Wie IIS Browserclients authentifiziert

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 264921 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Es wird dringend empfohlen, dass alle Benutzer an IIS (Internetinformationsdienste) Version 7.0 aktualisieren auf Windows Server 2008 ausgeführt. IIS 7.0 erhöht die Sicherheit der Webinfrastruktur beträchtlich. Weitere Informationen zu IIS sicherheitsbezogene Themen finden Sie auf der folgenden Microsoft-Website:
http://www.Microsoft.com/technet/security/prodtech/IIS.mspx
Weitere Informationen zu IIS 7.0 finden Sie auf der folgenden Microsoft-Website:
http://www.IIS.NET/default.aspx?tabid=1
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt die verschiedenen Authentifizierungsmethoden, die in IIS für Windows NT 4.0 und Windows 2000 verfügbar sind. Eine genauere Beschreibung der Informationen, die in diesem Artikel erläutert wird, finden Sie unter der Windows NT 4.0 und Windows 2000 Ressource Handbücher.

Weitere Informationen

Authentifizierungsmethoden, die für Windows NT 4.0 verfügbar sind.

Anonymous - Anmeldung ohne ist erforderlich, und jeder darf auf Daten zugreifen, die mit dieser Methode geschützt ist. Der Server verwendet ein integriertes Konto (standardmäßig IUSR_ [Computername]) steuern die Berechtigungen für die Dateien. Der Browser sendet alle Anmeldeinformationen oder Benutzerinformationen mit dieser Art von Anforderung nicht.
  • Unterstützte Browser: alle
  • Einschränkungen: keine
  • Erforderliche Benutzerrechte: Das anonyme Benutzerkonto auf dem Server definierten muss "Lokal anmelden" Berechtigungen verfügen.
  • Verschlüsselungstyp: keine
Standardauthentifizierung (Klartext) ? der Server fordert den Benutzer zum Anmelden und ein Dialogfeld wird angezeigt, in dem Browser, der ermöglicht es dem Benutzer, die Anmeldeinformationen einzugeben, die erforderlich sind. Diese Anmeldeinformationen müssen übereinstimmen, die Anmeldeinformationen des Benutzers definiert, auf die Dateien, die der Benutzer zugreifen möchte.
  • Unterstützte Browser: alle
  • Einschränkungen: Nicht sehr sicher. Kennwörter sind leicht entschlüsselt.
  • Erforderliche Benutzerrechte: Das Benutzerkonto muss "Lokal anmelden" Berechtigungen verfügen.
  • Verschlüsselungstyp: Base-64-Codierung (nicht true, Verschlüsselung)
Windows NT Challenge/Response - Server fordert den Benutzer anmelden. Wenn der Browser Windows NT Challenge/Response, sendet er die Anmeldeinformationen des Benutzers automatisch, wenn der Benutzer angemeldet ist. Wenn die Domäne, das der Benutzer in der Domäne des Servers unterscheidet, oder wenn der Benutzer nicht angemeldet ist, wird ein Dialogfeld angezeigt, fordert die Anmeldeinformationen zu senden. Windows NT-Herausforderung/Rückmeldung verwendet einen Algorithmus generiert einen Hashwert für die Anmeldeinformationen des Benutzers und der Computer, den der Benutzer verwendet. Er sendet dann diesen Hash an den Server. Der Browser sendet keine über das Benutzerkennwort auf dem Server.
  • Unterstützte Browser: InternetExplorer, Version 3.01 oder höher
  • Einschränkungen: Erfordert Point-Verbindung. Eine Verbindung wird in der Regel nach einem Fehler "401 nicht autorisiert" geschlossen wird; jedoch bei der Aushandlung einer Authentifizierungssequenz Windows NT Challenge/Response (was mehrere Roundtrips erfordert), hält der Server die Verbindung geöffnet für die Dauer der Sequenz, nachdem der Client angegeben hat, dass Windows NT Herausforderung/Rückmeldung verwendet wird. CERN-Proxys und bestimmte andere Internetgeräte verhindern diese arbeiten. Darüber hinaus unterstützt Windows NT Challenge/Response-Double-Hop-Identitätswechsel nicht (, nachdem auf dem IIS-Server weitergeleitet, die gleichen Anmeldeinformationen an Back-End-Server für die Authentifizierung übergeben werden können nicht).
  • Erforderliche Benutzerrechte: Das Benutzerkonto, das Zugriff auf den Server benötigen Berechtigungen "Auf diesen Computer vom Netzwerk aus".
  • Verschlüsselungstyp: NTLM-Hash-Algorithmus, der auch mit UUENCODE ist.
Rangfolgen: Wenn der Browser eine Anforderung, hält es immer die erste Anforderung anonym sein. Daher wird keine Anmeldeinformationen gesendet. Wenn der Server anonym oder nicht akzeptiert, wenn das anonyme Benutzerkonto aktiviert ist der Server nicht berechtigt zur Datei angefordert wird, der IIS-Server antwortet mit einer Fehlermeldung "Zugriff verweigert" und sendet eine Liste der Typen, die mit einem der folgenden Szenarios unterstützt werden:
  • Falls Windows NT Challenge/Response die einzige ist unterstützte Methode (oder Ausfall anonym), dann muss der Browser diese Methode zur Kommunikation mit dem Server unterstützen. Andernfalls es kann nicht mit dem Server auszuhandeln, und der Benutzer erhält eine Fehlermeldung "Zugriff verweigert".
  • Wenn Basic die einzige ist unterstützte Methode (oder Ausfall anonym) und anschließend ein Dialogfeld wird im Browser, um die Anmeldeinformationen zu erhalten, und dann diese Anmeldeinformationen an den Server übergeben. Er versucht, diese Anmeldeinformationen bis zu drei Mal senden. Wenn alle fehlschlagen, wird der Browser nicht mit dem Server verbunden.
  • Wenn Basic und Windows NT-Herausforderung/Rückmeldung unterstützt werden, bestimmt der Browser, welche Methode verwendet wird. Wenn der Browser Windows NT Challenge/Response, verwendet diese Methode und kein Basic Fallback. Wenn Windows NT-Herausforderung/Rückmeldung nicht unterstützt wird, verwendet der Browser Basic.
Hinweise
  • Wenn Ihr Browser mithilfe der Standard- oder NTLM-Authentifizierung eine Verbindung mit einer Website herstellt, fällt sie nicht wieder auf anonym im weiteren Verlauf dieser Sitzung mit dem Server. Wenn Sie versuchen, zu einer Webseite herstellen, die nur nach der Authentifizierung für anonym markiert ist, werden Sie verweigert. (Dies kann oder kann nicht Supportwebseite für Netscape).
  • Wenn Internet Explorer eine Verbindung mit dem Server mithilfe der Standard- oder NTLM-Authentifizierung hergestellt hat, übergibt es die Anmeldeinformationen für jede neue Anfrage für die Dauer der Sitzung.

