Select the product you need help with

IIS 验证浏览器客户端的身份

我们强烈建议所有用户都升级到 Microsoft Internet Information Services (IIS) 7.0 版在 Microsoft Windows Server 2008 上运行。IIS 7.0 大大提高了 Web 安全基础结构。有关 IIS 安全性的相关主题的详细信息，请访问下面的 Microsoft 网站：

http://www.microsoft.com/technet/security/prodtech/IIS.mspx

(http://www.microsoft.com/technet/security/prodtech/IIS.mspx)

有关 IIS 7.0 的详细信息，请访问下面的 Microsoft 网站：

http://www.iis.net/default.aspx?tabid=1

(http://www.iis.net/default.aspx?tabid=1)

展开全部 | 关闭全部

概要

本文介绍了在 Microsoft Windows NT 4.0 和 Microsoft Windows 2000 IIS 中可用的不同的身份验证方法。有关本文中讨论的信息更完整说明，请参阅 Windows NT 4.0 和 Windows 2000 资源指南。

回到顶端 | 提供反馈

更多信息

对于 Windows NT 4.0 可用的身份验证方法

匿名 -未登录，则需要和任何人都有权访问此方法与受保护的数据。服务器使用一个内置帐户（默认情况下为 IUSR_ [计算机名]）控制文件上的权限。浏览器不会发送任何凭据或使用这种类型的请求的用户信息。

支持的浏览器：任何
限制：无
所需的用户权限：在服务器上定义的匿名用户帐户必须具有"在本地登录"权限。
加密类型：无

基本身份验证（明文） -服务器请求用户登录，并允许用户输入的凭据所需的浏览器中会出现一个对话框。这些凭据必须与在用户试图访问的文件中定义的用户凭据相匹配。

支持的浏览器：任何
限制：不是非常安全。密码是轻松 deciphered。
所需的用户权限：用户帐户必须具有"在本地登录"权限。
加密类型: Base 64 编码（不正确的加密）

Windows NT 质询/响应 -服务器请求用户登录。如果浏览器支持 Windows NT 质询/响应，它将自动发送用户凭据用户登录。如果用户所在的域不同于服务器的域，或者如果用户未登录，将出现一个对话框，请求发送凭据。Windows NT 质询/响应使用某种算法将生成哈希基于用户的凭据和用户使用的计算机。然后将此哈希值发送到服务器。浏览器不会发送到服务器的跨的用户的密码。

浏览器支持： Internet Explorer 版本 3.01 版及更高版本
限制：要求点对点连接。通常情况下，电路关闭后"401 未经授权"的错误消息；但是，当协商 Windows NT 质询/响应身份验证序列（这需要多个往返行程），服务器电路后保持打开序列的持续时间内客户端已经表示它将使用 Windows NT 质询/响应。CERN 代理服务器和某些其他互联网设备防止此工作。另外，Windows NT 质询/响应不支持双跃点 impersonations （，一旦传递到 IIS 服务器，则相同的凭据不能传递到后端服务器进行身份验证）。
所需的用户权限：正在访问服务器的用户帐户必须具有"访问网络从这台计算机"权限。
也是容易被解码的加密类型: NTLM 哈希算法。

优先级的订单：当浏览器发出请求时，它始终认为是匿名的第一个请求。因此，它不会发送任何凭据。如果服务器不接受匿名或如果匿名用户帐户上设置服务器不必权限被请求，IIS 服务器使用"访问被拒绝"错误消息作出响应，并将使用下列方案之一来支持的身份验证类型的列表发送的文件：

如果 Windows NT 质询/响应是唯一受支持的方法（或如果匿名失败），然后在浏览器必须支持此方法来与服务器通信。否则为它不能与服务器协商，并且用户收到"访问被拒绝"错误消息。
如果基本身份验证是唯一受支持的方法（或如果匿名失败），然后对话框获取凭据，在浏览器中，然后将这些凭据传递到服务器。它将尝试发送这些凭据，最多三次。如果这些都失败，浏览器未连接到服务器。
如果基本和 Windows NT 质询/响应受支持，浏览器将决定使用哪种方法。如果浏览器支持 Windows NT 质询/响应，它将使用此方法并不回退为基本。如果不支持 Windows NT 质询/响应，则浏览器将使用基本。

