Jurnal IIS pentru autentificare Windows integrată

Traduceri articole Traduceri articole
ID articol: 969060 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

INTRODUCERE

Acest articol discută despre cererea și răspuns de comunicare între un client HTTP și un server de Internet Information Services (IIS) când este configurat autentificare Windows integrată. Acest articol, de asemenea, ilustrează modul că IIS jurnalizează acest proces de autentificare în jurnalele de IIS.

INFORMAȚII SUPLIMENTARE

autentificare Windows integrată utilizează autentificarea Kerberos v5 și autentificarea NTLM. Kerberos este un protocol de autentificare standard în industrie, care este utilizat pentru a verifica identitatea utilizatorului sau gazdă identitate. Dacă Active Directory este instalat pe un controler de domeniu care execută Windows 2000 Server, Windows Server 2003 sau Windows Server 2008 și browser-ul clientului Web acceptă Protocolul de autentificare Kerberos v5, client și IIS server utilizează autentificarea Kerberos v5. În caz contrar, clientul și serverul IIS utilizează autentificare NTLM.

Notă Pentru informații detaliate despre autentificare Windows integrată, vizitați următorul site Web Microsoft:
http://technet2.Microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Modul că IIS jurnalele NTLM și autentificarea Kerberos în IIS log dosar este diferit, în funcție de ceea ce Protocolul este utilizat.

IIS server și client HTTP care face Web cerere ambele acceptă protocolul Kerberos și IIS este configurat să utilizeze Kerberos, intrări jurnal care se aseamănă cu următorul apar în jurnal IIS pentru clientul cererea și server răspuns:

# Software-ul: Microsoft Internet Information Services 6.0
# Version: 1.0 # Data: 2009-01-01 02: 48: 20
# Câmpuri: data marcă de timp s-sitename s-ip cs-metoda tijă cs-uri cs-uri-interogare s-portul cs-username c-ip cs(User-Agent) sc-statutul sc-substatus sc-win32-stare
2009-01-01 02: 48: 20 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>lua / - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

În cazul în care IIS server sau de HTTP client nu acceptă protocolul Kerberos, sau dacă serverul IIS este configurat pentru a utiliza numai NTLM, următoarele tipuri de intrări jurnal apar în jurnal IIS pentru clientul cererea și server răspuns:

# Software-ul: Microsoft Internet Information Services 6.0
# Version: 1.0
# Data: 2009-01-05 02: 29: 47
# Câmpuri: data marcă de timp s-sitename s-ip cs-metoda tijă cs-uri cs-uri-interogare s-portul cs-username c-ip cs(User-Agent) sc-statutul sc-substatus sc-win32-stare
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>lua / - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

autentificare Windows integrată

IIS poate fi configurat pentru a accepta Protocolul de negociere, Protocolul NTLM, sau ambele. În IIS 6.0 și în versiunile anterioare, aceasta se realizează configurând cheia NTAuthenticationProviders metabaza. În IIS 7.0, acest lucru se realizează prin setarea corespunzătoare <Provider></Provider> elementul sub <windowsAuthentication></windowsAuthentication> elementul în fișierul ApplicationHost.config sau în fișierul web.config.

Pentru mai multe informații despre modul de configurare a Windows integrat autentificare în IIS 6.0 și în versiunile anterioare, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
215383Configurarea IIS pentru a accepta Protocolul Kerberos și Protocolul NTLM pentru autentificarea în rețea
Pentru mai multe informații despre cum se configurează autentificare Windows integrată în IIS 7.0, vizitați următorul site Web Microsoft:
http://technet.Microsoft.com/en-us/library/cc754628.aspx

Autentificarea Kerberos

Următoarele sunt două exemple bazat pe un scenariu. În scenariul prima, IIS este configurat pentru a accepta Protocolul de negociere și Protocolul NTLM. În al doilea scenariu, este acceptată numai Protocolul de negociere.

Scenariul 1 – protocol de negociere și Protocolul NTLM

În acest exemplu, IIS este configurat pentru a accepta Protocolul de negociere și Protocolul NTLM. În IIS 6.0 și în versiunile anterioare, aceasta se face prin setarea cheia NTAuthenticationProviders metabaza "Negociere, NTLM". În IIS 7.0 și versiuni ulterioare, Protocolul de negociere și Protocolul NTLM trebuie să fie listat ca furnizorii în secțiunea <windowsAuthentication>.

