準備用來進行使用者驗證的伺服器

如果第一次使用Windows驗證或LDAP驗證做為使用者驗證方法，請檢查伺服器的環境是否符合使用者驗證的要求，並進行必要的設定。

使用Windows驗證

執行下列的動作來準備伺服器：

查看Windows驗證的要求。
在伺服器上安裝網頁伺服器（IIS）和「Active Directory憑證服務」。
建立伺服器憑證。
如果傳送未加密的使用者資訊，就不需要建立伺服器憑證。

使用LDAP驗證

查看LDAP驗證的要求，然後視需要根據伺服器環境進行設定。

用於使用者驗證的伺服器驗證要求

Windows驗證
項目	說明
可使用的作業系統	Windows Server 2008/2008 R2/2012/2012 R2/2016/2019 若要在Windows Server 2008的環境中使用Kerberos驗證，請安裝Service Pack 2或更新的版本。
驗證方式	支援下列驗證方法： NTLM驗證（NTLMv1/NTLMv2） Kerberos驗證若要指定Kerberos驗證，用來驗證使用者的伺服器必須支援Kerberos驗證。如果伺服器不支援Kerberos驗證，會自動選擇NTLM驗證。
驗證的要求	在您指定的網域中設置網域控制器。若要在Active Directory執行時取得使用者資訊，請使用LDAP。建議使用SSL/TLS，將機器與LDAP伺服器之間的通訊加密。伺服器必須支援TLS1.0/1.1/1.2或SSL 3.0加密方法。事先在網域控制器中登錄伺服器憑證。建立伺服器憑證在原廠預設設定中，會停用TLS1.0/SSL 3.0。若要使用TLS1.0/SSL 3.0，請在Web Image Monitor中，將TLS1.0/SSL 3.0指定為啟用。如果啟用Kerberos驗證，則必須將機器和KDC（金鑰分發中心）伺服器之間的資料傳送加密。對網路通訊進行加密

伺服器可以驗證其他網域中所管理的使用者，但無法取得資訊（例如，電子郵件位址）。
啟用Kerberos驗證時，如果指定SSL/TLS，將無法取得電子郵件位址。
即使在機器的通訊錄中，編輯了已驗證使用者的資訊（例如，電子郵件位址），但在進行驗證時，這些資訊可能會被伺服器傳來的資訊覆寫。
如果在網域控制器中，建立了新的使用者，而且在設定密碼時，選擇「使用者必須在下次登入時變更密碼」，請先從電腦登入並變更密碼。
如果啟用Windows伺服器上的「Guest(來賓)」帳戶，也可以驗證未在網域控制站中登記的使用者。啟用此帳戶時，使用者就會登錄到通訊錄中，而且可以使用[*預設群組]中的可用功能。

LDAP驗證
項目	說明
可使用的版本	LDAP 2.0/3.0版
驗證方式	Kerberos驗證摘要驗證明文驗證選擇明文驗證時，會啟用LDAP簡易驗證。您可以透過使用者屬性（例如，cn或uid），而非網域名稱（DN）來執行簡易驗證。
驗證的要求	若要使用SSL/TLS，伺服器必須支援TLS1.0/1.1/1.2或SSL 3.0加密方法。在原廠預設設定中，會停用TLS1.0/SSL 3.0。若要使用TLS1.0/SSL 3.0，請在Web Image Monitor中，將TLS1.0/SSL 3.0指定為啟用。若要使用Kerberos驗證，請登錄realm以區分網路區域。登錄Realm 如果啟用Kerberos驗證，則必須將機器和KDC（金鑰分發中心）伺服器之間的資料傳送加密。對網路通訊進行加密使用LDAP時，只有3.0版可以使用摘要驗證。

使用Active Directory設定LDAP伺服器的備註

如果Kerberos驗證是和SSL/TLS同時啟用，則無法取得電子郵件位址。
也許可以使用匿名驗證。若要提高安全性，請將匿名驗證設定為停用。

即使在機器的通訊錄中，編輯了已驗證使用者的資訊（例如，電子郵件位址），但在進行驗證時，這些資訊可能會被伺服器傳來的資訊覆寫。
在LDAP驗證中，您無法針對伺服器中所登錄的群組設定存取限制。
第一次使用本機器時，使用者可以使用在[使用者驗證管理]中所指定的「可用功能」。
若要為每個使用者指定「可用功能」，請在通訊錄中一併登錄使用者和「可用功能」，或是在通訊錄自動登錄的使用者中，指定「可用功能」。

