集成验证时IE采用Kerberos 还是NTLM验证方式？(摘抄)

具体是采用Kerberos 还是NTLM验证方式取决于以下三种情况

1.客户端以ip地址访问服务器

不管客户端跟服务器是否在域、也不管客户端是否以域帐号登陆，只要客户端以ip地址访问服务器，

那么客户端就会选择NTLM方式验证

并且不会直接发送客户端登录用户的用户名和密码给服务器

而是会弹出一个对话框要求用户输入用户名和口令，然后发送到服务端验证。

您可以避免在使用 IP 地址或名称中包含句点的企业内部网服务器上出现这种提示，方法是，在 Internet Explorer 的“本地 Intranet”设置中，列出包含 IP 地址的服务器，或是列出包含句点的服务器名称。可以通过依次单击“工具”、“Internet 选项”、“本地 Intranet”、“站点”、“高级”来访问“本地 Intranet”设置部分。然后在“将该网站添加到区域中”输入 http://127.0.0.1 或其他相关站点的 URL。 下面总结的都是在客户端以机器名访问服务器的情况。 2. 服务器在域，客户端以域帐号登陆 如果客户端的机器在域中，同时登陆用户又是以域用户登录，那么IE选择Kerberos验证方式。 3. 其他情况IE都选择采用NTLM验证方式。 出来上述的两种情况，其他情况，客户端都选择NTLM验证，并首先尝试把登录客户端用户的用户名和密码传送给服务器验证， 如果验证通过了，被直接授权访问；
如果验证没通过，客户端弹出对话框要求输入用户名和密码，然后再传送到服务端验证，直到验证通过。
集成 Windows 身份验证Kerberos的验证方式是 Intranet 环境中最好的身份验证方案： 在这种用户拥有 Windows 域帐户，Kerberos验证不在网络上传递用户密码，只用传送一个用户验证票。
NTLM要传送用户的密码，但是密码经过处理后派生出一个8字节的key加密质询码，也是比较安全的。