Notă În următoarele exemple, antetul de cerere ?i un antet de răspuns sunt captura?i de utilizând instrumentul Microsoft Monitor rețea 3.2. Pentru a descărca cea mai recentă versiune a instrumentului de Monitor rețea, vizitați următorul site Web:</windowsAuthentication>
http://www.Microsoft.com/en-US/Download/details.aspx?displaylang=en&ID=4865
Atunci când Microsoft Internet Explorer face o cerere, Internet Explorer consideră întotdeauna prima solicitare de o nouă conexiune să fie anonime. Prin urmare, Internet Explorer nu trimite orice acreditări ca parte a cererii. Următorul este un exemplu de anteturile cererea că Internet Explorer a trimite la prima cerere pentru o resursă:

HTTP: Cerere, GET /
Comanda: a lua
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptați-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menținerii

Dacă serverul IIS nu este configurat să accepte autentificare anonimă, IIS server returnează un statut 401.2 care spune clientul că clientul este neautorizate. Împreună cu starea de eroare, serverul trimite, de asemenea, o Listă tabel de protocoale de autentificare care este acceptată de server. Anteturi răspuns care IIS returnează acest scenariu se aseamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1656
ContentType: text/html
Servi: Microsoft-IIS/6.0
WWWAuthenticate: negocieze
WWWAuthenticate: NTLM

După IIS serverul trimite acest răspuns, IIS scrie următoarea intrare asociat de jurnal IIS:

<Date> <Time>W3SVC<ID> <serverIP> lua / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Notă Win32 statutul de "2148074254" (de asemenea definit ca-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) înseamnă "acreditările nu sunt disponibile în pachetul de securitate." Cu alte cuvinte, clientul nu a trimis orice acreditări.

După ce clientul primește răspuns 401.2 de pe serverul IIS, clientul înțelege că IIS este configurat să utilizeze autentificare Windows integrată în loc de autentificare anonimă. Prin urmare, clientul trebuie să furnizeze informații de autentificare adecvate în cererea sa.

Client apoi face o cerere care seamănă cu următorul:

HTTP: Cerere, GET /
Comanda: a lua
URI: /
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptați-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menținerii
Autorizație: negocieze
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Notă În acest articol, Kerberos bilet în autorizație: negocieze antet a fost trunchiate.

Serverul IIS prime?te cererea. Serverul IIS vede că clientul a inclus informații de autentificare prin adăugarea autorizația: negocieze antet și valoare. În cazul în care clientul a trimis informații de acreditare valabile, autentificare este de succes. IIS apoi trimite răspunsul următoarele:

HTTP: Codului de stare răspuns, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motiv: OK
Data: xxx, <Date> <Time>GMT
Servi: Microsoft-IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Negocia =</Time> </Date>

Notă Măsurile detaliate de cum autentificarea Kerberos are loc nu este inclus aici. Pentru mai multe informații despre modul în care funcționează autentificarea Kerberos, vizitați următorul site Web Microsoft:
http://technet.Microsoft.com/en-us/library/cc758557.aspx
IIS apoi scrie următoarea intrare în Jurnalul de IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET /time.asp - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Scenariul 2 - negocieze Protocolul

În scenariul în care IIS este configurat să accepte numai Protocolul negociere în loc de Protocolul de negociere și Protocolul NTLM, fluxul cererea și răspunsul este același. Înregistrarea în jurnal IIS, de asemenea, este aceeași. Diferența este în răspunsul ini?ial care IIS face solicitarea anonim din browser. În acest caz, IIS trimite numai antetul de negociere:

HTTP: Răspuns, HTTP/1.1,
Cod stare = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1656
ContentType: text/html
Servi: Microsoft-IIS/6.0
WWWAuthenticate: negocieze

Autentificare NLTM

Următorul este un exemplu bazat pe un scenariu în care IIS este configurat să accepte numai Protocolul NTLM. În IIS 6.0 și în versiunile anterioare, aceasta se face prin având cheia de metabază NTAuthenticationProviders setat la "NTLM". În IIS 7.0 și versiuni ulterioare, numai Protocolul NTLM trebuie să fie listat ca un furnizor în secțiunea <windowsAuthentication>.

