通过集成Windows验证(Integrated Windows authentication)验证客户请求时IIS传递Negotiate安全头(security header).Negotiate 安全头让客户选择Kerberos验证还是NTLM验证.除了以下情形外Negotiate过程一般都选择Kerberos验证:
1.参与验证的一方系统不能使用Kerberos验证;
2.调用顺序不能提供足够的信息以使用Kerberos验证

要使Negotiate过程选择Kerberos验证客户顺序必须提供SPN(service principal name),UPN(user principal name)或NetBIOS帐号.否则Negotiate过程将优先使用NTLM协议.

IIS7.0
查看NTAuthenticationProviders:
c:\windows\system32\inetsrv\appcmd list config /section:windowsAuthentication

设置NTAuthenticationProviders:
c:\windows\system32\inetsrv\appcmd clear config /section:windowsAuthentication
c:\windows\system32\inetsrv\appcmd set config /section:windowsAuthentication -+providers.[value='Negotiate']
c:\windows\system32\inetsrv\appcmd set config /section:windowsAuthentication -+providers.[value='NTLM']

使用Appcmd.exe在IIS7.0中禁用Windows验证

1.cd %SystemRoot%\System32\inetsrv

2.更改设置:
appcmd.exe set config /section:windowsAuthentication /enabled:false

3.查看更改后的设置:

appcmd list config /section:windowsAuthentication


IIS6.0:
查看NTAuthenticationProviders:
cscript adsutil.vbs get w3svc/WebSite/root/NTAuthenticationProviders

设置NTAuthenticationProviders:
cscript adsutil.vbs set w3svc/WebSite/root/NTAuthenticationProviders "NegotiateNTLM"

IIS5.0或5.1
查看NTAuthenticationProviders:
cscript adsutil.vbs get w3svc/NTAuthenticationProviders

设置NTAuthenticationProviders:
cscript adsutil.vbs set w3svc/NTAuthenticationProviders "NegotiateNTLM"

本文转自 拾瓦兴阁 51CTO博客，原文链接:http://blog.51cto.com/ponyjia/1089354