑 IIS 元数据库以在虚拟服务器上启用 Kerberos,请按照下列步骤操作:
1、在 IIS 服务器上,启动记事本,然后打开位于硬盘上的以下文件夹中的 Metbase.xml 文件(其中 Systemroot 是安装 Microsoft Windows 的路径和文件夹名称):
Systemroot\System32\Inetsrv
2、在“IIsWebServer”节中,找到下面的行:
NTAuthenticationProviders="NTLM"
修改该行,使其与下面的内容完全一样:
NTAuthenticationProviders="Negotiate,NTLM"
3、在“文件”菜单上单击“保存”,然后退出记事本。
4、重新启动 IIS。为此,请按照下列步骤操作:
a、单击“开始”,然后单击“运行”。
b、在“打开”框中,键入 cmd,然后单击“确定”。
c、在命令提示符处,键入 iisreset,然后按 Enter 键。
d、键入 exit,然后按 Enter 键退出命令提示窗口。
方法 2:使用 IIS 管理脚本编辑 IIS 元数据库
使用脚本在虚拟服务器上启用 Kerberos 身份验证:
1、在 IIS 服务器上,单击“开始”,然后单击“运行”。
2、在“打开”框中,键入 cmd,然后单击“确定”。
3、更改到 Inetpub\Adminscripts 文件夹,然后键入以下命令行(其中驱动器 是安装 Windows 的驱动器):
cd 驱动器:\inetpub\adminscripts
4、键入以下命令行,然后按 Enter 键(其中 xx 是虚拟服务器 ID 号):
cscript adsutil.vbs get w3svc/xx/NTAuthenticationProviders
