文章編號: 264921 - 上次校閱: 2012年1月5日 - 版次: 0.1

IIS 驗證瀏覽器用戶端的方式

按一下這裡顯示機器翻譯的中英文對照

檢視機器翻譯免責聲明

檢視此文章適用的產品。

系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

我們強烈建議所有使用者都升級至 Microsoft Internet Information Services (IIS) 7.0 版 Microsoft Windows Server 2008 上執行。IIS 7.0 能夠大幅提升網頁基礎結構的安全性。如需有關 IIS 安全性主題的詳細資訊，請造訪下列 Microsoft 網站：

http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)

如需有關 IIS 7.0 的詳細資訊，請造訪下列 Microsoft 網站：

http://www.iis.net/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)

結論

本文將告訴 IIS hotfix Windows NT 和 Microsoft Windows 2000 中，您可以使用不同的驗證方法。如本文中所討論的資訊更完整描述，請參閱 Windows NT 4.0 和 Windows 2000 的「資源指南。

回此頁最上方

其他相關資訊

Windows NT 4.0，您可以使用的驗證方法

匿名 -沒有登入很重要，任何人都可以存取以這個方法保護的資料。伺服器會使用內建帳戶 (預設狀況下 IUSR_ [電腦名稱]) 來控制檔案的權限。瀏覽器不會傳送任何憑證或使用者資訊，這種類型的要求。

支援的瀏覽器：任何
限制：無
必要的使用者權利：伺服器上所定義的匿名使用者帳戶必須具有「本機登入」權限。
加密類型：無

基本 (明文) -伺服器要求使用者登入，並允許使用者輸入所需的認證瀏覽器中會出現一個對話方塊。這些認證必須符合使用者正嘗試存取的檔案上所定義的使用者認證。

支援的瀏覽器：任何
限制：並非很安全。密碼很容易被破解。
所需的使用者權利：使用者帳戶必須具有「本機登入」權限。
加密類型： Base 64 編碼 (不正確加密)

Windows NT 挑戰/回應 -伺服器要求使用者登入。如果瀏覽器支援 Windows NT 挑戰/回應，它會自動傳送使用者的認證使用者登入。如果使用者所在的網域不同伺服器的網域或使用者未登入時，會出現一個對話方塊，要求傳送認證。Windows NT 挑戰/回應會使用演算法來產生雜湊，根據使用者的憑證和使用者使用的電腦。然後將這個雜湊傳送到伺服器。瀏覽器不會傳送到伺服器的使用者的密碼。

3.01 及更新版本的瀏覽器支援： Internet Explorer 版本
限制：需要點對點式連線。通常，在「 401 未授權」的錯誤之後關閉電路訊息；不過，交涉時 Windows NT 挑戰/回應驗證順序 (這需要多重往返)，伺服器保持電路為開啟狀態序列期間用戶端已指出該網域控制站會使用 Windows NT 挑戰/回應之後。CERN proxy 和某些網際網路的裝置 nt 挑戰。此外，Windows NT 挑戰/回應不支援雙躍點模擬 (在於一旦傳遞給 IIS 伺服器時，相同的認證不能傳遞至後端伺服器進行驗證)。
必要的使用者權利：正在存取伺服器的使用者帳戶必須具有「這台電腦從網路存取」權限。
也是 uuencoded 的加密類型： NTLM 雜湊演算法。

之優先順序的訂單：當瀏覽器提出要求時，一定會認為匿名的第一個要求。因此，它不會傳送任何認證。如果伺服器不接收匿名，或是，如果匿名使用者帳戶上設定伺服器並沒有權限要求，IIS 伺服器會回應「拒絕存取」錯誤訊息，並且傳送藉由使用下列方案之一所支援的驗證類型清單的檔案：

如果 Windows NT 挑戰/回應是唯一支援的方法 (或接受「匿名」)，則瀏覽器必須支援這個方法，以與伺服器通訊。否則，它無法與伺服器交涉，且使用者會收到「拒絕存取」錯誤訊息。
如果基本驗證是唯一支援的方法 (或接受「匿名」)，則對話方塊會出現在瀏覽器以取得的認證，並且再將憑證傳遞給伺服器。它會嘗試傳送這些憑證三次。如果傳送皆失敗，瀏覽器未連接到伺服器。
如果同時支援基本驗證和 Windows NT 挑戰/回應是，瀏覽器會決定要執行的使用哪一種方法。如果瀏覽器支援 Windows NT 挑戰/回應，它會使用這個方法並不會跳回 Basic。如果不支援 Windows NT 挑戰/回應，則瀏覽器會使用基本。