Authentifizierungsmethoden, die für Windows 2000 und höher verfügbar sind.

Anonymous - Anmeldung ohne ist erforderlich, und jeder darf Zugriff auf Daten, die mit dieser Methode geschützt. Der Server verwendet ein integriertes Konto (standardmäßig IUSR_ [Computername]) steuern die Berechtigungen für die Dateien. Der Browser sendet alle Anmeldeinformationen oder Benutzerinformationen mit dieser Art von Anforderung nicht.
  • Unterstützte Browser: alle
  • Einschränkungen: keine
  • Erforderliche Benutzerrechte: Das anonyme Benutzerkonto auf dem Server definierten muss "Lokal anmelden" Berechtigungen verfügen.
  • Verschlüsselungstyp: keine
Standardauthentifizierung (Klartext) ? der Server fordert den Benutzer zum Anmelden und ein Dialogfeld wird angezeigt, in dem Browser, der ermöglicht es dem Benutzer, die Anmeldeinformationen einzugeben, die erforderlich sind. Diese Anmeldeinformationen müssen übereinstimmen, die Anmeldeinformationen des Benutzers definiert, auf die Dateien, die der Benutzer zugreifen möchte.
  • Unterstützte Browser: alle
  • Einschränkungen: Nicht sehr sicher. Kennwörter sind leicht entschlüsselt.
  • Erforderlichen Benutzerrechte: Das Benutzerkonto muss "Lokal anmelden" Rechte verfügen.
  • Verschlüsselungstyp: Base-64-Codierung (nicht true, Verschlüsselung)
Digest - Server fordert den Benutzer zum Anmelden und sendet außerdem eine NONCE verwendet, um das Kennwort zu verschlüsseln. Der Browser verwendet die NONCE, um das Kennwort zu verschlüsseln und sendet diese an den Server. Der Server ist dann eine eigene Kopie des Kennworts des Benutzers verschlüsselt und vergleicht die beiden. Wenn sie übereinstimmen, und der Benutzer berechtigt ist, wird Zugriff gewährt.
  • Unterstützte Browser: InternetExplorer 5 und höhere Versionen
  • Einschränkungen: Nicht als sicherer als Integrated. Muss der Server den Zugriff auf Active Directory-Server, die für die Digestauthentifizierung eingerichtet ist.
  • Erforderliche Benutzerrechte: Müssen zwischen "Kennwort speichern" als verschlüsselten Klartext haben
  • Verschlüsselungstyp: Basierend auf der vom Server gesendeten NONCE.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
222028 Einrichten von Digest-Authentifizierung für die Verwendung mit Internet Information Services 5.0
Fortezza - verwenden der Fortezza-Sicherheit mit IIS 5.0 benötigen Sie eine geeignete Datei Cryptographic API Service Provider (CSP) von einem Fortezza-Anbieter, wie z. B. http://www.spyrus.com.