Din nou, Internet Explorer nu include orice informații de autentificare în prima solicitare pe o nouă conexiune:</windowsAuthentication>

HTTP: Cerere, GET /
Comanda: a lua ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptați-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menținerii

Dacă serverul IIS nu este configurat să accepte autentificare anonimă, server returnează un statut 401.2 care spune clientul că clientul este neautorizate. Împreună cu starea de eroare, serverul trimite, de asemenea, o Listă tabel de protocoale de autentificare care este acceptată de server. Anteturi răspuns care IIS returnează acest scenariu doar NTLM seamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1656
ContentType: text/html
Servi: Microsoft-IIS/6.0
WWWAuthenticate: NTLM

IIS apoi scrie o intrare care se aseamănă cu următoarele jurnal IIS:

<Date> <Time>W3SVC<ID> <serverIP> lua / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Când clientul primește notificarea serverului că serverul acceptă protocolul NTLM, clientul re-sends cererea. Clientul include informații de autentificare într-un antet de autoriza?ie:

HTTP: Cerere, GET /
Comanda: a lua
URI: /
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptați-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menținerii
Autorizație: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Ca parte a strângere de mână NTLM, server recunoaște că clientul a trimis informa?iile de autentificare. Cu toate acestea, server are nevoie de client pentru a trimite mai multe informații. Prin urmare, server returnează un alt răspuns 401 care seamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1539
ContentType: text/html
Servi: Microsoft-IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS, apoi scrie o intrare jurnal IIS care seamănă cu următorul:

<Date> <Time>W3SVC<ID> <serverIP> lua / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

Starea 401.1 care IIS trimite spune clientul că clientul trebuie să furnizeze restul informațiilor autentificare valabil. Clientul primește această provocare. Apoi clientul trimite o cerere mai multe care seamănă cu următorul:

HTTP: Cerere, GET /
Comanda: a lua
URI: /
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptați-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menținerii
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Când serverul IIS prime?te această solicitare, serverul IIS comunică cu un controler de domeniu pentru a finaliza cererea autentificare. Atunci când cererea de autentificare a clientului este confirmată, IIS trimite un răspuns care seamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motiv: OK
Servi: Microsoft-IIS/6.0
X-alimentat de: ASP.NET
ContentLength: 19
ContentType: text/html
Cache-control: privat

Notă Măsurile detaliate de cum autentificarea NTLM are loc nu este inclus aici. Pentru mai multe informații despre modul în care funcționează autentificarea NTLM, vizitați următorul site Web Microsoft:
http://msdn.Microsoft.com/en-us/library/bb643328.aspx
După ce IIS trimite acest răspuns, IIS scrie următoarea intrare asociat de jurnal IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET /time.asp - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

REFERINȚE

Pentru mai multe informații despre cum IIS autentifică clienti browser-ul, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
264921Cum IIS autentifică browser-ul clienti
Pentru mai multe informații despre cum se depanează probleme legate de Kerberos în IIS, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
326985Cum se depanează probleme legate de Kerberos în IIS
Pentru mai multe informații despre cum să modificați proprietatea de metabază AuthPersistence pentru a controlul autentificare, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
318863Cum pentru a modifica proprietatea de metabază AuthPersistence pentru a controlul autentificare
Pentru mai multe informații despre o problemă de lentă, care apare când utilizați autentificare Windows integrată IIS 6.0, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
917557FIX: Este posibil să întâlniți lentă atunci când utilizați autentificare Windows integrată precum ?i Protocolul de autentificare Kerberos în IIS 6.0
Pentru mai multe informații despre Microsoft NTLM, vizitați următorul site Web Microsoft:
http://msdn.Microsoft.com/en-us/library/bb643328.aspx
Pentru mai multe informații despre Microsoft Kerberos, vizitați următorul site Web Microsoft:
http://msdn.Microsoft.com/en-us/library/aa378747 (VS.85) .aspx
Pentru mai multe informații despre autentificarea Windows integrat IIS, vizitați următorul site Web Microsoft:
http://technet2.Microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Pentru mai multe informații despre proprietatea de metabază NTAuthenticationProviders în IIS 6.0, vizitați următorul site Web Microsoft:
http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
Pentru mai multe informații despre <windowsAuthentication>proprietate de configurare în IIS 7.0, vizitați următorul site Web:</windowsAuthentication>
http://www.IIS.net/ConfigReference/System.webserver/Security/Authentication/windowsAuthentication

Proprietă?i

ID articol: 969060 - Ultima examinare: 6 iulie 2012 - Revizie: 1.0
SE APLICĂ LA:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Cuvinte cheie: 
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtro
Traducere automată
IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât și articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuși, un articol tradus automat nu este întotdeauna perfect. Acesta poate conține greșeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greșeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conținutului sau de utilizarea traducerii necorespunzătoare de către clienții nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 969060

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com