備忘稿:

當您的瀏覽器使用基本驗證或 NTLM 驗證，建立與 Web 站台的連線時，它不會不回到匿名期間與伺服器工作階段的其餘部分。如果您嘗試連線至 Web 網頁標示為接受「匿名驗證之後，您將被拒絕。(這可能會或可能會維持 true 如 Netscape)。
Internet Explorer 已在使用基本驗證或 NTLM 驗證建立與伺服器的連線，它會傳遞工作階段期間每個新要求的認證。

回此頁最上方

可為 Windows 2000 和以上的驗證方法

支援的瀏覽器：任何
限制：無
必要的使用者權利：伺服器上所定義的匿名使用者帳戶必須具有「本機登入」權限。
加密類型：無

支援的瀏覽器：任何
限制：並非很安全。密碼很容易被破解。
所需的使用者權利：使用者帳戶必須具有「本機登入」權限
加密類型： Base 64 編碼 (不正確加密)

摘要 -伺服器要求使用者登入，並且也會傳送用來加密密碼的 NONCE。瀏覽器使用 NONCE 將密碼加密，並傳送到伺服器。然後伺服器會加密使用者的密碼之各自複本，並進行比對。如果兩者相符，且使用者有權限，授與存取。

瀏覽器支援： Internet Explorer 5 或更新版本
：限制安全性不如整合式驗證。需要作用中的目錄伺服器已設定為 [摘要式驗證所存取的伺服器。
必要的使用者權利：要求具有 [另存為加密純文字密碼"
加密類型：根據由伺服器所傳送的 NONCE。

如需詳細資訊，按一下下面的文件編號，檢視「 Microsoft 知識庫」中的文件：

222028? (http://support.microsoft.com/kb/222028/ ) 設定 [網際網路資訊服務 5.0 使用於 [摘要式驗證

Fortezza -若要使用 IIS 5.0 Fortezza 安全性，您需要有適當的密碼編譯 API 服務提供者 (CSP) 檔案，例如 http://www.spyrus.com 的 Fortezza 提供者。

Windows 整合式驗證 (分割成兩個的子類別目錄中)
Kerberos -伺服器要求使用者登入。如果瀏覽器支援 Kerberos，下列進行時：

IIS 會要求驗證。
如果用戶端尚未登入網域，對話方塊會出現在 [要求憑證的 Internet Explorer，並再連絡 KDC 要求，並收到由票證所授與的票證。接著會由票證所授與的票證連同 IIS 伺服器相關的資訊傳送給 KDC。
如果 IE 用戶端有已經順利登入網域，並收到由票證所授與的票證，便會傳送這個票證連同 IIS 伺服器相關的資訊給 KDC
金鑰發行中心發給用戶端資源票證。
用戶端會將這個票證傳送到 IIS 伺服器。

Kerberos 驗證，使用產生在票證授與伺服器 (KDC) 的票證。它會將這個票證傳送到 IIS 伺服器。瀏覽器不會傳送到伺服器的使用者的密碼。

瀏覽器支援： Internet Explorer 版本 5.0 及以上
限制：伺服器必須有使用中的目錄伺服器的存取權。伺服器和用戶端都必須有受信任的連線至 KDC。
必要的使用者權利：伺服器上所定義的匿名使用者帳戶必須具有「本機登入」權限。
加密類型：加密票證。

Windows NT 挑戰/回應 -伺服器要求使用者登入。如果瀏覽器支援 Windows NT 挑戰/回應，它會自動傳送使用者的認證使用者登入。如果使用者所在的網域不同伺服器的網域或使用者未登入，在傳送要求認證 Internet Explorer 中會出現一個對話方塊。Windows NT 挑戰/回應會使用演算法來產生雜湊，根據使用者的憑證和使用者使用的電腦。然後將這個雜湊傳送到伺服器。瀏覽器不會傳送到伺服器的使用者的密碼。