备注:

当您的浏览器通过使用基本或 NTLM 身份验证建立 Web 站点的连接时，它不回退为匿名期间与服务器的会话的其余部分。如果您尝试连接到标记为匿名仅之后进行身份验证的 Web 页，则会被拒绝。（这可能会或可能不成立的 Netscape）。
Internet Explorer 已建立与服务器的连接通过使用基本或 NTLM 身份验证，它将为每个新请求凭据传递会话的持续时间。

为 Windows 2000 及更可用的身份验证方法

匿名 -未登录，则需要，才能使用此方法保护的数据访问，允许任何人。服务器使用一个内置帐户（默认情况下为 IUSR_ [计算机名]）控制文件上的权限。浏览器不会发送任何凭据或使用这种类型的请求的用户信息。

支持的浏览器：任何
限制：无
所需的用户权限：在服务器上定义的匿名用户帐户必须具有"在本地登录"权限。
加密类型：无

支持的浏览器：任何
限制：不是非常安全。密码是轻松 deciphered。
所需的用户权限：用户帐户必须具有"在本地登录"权限
加密类型: Base 64 编码（不正确的加密）

摘要 -服务器请求用户登录，并还会发送 NONCE 用于加密密码。浏览器使用现时加密密码，并向服务器发送这。服务器然后对其自己的副本的用户的密码进行加密，并比较这两个。如果它们匹配，并且用户具有的权限，则授予访问权限。

浏览器支持： Internet Explorer 5 及更高版本
限制：不是作为集成版作为安全。要求要为摘要式身份验证设置活动目录服务器具有访问权限的服务器。
所需的用户权限：要求密码具有"保存为加密的明文密码"
加密类型：基于现时由服务器发送。

有关详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

222028

(http://support.microsoft.com/kb/222028/ )

设置用于 Internet Information Services 5.0 的摘要式身份验证

Fortezza -若要使用 IIS 5.0 Fortezza 安全，您需要有适当的加密 API 服务提供程序 (CSP) 文件，如 http://www.spyrus.com Fortezza 提供商。

Windows 集成（拆分为两个子类别）
Kerberos -服务器请求用户登录。如果浏览器支持 Kerberos，以下会发生：

IIS 请求身份验证。
如果客户端已没有登录到域，一个对话框将出现在 Internet Explorer 请求凭据，然后联系 KDC 请求和接收票证授予票证。然后，它将票证授予票证的 IIS 服务器的有关信息一起发送到 KDC。
如果 IE 客户端具有已成功登录到域，并且收到票证授予票证，它将此票证与 IIS 服务器有关的信息一起发送到 KDC
KDC 颁发客户端资源票证。
客户端传递到 IIS 服务器的此票证。

Kerberos 进行身份验证使用生成在票证授予服务器 (KDC) 的票证。它将此票证发送到 IIS 服务器。浏览器不会发送到服务器的跨的用户的密码。

浏览器支持： Internet Explorer 版本 5.0 及以上
限制：服务器必须具有对 Active Directory 服务器的访问。服务器和客户端必须具有信任的连接到 KDC。
所需的用户权限：在服务器上定义的匿名用户帐户必须具有"在本地登录"权限。
加密类型：加密票证。

Windows NT 质询/响应 -服务器请求用户登录。如果浏览器支持 Windows NT 质询/响应，它将自动发送用户凭据用户登录。如果用户所在的域不同于服务器的域，或者如果用户未登录，将出现一个对话框中发送的 Internet Explorer 请求凭据。Windows NT 质询/响应使用某种算法将生成哈希基于用户的凭据和用户使用的计算机。然后将此哈希值发送到服务器。浏览器不会发送到服务器的跨的用户的密码。

