Artikel-ID: 264921 - Geändert am: Donnerstag, 5. Januar 2012 - Version: 0.1

Wie IIS Browserclients authentifiziert

Deutsch und Englisch nebeneinanderMaschinell-übersetzte und englische Version des Artikels nebenander anzeigen
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Produkte anzeigen, auf die sich dieser Artikel bezieht
SystemtippDieser Artikel bezieht sich auf ein anderes Betriebssystem als das von Ihnen verwendete. Für Sie möglicherweise nicht relevante Artikelinhalte wurden deaktiviert.
Wir empfehlen dringend, alle Benutzer zu Microsoft-Internetinformationsdienste (IIS), Version 7.0 aktualisieren, die auf Microsoft Windows Server 2008 ausgeführt. IIS 7.0 steigert die Sicherheit der Web-Infrastruktur. Weitere Informationen zu IIS sicherheitsbezogene Themen finden Sie auf der folgenden Microsoft-Website:
http://www.Microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
Weitere Informationen zu IIS 7.0 finden Sie auf der folgenden Microsoft-Website:
http://www.IIS.NET/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)

Auf dieser Seite

Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beschreibt die verschiedenen Authentifizierungsmethoden, die in IIS für Microsoft Windows NT 4.0 und Microsoft Windows 2000 verfügbar sind. Eine genauere Beschreibung der Informationen in diesem Artikel beschrieben wird finden Sie unter der Windows NT 4.0 und Windows 2000 Resource Guides.
Zum Anfang