瀏覽器支援： Internet Explorer 3.01 及更新版本。
限制：需要點對點式連線。一般而言，在「 401 未授權」的錯誤之後關閉電路訊息；不過，交涉時 Windows NT 挑戰/回應驗證順序 (這需要多重往返)，伺服器保持電路為開啟狀態序列期間用戶端已指出該網域控制站會使用 Windows NT 挑戰/回應之後。CERN proxy 和某些網際網路的裝置 nt 挑戰。此外，Windows NT 挑戰/回應不支援雙躍點模擬 (也就是說一旦傳遞給 IIS 伺服器時，相同的認證無法時傳遞至後端伺服器進行驗證，比方說，IIS 會使用 Windows NT 挑戰/回應，它就無法再驗證對另一台電腦上的 SQL Server 資料庫使用者藉由使用 SQL 整合式安全性)。
必要的使用者權利：存取伺服器的使用者帳戶必須具有「這台電腦從網路存取」權限。
也是 uuencoded 的加密類型： NTLM 雜湊演算法。

之優先順序的訂單：當瀏覽器提出要求時，一定會認為匿名的第一個要求。因此，它不會傳送任何認證。如果伺服器不接收匿名，或是在伺服器上設定的匿名使用者帳戶沒有權限要求，IIS 伺服器會回應「拒絕存取」錯誤訊息，並且傳送藉由使用下列方案之一所支援的驗證類型清單的檔案：

如果 Windows 整合式驗證是唯一支援的方法 (或接受「匿名」)，則瀏覽器必須支援這個方法，以與伺服器通訊。如果失敗，伺服器不會嘗試任何其他方法。
如果基本驗證是唯一支援方法 (或接受「匿名」)，然後對話方塊會出現在將取得的認證，然後將傳遞給伺服器。它會嘗試傳送憑證到三倍。如果傳送皆失敗，瀏覽器就不會連線到伺服器。
如果支援基本驗證和 Windows 整合式驗證，瀏覽器會決定要執行的使用哪一種方法。如果瀏覽器支援 Kerberos 或「 Windows NT 挑戰/回應，它會使用這個方法。它不會跳回 Basic。如果不支援 Windows NT 挑戰/回應和 Kerberos，瀏覽器使用基本、摘要式或 Fortezza 支援這些。以下的優先順序是基本、摘要式和 Fortezza。

備忘稿:

當使用「基本」或「 Windows 整合式驗證」您的瀏覽器會先建立 Web 站台連線，它不會不回到匿名期間與伺服器工作階段的其餘部分。如果您嘗試連線至 Web 網頁標示為接受「匿名驗證之後，您會被拒絕。(這可能會或可能會維持 true 如 Netscape)。
將 Internet Explorer 有建立與伺服器的連線，使用 [匿名] 以外的其他驗證方法，會自動傳遞每個新要求的認證時工作階段期間。

回此頁最上方

?考

如需有關如何設定 Windows Server 2003 中的 IIS Web 網站驗證的詳細資訊，請按一下下面的文件編號，檢視「 Microsoft 知識庫」中的文件：

324274? (http://support.microsoft.com/kb/324274/ ) 如何設定 Windows Server 2003 中的 IIS Web 站台的驗證

如需有關裝載於 IIS 6.0 的網站應用程式集區回收在驗證程序期間可能發生的問題的詳細資訊，請按一下下面的文件編號，檢視「 Microsoft 知識庫」中的文件：

902160? (http://support.microsoft.com/kb/902160/ ) 您收到「 HTTP 錯誤 401 」錯誤訊息，以及間歇性地無法連線到裝載於 IIS 6.0 的網站

回此頁最上方

這篇文章中的資訊適用於:

Microsoft Internet Information Services 5.0
Microsoft Internet Information Services 5.1
Microsoft Internet Information Services 6.0
Microsoft Internet Information Services 7.0
Microsoft Internet Information Services 7.5
Microsoft Internet Explorer 6.0
Windows Internet Explorer 7
Windows Internet Explorer 8
Windows Internet Explorer 9

回此頁最上方

kbinfo kbmt KB264921 KbMtzh

回此頁最上方

機器翻譯

重要：本文是以 Microsoft 機器翻譯軟體翻譯而成，而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章，讓使用者可以依其使用語言使用知識庫中的所有文章。但是，機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤，就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本：264921? (http://support.microsoft.com/kb/264921/en-us/ )

回此頁最上方

Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應，不負任何擔保責任。Microsoft及(或)其供應商謹此聲明，不負任何對與此資訊有關之擔保責任，包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。