安裝網頁伺服器（IIS）和「Active Directory憑證服務」

在Windows伺服器上安裝必要的服務，以自動取得Active Directory中所登錄的使用者資訊。

Windows Server 2012/2016

在[開始]選單上，按一下[伺服器管理員]。

在[管理]選單上，按一下[新增角色及功能]。

按一下[下一步]。

選擇[角色型或功能型安裝]，然後按一下[下一步]。

選擇伺服器。

勾選[Active Directory憑證服務]和[網頁伺服器（IIS）]核取方塊，然後按一下[下一步]。

如果出現確認訊息，請按一下[新增功能]。

檢查要安裝的功能，然後按一下[下一步]。

閱讀內容資訊，然後按一下[下一步]。

請務必在[Active Directory憑證服務]的[角色服務]區中，選擇[憑證機構]，然後按一下[下一步]。

閱讀內容資訊，然後按一下[下一步]。

如果使用Windows Server 2016，請在閱讀內容資訊後，繼續執行步驟12。

在[網頁伺服器（IIS）]中，檢查想要安裝的角色服務，然後按一下[下一步]。

按一下[安裝]。

完成安裝後，請按一下伺服器管理員的通知圖示，然後按一下[設定目的地伺服器上的Active Directory憑證服務]。

按一下[下一步]。

在[角色服務]中，檢查[憑證機構]，然後按一下[下一步]。

選擇[企業CA]，然後按一下[下一步]。

選擇[根CA]，然後按一下[下一步]。

選擇[建立新的私密金鑰]，然後按一下[下一步]。

選擇加密服務供應商、金鑰長度與Hash演算法，以建立新的私密金鑰，然後按一下[下一步]。

在「這個CA的一般名稱：」中，輸入「憑證機構」的名稱，然後按一下[下一步]。

選擇有效期限，然後按一下[下一步]。

讓「憑證資料庫位置：」和「憑證資料庫日誌位置：」維持不變，然後按一下[下一步]。

按一下[設定]。

如果出現「設定成功」訊息，請按一下[關閉]。

Windows Server 2008 R2

在[開始]選單中，指向[管理員工具]，然後啟動[伺服器管理員]。

按一下左欄中的[角色]，再從[動作]選單中，按一下[新增角色]。

按一下[下一步]。

勾選「網頁伺服器（IIS）」與「Active Directory憑證服務」核取方塊，然後按一下[下一步]。

如果出現確認訊息，請按一下[新增功能]。

閱讀內容資訊，然後按一下[下一步]。

檢查「憑證機構」，然後按一下[下一步]。

選擇「企業」，然後按一下[下一步]。

選擇「根CA」，然後按一下[下一步]。

選擇「建立新的私密金鑰」，然後按一下[下一步]。

選擇加密服務供應商、金鑰長度與Hash演算法，以建立新的私密金鑰，然後按一下[下一步]。

在「這個CA的一般名稱：」中，輸入「憑證機構」的名稱，然後按一下[下一步]。

選擇有效期限，然後按一下[下一步]。

讓「憑證資料庫位置：」和「憑證資料庫日誌位置：」維持不變，然後按一下[下一步]。

閱讀說明，然後按一下[下一步]。

選擇要安裝的角色服務，然後按一下[下一步]。

按一下[安裝]。

隨即開始安裝新增的功能。

建立伺服器憑證

若要將使用者資訊加密，請在Windows伺服器中建立伺服器憑證。此處使用Windows Server 2016做為範例。

在[開始]選單中，按一下[所有應用程式]，然後按一下[管理工具]的[網際網路資訊服務（IIS）管理員]。

在左欄中，按一下[伺服器名稱]，然後按兩下[伺服器憑證]。

在右欄中，按一下[建立憑證要求...]。

輸入所有的資訊，然後按一下[下一步]。

在「密碼編譯服務提供者：」中，選擇提供者，然後按一下[下一步]。

按一下[...]，然後指定用於憑證要求的檔案名稱。

指定用於儲存檔案的位置，然後按一下[開啟]。

按一下[完成]。