Windows-integrierte (aufgeteilt in zwei Unterkategorien)
Kerberos - Server fordert ein Benutzer anmelden. Wenn der Browser die Kerberos unterstützt, findet folgendes statt:
  • IIS fordert die Authentifizierung.
  • Wenn der Client nicht an einer Domäne angemeldet hat, wird ein Dialogfeld wird in Internet Explorer verlangt werden und dann kontaktiert das KDC zum Anfordern und empfangen ein Ticket-genehmigendes Ticket. Er sendet dann das Ticket Granting Ticket zusammen mit Informationen über den IIS-Server an das KDC.
  • Wenn der Internet Explorer-Client wurde bereits erfolgreich an der Domäne angemeldet und ein Ticket-genehmigendes Ticket erhalten, sendet es an das KDC dieses Ticket zusammen mit Informationen über den IIS-server
  • Das KDC stellt dem Client ein Ticket für die Ressource.
  • Der Client übergibt dieses Ticket an den IIS-Server.
Kerberos verwendet Tickets generiert bei einem Ticket gewähren Server (KDC) zum Authentifizieren. Dieses Ticket an den IIS-Server gesendet. Der Browser sendet keine über das Benutzerkennwort auf dem Server.
  • Unterstützte Browser: InternetExplorer-Versionen 5.0 und höher
  • Einschränkungen: der Server muss auf Active Directory-Server zugreifen. Der Server und der Client muss eine vertrauenswürdige Verbindung bei einem Schlüsselverteilungscenter.
  • Erforderliche Benutzerrechte: Das anonyme Benutzerkonto auf dem Server definierten muss "Lokal anmelden" Berechtigungen verfügen.
  • Verschlüsselungstyp: Ticket verschlüsselt.
Windows NT Challenge/Response - Server fordert den Benutzer anmelden. Wenn der Browser Windows NT Challenge/Response, sendet er die Anmeldeinformationen des Benutzers automatisch, wenn der Benutzer angemeldet ist. Wenn die Domäne, das der Benutzer in der Domäne des Servers unterscheidet, oder wenn der Benutzer nicht angemeldet ist, wird ein Dialogfeld angezeigt, in Internet Explorer die Anmeldeinformationen anfordern, senden. Windows NT-Herausforderung/Rückmeldung verwendet einen Algorithmus generiert einen Hashwert für die Anmeldeinformationen des Benutzers und der Computer, den der Benutzer verwendet. Er sendet dann diesen Hash an den Server. Der Browser sendet keine über das Benutzerkennwort auf dem Server.
  • Unterstützte Browser: InternetExplorer, Version 3.01 oder höher.
  • Einschränkungen: Erfordert Point-Verbindung. Eine Verbindung wird in der Regel nach einem Fehler "401 nicht autorisiert" geschlossen wird; jedoch bei der Aushandlung einer Authentifizierungssequenz Windows NT Challenge/Response (was mehrere Roundtrips erfordert), hält der Server die Verbindung geöffnet für die Dauer der Sequenz, nachdem der Client angegeben hat, dass Windows NT Herausforderung/Rückmeldung verwendet wird. CERN-Proxys und bestimmte andere Internetgeräte verhindern diese arbeiten. Windows NT-Herausforderung/Rückmeldung unterstützt außerdem keine Double-Hop-Identitätswechsel (d. h. nach dem IIS-Server übergeben, dieselben Anmeldeinformationen an Back-End-Server für die Authentifizierung, z. B. übergeben werden können nicht bei IIS Windows NT Challenge/Response, verwendet es kann dann Authentifizierung die Benutzer anhand einer SQL Server-Datenbank auf einem anderen Computer über integrierte SQL-Sicherheit).