Weitere Informationen

Authentifizierungsmethoden, die für Windows NT 4.0 verfügbar sind

Anonyme -Keine Anmeldung erforderlich ist, und jeder darf auf Daten zugreifen, die mit dieser Methode geschützt ist. Der Server verwendet ein integriertes Konto (standardmäßig IUSR_ [Computername]) zum Steuern der Berechtigungen für die Dateien. Der Browser sendet Anmeldeinformationen oder Benutzer-Info über mit dieser Art von Anforderung nicht.
  • Unterstützte Browser:
  • Einschränkungen: keine
  • Erforderliche Benutzerrechte: Das anonyme Benutzerkonto auf dem Server definierten muss "Lokal anmelden" Berechtigungen haben.
  • Verschlüsselungstyp: None
Standardauthentifizierung (Klartext) -Der Server fordert den Benutzer anmelden und ein Dialogfeld wird angezeigt, in dem Browser, der ermöglicht es dem Benutzer, die Anmeldeinformationen einzugeben, die erforderlich sind. Diese Anmeldeinformationen müssen übereinstimmen, die Anmeldeinformationen des Benutzers definiert, auf die Dateien, die der Benutzer zugreifen möchte.
  • Unterstützte Browser:
  • Einschränkungen: Nicht sehr sicher. Kennwörter sind leicht entschlüsselt.
  • Erforderliche Benutzerrechte: Das Benutzerkonto muss "Lokal anmelden" Berechtigungen haben.
  • Verschlüsselungstyp: Base-64-Codierung (nicht true Verschlüsselung)
Windows NT Challenge/Response -Der Server fordert den Benutzer anmelden. Wenn der Browser Windows NT Challenge/Response, sendet er automatisch die Anmeldeinformationen des Benutzers, wenn der Benutzer angemeldet ist. Wenn die Domäne, der der Benutzer auf ist anders als der Domäne des Servers ist oder wenn der Benutzer nicht angemeldet ist, wird ein Dialogfeld angezeigt, um die Anmeldeinformationen zu senden. Windows NT-Herausforderung/Rückmeldung verwendet einen Algorithmus, um einen Hash, basierend auf die Anmeldeinformationen des Benutzers und dem Computer, den der Benutzer zu generieren. Es sendet dann diesen Hash an den Server. Der Browser sendet das Kennwort des Benutzers über keine an den Server.
  • Browsern unterstützt: InternetExplorer, Version 3.01 oder höher
  • Einschränkungen: Erfordert die Punkt-Punkt-Verbindung. In der Regel wird ein Stromkreis geschlossen, nach einem Fehler "401 unauthorized" Nachricht; allerdings bei der Aushandlung einer Authentifizierungssequenz für Windows NT Challenge/Response (was mehrere Roundtrips erfordert), hält der Server die Schaltung geöffnet für die Dauer der Sequenz, nachdem der Client angegeben hat, dass es Windows NT-Herausforderung/Rückmeldung verwenden. CERN-Proxy und bestimmte andere Internetgeräte verhindern arbeiten. Außerdem unterstützt Windows NT Challenge/Response nicht Double-Hop-Identitätswechsel, (, sobald auf dem IIS-Server zu übergeben, die gleichen Anmeldeinformationen an einen Back-End-Server für die Authentifizierung übergeben werden können nicht).
  • Erforderliche Benutzerrechte: Das Benutzerkonto, das Zugriff auf den Server müssen Berechtigungen für "Auf diesen Computer vom Netzwerk".
  • Verschlüsselungstyp: NTLM-Hash-Algorithmus, der auch Uuencoded ist.
Bestellungen Rangfolge:Wenn der Browser eine Anforderung stellt, hält es immer die erste Anforderung anonym sein. Daher wird keine Anmeldeinformationen gesendet. Wenn der Server nicht anonym oder akzeptiert, wenn für das anonyme Benutzerkonto festlegen verfügt der Server nicht über Berechtigungen auf die Datei angefordert, der IIS-Server antwortet mit einer Fehlermeldung "Zugriff verweigert" und sendet eine Liste der Authentifizierungstypen, die mithilfe einer der folgenden Szenarien unterstützt werden:
