要确保 IIS 对 Kerberos 和 NTLM 身份验证都支持，请确认在“NTAuthenticationProviders”元数据库项中设置了 Negotiate 标题：  

1. 单击“开始”，单击“运行”，键入 cmd，然后按 Enter 键。

2. 找到包含 Adsutil.vbs 文件的目录。默认情况下，该目录是 C:\Inetpub\Adminscripts。

3. 使用下面的命令检索“NTAuthenticationProviders”的当前值：

   cscript adsutil.vbs get w3svc/NTAuthenticationProviders

   如果启用了 Negotiate，将会返回以下内容：

   NTAuthenticationProviders       :(STRING) "Negotiate,NTLM"

4. 如果此字符串中未返回 Negotiate，请使用下面的命令启用它：

   cscript adsutil.vbs set w3svc/NTAuthenticationProviders “Negotiate,NTLM”

5. 重复第 3 步验证是否已启用了 Negotiate。

注意：可以禁用 Negotiate 以强制 IIS 仅发送 NTLM 标题。要禁用 Negotiate（从而阻止 Kerberos 身份验证），请使用下面的命令（注意“NTLM”必须大写，以避免出现任何不利的影响）：

cscript adsutil.vbs set w3svc/NTAuthenticationProviders “NTLM”

http://support.microsoft.com/kb/215383/zh-cn