  • Erforderliche Benutzerrechte: Das Benutzerkonto Zugriff auf den Server benötigen "Auf diesen Computer vom Netzwerk" Berechtigungen.
  • Verschlüsselungstyp: NTLM-Hash-Algorithmus, der auch mit UUENCODE ist.
Rangfolgen:Wenn der Browser eine Anforderung, hält es immer die erste Anforderung anonym sein. Daher wird keine Anmeldeinformationen gesendet. Wenn der Server nicht anonym akzeptiert oder legen Sie das anonyme Benutzerkonto auf dem Server verfügt nicht über Berechtigungen zur Datei angefordert wird, der IIS-Server antwortet mit einer Fehlermeldung "Zugriff verweigert" und sendet eine Liste der Typen, die mit einem der folgenden Szenarien unterstützt werden:
  • Wenn die integrierte Windows-das einzige ist unterstützte Methode (oder Ausfall anonym), dann muss der Browser diese Methode zur Kommunikation mit dem Server unterstützen. Wenn dies fehlschlägt, wird der Server keine der anderen Methoden versucht.
  • Wenn Basic ist die einzige unterstützte Methode (oder anonym schlägt fehl), anschließend ein Dialogfeld angezeigt, der um die Anmeldeinformationen zu erhalten, und übergibt diese an den Server. Er versucht, die Anmeldeinformationen bis zu dreimal zu senden. Wenn alle fehlschlagen, stellt der Browser nicht an den Server her.
  • Wenn Basic und integrierte Windows-unterstützt werden, bestimmt der Browser, welche Methode verwendet wird. Wenn der Browser Kerberos- oder Windows NT Challenge/Response, verwendet es diese Methode auf. Es nicht auf Basic zurückgreifen. Falls Windows NT Challenge/Response und Kerberos nicht unterstützt werden, verwendet der Browser Standard-, Digest- oder Fortezza, sofern diese unterstützt. Die Reihenfolge des Vorrangs hier ist Basic, Digest und Fortezza.
Notizen:
  • Wenn Ihr Browser mit Standardauthentifizierung oder integrierte Windows-Authentifizierung eine Verbindung mit einer Website herstellt, fällt sie nicht wieder auf anonym im weiteren Verlauf dieser Sitzung mit dem Server. Wenn Sie versuchen, zu einer Webseite herstellen, die nur nach der Authentifizierung für anonym markiert ist, werden Sie verweigert. (Dies kann oder kann nicht Supportwebseite für Netscape).
  • Wenn Internet Explorer eine Verbindung mit dem Server unter Verwendung einer Authentifizierungsmethode als die anonyme hergestellt hat, übergibt es automatisch die Anmeldeinformationen für jede neue Anfrage während der Dauer der Sitzung.

Informationsquellen

Weitere Informationen zum Konfigurieren der IIS-Websiteauthentifizierung in Windows Server 2003 klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
324274 Gewusst wie: Konfigurieren der IIS-Websiteauthentifizierung in Windows Server 2003
Weitere Informationen zu Problemen, die auftreten können, wenn ein Anwendungspool, der unter IIS 6.0 gehostet wird während des Authentifizierungsvorgangs wiederverwendet wird, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
902160 Fehlermeldung "HTTP-Fehler 401" Fehlermeldungen angezeigt, und Sie zeitweise keine Verbindung zu einer Website, die unter IIS 6.0 gehostet wird herstellen

Eigenschaften

Artikel-ID: 264921 - Geändert am: Montag, 18. November 2013 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
Keywords: 
kbinfo kbmt KB264921 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 264921
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com