共用方式為

如何設定 VMM 自助入口網站的整合式 Windows 驗證

  • 發行項

適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1

若要在自助使用者開啟 VMM 自助入口網站,或連線至需要與入口網站相同之認證的虛擬機器時 (使用 [連線至 VM] 動作或入口網站中的縮圖) 消除登入提示,您可以設定自助入口網站的整合式 Windows 驗證。如果 VMM 自助入口網站位於非 VMM 伺服器的電腦上,則必須在網頁伺服器上設定 VMM 服務帳戶的限制委派。

下列程序說明完成這兩項工作的方法。另外還包括在 IIS 7.0 與 IIS 6.0 中啟用整合式 Windows 驗證的個別程序。

注意

為了提升自助使用者在使用時的便利性,您可以利用入口網站的 [遠端桌面] 動作,消除自助使用者連線至虛擬機器時要求提供認證的提示。為了完成此項工作,您必須在用戶端電腦上針對每位使用者啟用 Terminal Services 的單一登入功能。如需詳細資訊與相關程序,請參閱Terminal Services 的單一登入 (https://go.microsoft.com/fwlink/?LinkId=143908)。

在 IIS 7.0 中啟用整合式 Windows 驗證

  1. 在 [系統管理工具] 中開啟 [Internet Integration Services (IIS) 管理員]。

  2. 瀏覽至裝載 VMM 自助入口網站的 IIS 網頁伺服器,展開 [網站],並選取網站:[Microsoft System Center Virtual Machine Manager 2008 R2 自助入口網站 (x64)]。

  3. 在 [功能檢視] 窗格中,按兩下 [驗證]。

  4. 在 [驗證] 頁面中,按一下 [Windows 驗證]。然後在 [動作] 窗格中,按一下 [啟用]。

    注意

    如果 [Windows 驗證] 無法使用,請為網頁伺服器 (IIS) 角色安裝 Windows 驗證角色服務。

  5. 停用所有其他驗證類型。

如果網頁伺服器執行 IIS 6.0,則除了啟用整合式 Windows 驗證外,還需要停用匿名存取。

在 IIS 6.0 中啟用整合式 Windows 驗證

  1. 在 [系統管理工具] 中開啟 [Internet Information Services (IIS) 管理員]。

  2. 瀏覽至裝載 VMM 自助入口網站的 IIS 網頁伺服器。

  3. 在 [網站] 底下的 [Microsoft System Center Virtual Machine Manager 2008 自助入口網站] 上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 在 [驗證存取] 區段的 [目錄安全性] 索引標籤上按一下 [編輯],然後執行下列動作:

    • 選取 [整合式 Windows 驗證] 核取方塊。

    • 清除 [啟用匿名存取] 核取方塊。

除非 VMM 自助入口網站與 VMM 伺服器位在同一部電腦上,否則請使用下列程序來設定 VMM 服務帳戶,以在 Active Directory 中建立委派的信任關係。限制委派會建立信任關係,在此信任關係下,Active Directory 帳戶可取得將認證委派給其他特定服務的權限。在此情況下,IIS 網頁伺服器會取得將連線用戶端認證委派給 VMM 伺服器的權限。

設定 VMM 服務帳戶以建立由 Kerberos 委派的信任關係

  1. 建立 VMM 伺服器的 Kerberos 服務主要名稱 (SPN)。若要完成此項工作,請在命令提示字元中輸入下列命令;其中 vmmserviceaccount 代表 VMM 伺服器的機器帳戶 (若 VMM 以本機系統身分執行),或執行 VMM 的網域使用者帳戶:

    setspn –R <vmmserviceaccount>

    您應會看到類似以下的輸出:

    Registered ServicePrincipalNames for CN=Self Service Test,CN=Users,DC=contoso,DC=com:HOST/vmmserviceaccount HOST/vmmserviceaccount.contoso.com

  2. 在 [系統管理工具] 中開啟 [Active Directory 使用者和電腦],接著瀏覽至自助網頁伺服器的電腦帳戶。

    注意

    若未列出 [Active Directory 使用者和電腦],請安裝「Active Directory 網域服務工具」功能。如需指示,請參閱 Installing Remote Server Administration Tools for AD DS (安裝 AD DS 的遠端伺服器系統管理工具) (https://go.microsoft.com/fwlink/?LinkId=140463)。

    在自助網頁伺服器的電腦帳戶上按一下滑鼠右鍵,然後按一下 [內容]。

  3. 在 [委派] 索引標籤上,按一下 [信任這台電腦,但只委派指定的服務],然後再按一下 [只使用 Kerberos]。

  4. 按一下 [新增],接著瀏覽至在步驟 1 建立的 SPN。

  5. 為您的 VMM 伺服器選取 [主機] 服務類型,然後按一下 [確定]。

  6. 在裝載自助入口網站的 IIS 網頁伺服器上,建立下列登錄機碼。若要開啟登錄編輯程式,請依序按一下 [開始]、[執行],然後輸入 regedit

    警告

    如果您使用登錄編輯程式或使用其他方法不正確地修改登錄,可能會發生嚴重問題。您可能必須重新安裝作業系統才能解決問題。Microsoft 不保證可以解決這些問題。您必須擔負修改登錄的風險。

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft System Center Virtual Machine Manager Self-Service Portal\Settings Value Name:  VMMServerSPN Data Type: REG_STRING Value Data (example): HOST/vmmserviceaccount

另請參閱

概念

強化 VMM 自助網頁伺服器