3.01 版及更高版本的浏览器支持： Internet Explorer 版本。
限制：要求点对点连接。通常情况下，电路关闭后"401 未经授权"的错误消息；但是，当协商 Windows NT 质询/响应身份验证序列（这需要多个往返行程），服务器电路后保持打开序列的持续时间内客户端已经表示它将使用 Windows NT 质询/响应。CERN 代理服务器和某些其他互联网设备防止此工作。另外，Windows NT 质询/响应不支持双跃点 impersonations （这意味着一旦传递到 IIS 服务器，相同的凭据不能将传递给该后端服务器进行身份验证，例如，当 IIS 使用 Windows NT 质询/响应，它不能再对另一台计算机上的 SQL Server 数据库用户使用进行身份验证 SQL 集成安全性）。
所需的用户权限：访问服务器的用户帐户必须具有"访问网络从这台计算机"权限。
也是容易被解码的加密类型: NTLM 哈希算法。

优先级的订单：当浏览器发出请求时，它始终认为是匿名的第一个请求。因此，它不会发送任何凭据。如果服务器不接受匿名或在服务器上的匿名用户帐户设置 IIS 服务器使用"访问被拒绝"错误消息作出响应，并将使用下列方案之一来支持的身份验证类型的列表发送所请求的文件没有权限：

如果 Windows 集成是唯一受支持的方法（或如果匿名失败），然后在浏览器必须支持此方法来与服务器通信。如果此操作失败，服务器将不尝试任何其他方法。
如果基本身份验证是唯一受支持方法（或如果匿名失败），然后一个对话框将显示在获取凭据，然后将这些服务器进行传递。它将尝试发送凭据，最多三次。如果这些都失败，浏览器将无法连接到服务器。
如果基本和 Windows 集成支持，浏览器将决定使用哪种方法。如果浏览器支持 Kerberos 或 Windows NT 质询/响应，它将使用此方法。该问题不属于回为基本。如果不支持 Windows NT 质询/响应和 Kerberos，浏览器将使用基本、摘要式或 Fortezza 如果它支持这些。此处的顺序依次是基本、摘要和 Fortezza。

备注:

当您的浏览器建立与 Web 站点的连接通过使用基本或集成 Windows 身份验证时，它不回退为匿名期间与服务器的会话的其余部分。如果您尝试连接到标记为匿名仅之后进行身份验证的 Web 页时，您将被拒绝。（这可能会或可能不成立的 Netscape）。
Internet Explorer 已通过身份验证方法，而不是匿名建立与服务器的连接，它将自动传递对于每个新请求凭据会话的持续时间内。

回到顶端 | 提供反馈

参考

有关如何配置 IIS Web 站点身份验证 Windows Server 2003 中的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

324274

(http://support.microsoft.com/kb/324274/ )

如何在 Windows Server 2003 中配置 IIS Web 站点身份验证

如果 IIS 6.0 上承载的 Web 站点应用程序池回收在身份验证过程中可能发生的问题有关的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

902160

(http://support.microsoft.com/kb/902160/ )

您收到"HTTP 错误 401"错误消息，并且间歇性地无法连接到 IIS 6.0 上承载的 Web 站点

回到顶端 | 提供反馈

属性

文章编号: 264921 - 最后修改: 2012年1月5日 - 修订: 0.1

这篇文章中的信息适用于:

Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
Microsoft Internet Information Services 6.0
Microsoft Internet Information Services 7.0
Microsoft Internet Information Services 7.5
Microsoft Internet Explorer 6.0
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Internet Explorer 9

kbinfo kbmt KB264921 KbMtzh

机器翻译

注意：这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇，语法或文法的问题，就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量，但是我们不保证机器翻译的正确度，也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版： 264921

(http://support.microsoft.com/kb/264921/en-us/ )

Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性，不作任何声明。所有该等文件及有关图形均"依样"提供，而不带任何性质的保证。Microsoft和/或其各供应商特此声明，对所有与该等信息有关的保证和条件不负任何责任，该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下，在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中，Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

回到顶端 | 提供反馈