  • Wenn Windows NT-Herausforderung/Rückmeldung das einzige ist unterstützte Methode (oder wenn anonymer Zugriff fehlschlägt), dann muss der Browser diese Methode, um die Kommunikation mit dem Server unterstützen. Anderenfalls wird es kann keine Verbindung mit dem Server aushandeln, und der Benutzer erhält eine Fehlermeldung "Zugriff verweigert".
  • Wenn Basic das einzige ist unterstützte Methode (oder wenn anonymer Zugriff fehlschlägt) und anschließend ein Dialogfeld angezeigt wird, in den Browser, um die Anmeldeinformationen zu erhalten, und übergibt dann diese Anmeldeinformationen an den Server. Er versucht, diese Anmeldeinformationen bis zu drei Mal senden. Wenn alle diese fehlschlagen, wird der Browser nicht mit dem Server verbunden.
  • Wenn Basic und Windows NT Challenge/Response unterstützt werden, bestimmt der Browser, welche Methode verwendet wird. Wenn der Browser Windows NT Challenge/Response unterstützt, verwendet diese Methode und fällt nicht wieder auf Basic. Wenn Windows NT-Herausforderung/Rückmeldung nicht unterstützt wird, verwendet der Browser Basic.
Notizen:
  • Wenn Ihr Browser eine Verbindung mit einer Website mithilfe von Standard- oder NTLM-Authentifizierung herstellt, es nicht auf anonym im weiteren Verlauf dieser Sitzung mit dem Server zurückgreifen. Wenn Sie versuchen, eine Webseite herstellen, die nur nach der Authentifizierung für anonym markiert ist, werden Sie abgelehnt. (Dies kann oder kann nicht für Netscape Supportwebseite).
  • Wenn Internet Explorer eine Verbindung mit dem Server mithilfe der Standard- oder NTLM-Authentifizierung hergestellt hat, übergibt es die Anmeldeinformationen für jede neue Anforderung für die Dauer der Sitzung.
Zum Anfang

Authentifizierungsmethoden, die für Windows 2000 und höher verfügbar sind.

Anonyme -Keine Anmeldung erforderlich ist, und jeder darf Zugriff auf Daten, die mit dieser Methode geschützt. Der Server verwendet ein integriertes Konto (standardmäßig IUSR_ [Computername]) zum Steuern der Berechtigungen für die Dateien. Der Browser sendet Anmeldeinformationen oder Benutzer-Info über mit dieser Art von Anforderung nicht.
  • Unterstützte Browser:
  • Einschränkungen: keine
  • Erforderliche Benutzerrechte: Das anonyme Benutzerkonto auf dem Server definierten muss "Lokal anmelden" Berechtigungen haben.
  • Verschlüsselungstyp: None
Standardauthentifizierung (Klartext) -Der Server fordert den Benutzer anmelden und ein Dialogfeld wird angezeigt, in dem Browser, der ermöglicht es dem Benutzer, die Anmeldeinformationen einzugeben, die erforderlich sind. Diese Anmeldeinformationen müssen übereinstimmen, die Anmeldeinformationen des Benutzers definiert, auf die Dateien, die der Benutzer zugreifen möchte.
  • Unterstützte Browser:
  • Einschränkungen: Nicht extrem sicher. Kennwörter sind leicht entschlüsselt.
  • Erforderliche Benutzerrechte: Das Benutzerkonto muss "Lokal anmelden" Rechte haben.
  • Verschlüsselungstyp: Base-64-Codierung (nicht true Verschlüsselung)
Digest -Der Server fordert den Benutzer zur Anmeldung und sendet auch eine NONCE verwendet, um das Kennwort zu verschlüsseln. Der Browser die NONCE verwendet, um das Kennwort zu verschlüsseln und sendet diese an den Server. Der Server seine eigene Kopie der das Kennwort des Benutzers verschlüsselt und vergleicht die beiden. Wenn sie übereinstimmen, und der Benutzer Berechtigungen besitzt, wird Zugriff gewährt.
  • Browsern unterstützt: InternetExplorer 5 und höheren Versionen
  • Einschränkungen: Nicht als als integrierte zu sichern. Benötigt der Server den Zugriff auf Active Directory-Server, die für die Digest-Authentifizierung eingerichtet ist.
  • Erforderliche Benutzerrechte: Erfordert Kennwörter "Kennwort speichern" als verschlüsselten Klartext haben
  • Verschlüsselungstyp: Auf der Grundlage von NONCE, die vom Server gesendet.

Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
222028  (http://support.microsoft.com/kb/222028/ ) Setting up Digest Authentication für die Verwendung mit Internet Information Services 5.0
Fortezza -Fortezza-Sicherheit mit IIS 5.0 verwenden, müssen Sie eine geeignete Datei für kryptografische API Service Provider (CSP) von einem Fortezza-Anbieter, wie z. B. http://www.spyrus.com haben.

Die integrierte Windows-(in zwei Unterkategorien aufgeteilt)
Kerberos -Der Server fordert einen Benutzer anmelden. Wenn der Browser die Kerberos unterstützt, findet Folgendes statt:
  • IIS-Anforderungen-Authentifizierung.
  • Wenn der Client nicht an einer Domäne angemeldet hat, wird ein Dialogfeld erscheint in Internet Explorer Anmeldeinformationen anfordern und dann kontaktiert das KDC anfordern und empfangen ein Ticket-genehmigendes Ticket. Dann wird das Ticket Granting Ticket zusammen mit Informationen zu den IIS-Server sendet, an das KDC.
  • Wenn der IE-Client wurde bereits erfolgreich an der Domäne angemeldet und ein Ticket-genehmigendes Ticket erhalten, sendet es an das KDC dieses Ticket zusammen mit Informationen über den IIS-server
  • Das KDC stellt dem Client ein Ticket für die Ressource.
  • Der Client übergibt dieses Ticket an den IIS-Server.
Kerberos verwendet Tickets generiert bei einem Ticket Gewährung Server (KDC) zum Authentifizieren. Dieses Ticket an den IIS-Server gesendet. Der Browser sendet das Kennwort des Benutzers über keine an den Server.
  • Browsern unterstützt: InternetExplorer-Versionen 5.0 und höher
  • Einschränkungen: der Server muss auf Active Directory-Server zugreifen. Der Server und der Client muss eine vertrauenswürdige Verbindung zu einem KDC.
  • Erforderliche Benutzerrechte: Das anonyme Benutzerkonto auf dem Server definierten muss "Lokal anmelden" Berechtigungen haben.
  • Verschlüsselungstyp: Ticket verschlüsselt.
Windows NT Challenge/Response -Der Server fordert den Benutzer anmelden. Wenn der Browser Windows NT Challenge/Response, sendet er automatisch die Anmeldeinformationen des Benutzers, wenn der Benutzer angemeldet ist. Wenn die Domäne, der der Benutzer auf ist anders als der Domäne des Servers ist oder wenn der Benutzer nicht angemeldet ist, wird ein Dialogfeld angezeigt, in Internet Explorer die Anmeldeinformationen anfordern zu senden. Windows NT-Herausforderung/Rückmeldung verwendet einen Algorithmus, um einen Hash, basierend auf die Anmeldeinformationen des Benutzers und dem Computer, den der Benutzer zu generieren. Es sendet dann diesen Hash an den Server. Der Browser sendet das Kennwort des Benutzers über keine an den Server.
  • Browsern unterstützt: InternetExplorer, Version 3.01 oder höher.
  • Einschränkungen: Erfordert die Punkt-Punkt-Verbindung. In der Regel wird ein Stromkreis geschlossen, nach einem Fehler "401 unauthorized" Nachricht; allerdings bei der Aushandlung einer Authentifizierungssequenz für Windows NT Challenge/Response (was mehrere Roundtrips erfordert), hält der Server die Schaltung geöffnet für die Dauer der Sequenz, nachdem der Client angegeben hat, dass es Windows NT-Herausforderung/Rückmeldung verwenden. CERN-Proxy und bestimmte andere Internetgeräte verhindern arbeiten. Windows NT Challenge/Response unterstützt außerdem keine Double-Hop-Identitätswechsel (d. h., nachdem auf dem IIS-Server weitergeleitet werden, dieselben Anmeldeinformationen an einen Back-End-Server für die Authentifizierung, z. B. übergeben werden können nicht wenn IIS auf Windows NT Challenge/Response, verwendet es kann dann Authentifizierung die Benutzer anhand einer SQL Server-Datenbank auf einem anderen Computer über SQL integrierte Sicherheit).
  • Erforderliche Benutzerrechte: Das Benutzerkonto Zugriff auf den Server muss "Auf diesen Computer vom Netzwerk" Berechtigungen haben.
  • Verschlüsselungstyp: NTLM-Hash-Algorithmus, der auch Uuencoded ist.
Bestellungen Rangfolge:Wenn der Browser eine Anforderung stellt, hält es immer die erste Anforderung anonym sein. Daher wird keine Anmeldeinformationen gesendet. Wenn der Server nicht anonym akzeptiert oder legen Sie das anonyme Benutzerkonto auf dem Server verfügt nicht über Berechtigungen auf die Datei angefordert, der IIS-Server antwortet mit einer Fehlermeldung "Zugriff verweigert" und sendet eine Liste der Authentifizierungstypen, die mithilfe einer der folgenden Szenarien unterstützt werden:
  • Wenn die integrierte Windows-das einzige ist unterstützte Methode (oder wenn anonymer Zugriff fehlschlägt), dann muss der Browser diese Methode, um die Kommunikation mit dem Server unterstützen. Wenn dies fehlschlägt, wird der Server nicht die anderen Methoden versucht.
  • Wenn Basic ist die einzige unterstützte Methode (oder anonym fehlschlägt), dann ein Dialogfeld wird angezeigt, der die Anmeldeinformationen abgerufen und übergibt diese an den Server. Er versucht, die bis zu drei Mal die Anmeldeinformationen zu senden. Wenn alle diese fehlschlägt, stellt der Browser an den Server keine Verbindung her.
  • Wenn Basic und die integrierte Windows-unterstützt werden, bestimmt der Browser, welche Methode verwendet wird. Wenn der Browser die Kerberos- oder Windows NT Challenge/Response unterstützt, verwendet es diese Methode. Es nicht auf Basic zurückgreifen. Wenn Windows NT-Herausforderung/Rückmeldung und Kerberos nicht unterstützt werden, verwendet der Browser Standard-, Digest- oder Fortezza, sofern diese unterstützt. Die Reihenfolge der Rangfolge hier ist Basic, Digest und Fortezza.
Notizen:
  • Wenn Ihr Browser eine Verbindung mit einer Website mithilfe der Standardauthentifizierung oder integrierte Windows-Authentifizierung herstellt, fällt es nicht wieder auf anonym im weiteren Verlauf dieser Sitzung mit dem Server. Wenn Sie versuchen, Verbindung zu einer Webseite, die nur nach der Authentifizierung für anonym markiert ist, wird Ihnen verweigert. (Dies kann oder kann nicht für Netscape Supportwebseite).
  • Wenn Internet Explorer eine Verbindung mit dem Server mithilfe einer Authentifizierungsmethode außer anonym hergestellt hat, übergibt es automatisch die Anmeldeinformationen für jede neue Anfrage während der Dauer der Sitzung verwendet werden.
Zum Anfang

Informationsquellen

Weitere Informationen zum Konfigurieren von IIS-Websiteauthentifizierung in Windows Server 2003 finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
324274  (http://support.microsoft.com/kb/324274/ ) Konfigurieren von IIS-Websiteauthentifizierung in Windows Server 2003
Weitere Informationen zu Problemen, die auftreten können, wenn ein Website-Anwendungspool, der unter IIS 6.0 gehostet wird während des Authentifizierungsvorgangs wiederverwendet wird, finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
902160  (http://support.microsoft.com/kb/902160/ ) Fehlermeldung "HTTP-Fehler 401" Fehlermeldungen und zeitweise keine Verbindung zu einer Website, die auf IIS 6.0 gehostet wird
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 7.5
  • Microsoft Internet Explorer 6.0
  • Windows Internet Explorer 7
  • Windows Internet Explorer 8
  • Windows Internet Explorer 9
Zum Anfang
Keywords: 
kbinfo kbmt KB264921 KbMtde
Zum Anfang
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 264921  (http://support.microsoft.com/kb/264921/en-us/ )
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.