Automatische Windows Authentifizierung

Der WindowsAuthService (Windows Authentication Service) ist für die automatische Windows-Anmeldung (Single Sign On, SSO) erforderlich. Seine Logdatei ist Logs\WindowsAuthService.log.

Um die automatische Windows Authentifizierung nutzen zu können, aktivieren Sie die Option Windows (Single Sign On) in den Authentifizierungseinstellungen, siehe Authentifizierungsmethoden einstellen.

• Dazu muss der WindowsAuthservice unter einem Domänenanwender ausgeführt werden, der der Domäne angehört, gegen die die Prüfung stattfinden soll. Dieser Domänenanwender muss der Gruppe IIS_IUSRS hinzugefügt werden.
  

Die Einstellungen für den IIS werden vom Installer eingerichtet. Prüfen Sie, ob diese erfolgreich eingestellt werden konnten:

• Internet Informationsdienste Manager öffnen
• Sites > Default Web Site > WindowsAuthService auswählen und dort Authentifizierung öffnen. Hier müssen folgende Authentifizierungsmethoden aktiviert bzw. deaktiviert sein:
  
  • Anonyme Authentifizierung: Deaktiviert
  • Windows Authentifizierung: Aktiv

Diese Einstellung darf nur am WindowsAuth Service (an der oben angegebenen Stelle) eingestellt werden.

Diese Einstellung kann bei Problemen mit SSO helfen, die bei Verwendung von Microsoft Internet Explorer oder Google Chrome auftreten können. Mit den nachstehenden Einstellungen wird das automatische Aushandeln der Authentifizierungsmethode verhindert und immer NTLM verwendet:

• Internet Informationsdienste Manager öffnen
• Sites > Default Web Site > WindowsAuthService auswählen und dort Konfigurations-Editor öffnen.
•  Die Einstellungsseite system.webServer/security/authentication/windowsAuthentication aufrufen.
• Klicken Sie in der Zeile providers auf ...
• Entfernen Sie die Zeile mit value: Negotiate und Einstiegspfad MACHINE/WEBROOT/APPHOST
  
• Speichern Sie die Einstellungen und starten Sie den Anwendungspool für den WindowsAuthService neu.
  

Die automatische Windows-Authentifizierung wird von Windows nur auf Seiten, die dem lokalen Intranet-Bereich angehören ausgeführt (ansonsten erscheint ein browsereigenes Eingabefenster zur Authentifizierung). Möglicherweise muss die URL der lokalen Intranetzone hinzugefügt werden (auf jedem Rechner, auf dem die automatische Windows-Authentifizierung ausgeführt werden soll).

• Interneteinstellungen öffnen > Registerkarte Sicherheit
• Lokales Intranet auswählen
• Sites > Erweitert anklicken.
• Geben Sie die URLs, die Sie zulassen möchten an (Sie können z.B. mit *.domain.com auch alle Server einer Domain hinzufügen) und klicken Sie Hinzufügen.

Je nach verwendetem Browser sind unterschiedliche Einstellungen erforderlich. Beispielhaft nachstehend die Einstellungen für einige gebräuchliche Browser.

Google Chrome

Bei Verwendung von Google Chrome ist keine Einstellung des Browsers erforderlich.

Mozilla Firefox

Verwenden Sie den Mozilla Firefox, muss die Webseite, zu der die Authentifizierung durchgeführt werden soll, explizit angegeben werden (ansonsten erscheint ein browsereigenes Eingabefenster zur Authentifizierung):

• Firefox öffnen und about:config in der Adressleiste eingeben
• Unter dem Punkt network.automatic-ntlm-auth.trusted-uris die Webadresse des Webservers eintragen (z.B. http://server.domain.com)
• Browser neu starten

Microsoft Internet Explorer

Schalten Sie die Kompatibiltätsansicht des Internetexplorers aus:

• Einstellungen > Einstellungen der Kompatibilitätsansicht
• Intranetsites in der Kompatibilitätsansicht anzeigen muss deaktiviert sein.

Beachten Sie, dass der Internetexplorer nicht für die Verwendung mit IQ4docs empfohlen ist.

Es ist wichtig, dass der Aufruf des WebClients und die URL des WindowsAuthService die gleiche Angabe beim Hostnamen haben (z.B. Hostname oder Hostname.domain.com), siehe auch System-Bereiche.