使用“高级设置”对话框可以指定是否在内核模式下执行 Windows 身份验证,以及配置扩展保护设置。默认情况下,IIS 启用内核模式身份验证,这可以提高身份验证性能,并避免被配置为使用自定义标识的应用程序池产生身份验证问题。

如果使用 Kerberos 身份验证,并且应用程序池上有自定义标识,最佳做法是不禁用此设置。

通过 Negotiable 2,可以将 LiveId (LiveSSP) 或 CardSpace (FedSSP) 等新的身份验证提供程序与 IIS 进行协作。Negotiable 2 是一种 HTTP 身份验证方案,此方案使用 NegoEx 安全协议在逻辑上扩展 SPNEGO 协议。IIS 中支持 Negotiable 2 协议的一大优点是可以配置显式 Kerberos 身份验证,这种身份验证在客户端不支持 Kerberos 时不使用 NTLM。

请注意,当启用内核模式身份验证时,即无法使用基于 Negotiable 2 的提供程序。必须先关闭内核模式身份验证,然后才能使用基于 Negotiable 2 的身份验证提供程序。

请参阅


目录