Protokolování služby IIS pro integrované ověřování systému Windows

Překlady článku Překlady článku
ID článku: 969060 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje požadavků a odpovědí komunikace mezi klientem protokolu HTTP a serveru Internetová informační služba (IIS) při konfiguraci integrované ověřování systému Windows. Tento článek ukazuje také tak, že IIS zaznamená tento proces ověřování protokoly služby IIS.

Další informace

Integrované ověřování systému Windows používá ověřování protokolu Kerberos verze 5 i ověřování NTLM. Kerberos je standardní ověřovací protokol, který se používá k ověření identity uživatele nebo hostitele identity. Pokud instalaci služby Active Directory v řadiči domény se systémem Windows 2000 Server, Windows Server 2003 nebo Windows Server 2008 a webový prohlížeč klienta podporuje ověřovací protokol Kerberos v5, klientem a serverem služby IIS pomocí ověřování protokolu Kerberos verze 5. V opačném případě klientem a serverem IIS použijte ověřování NTLM.

Poznámka: Podrobné informace o integrované ověřování systému Windows naleznete na následujícím webu společnosti Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Způsob, soubory protokolu služby IIS protokoly NTLM a ověřování pomocí protokolu Kerberos v IIS je liší podle toho, jaký protokol používá.

Pokud server služby IIS a HTTP klienta, který umožňuje webu požádat o podporovaly protokol Kerberos a služba IIS je nakonfigurován pro použití protokolu Kerberos, v protokolu služby IIS pro odpověď klienta požadavku a server se zobrazují položky protokolu podobné následujícím:

#Software: Internetová informační služba 6.0
# Verze: 1.0 # Date: 02:48:20 2009-01-01
# Pole: datum, čas s-sitename s ip cs metoda cs-uri stonku cs-uri dotaz s portu cs-username c-ip cs(User-Agent) sc-status sc podstavu sc-win32-status
2009-01-01 02:48:20 W3SVC1 <serverip>GET / - 80 - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02:48:21 W3SVC1 <serverip>GET / - 80 doména\uživatel <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

Pokud server Internetové informační služby nebo klienta protokolu HTTP nepodporuje protokol Kerberos nebo pokud server služby IIS je nakonfigurován pro použití pouze ověřování NTLM, následující typy položek protokolu zobrazí se v protokolu služby IIS pro odpověď klienta požadavku a server:

#Software: Internetová informační služba 6.0
# Verze: 1.0
# Data: 02:29:47 2009-01-05
# Pole: datum, čas s-sitename s ip cs metoda cs-uri stonku cs-uri dotaz s portu cs-username c-ip cs(User-Agent) sc-status sc podstavu sc-win32-status
2009-01-01 02:29:47 W3SVC1 <serverip>GET / - 80 - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02:29:47 W3SVC1 <serverip>GET / <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 - 80 - 1, 0
2009-01-01 02:29:47 W3SVC1 <serverip>GET / - 80 doména\uživatel <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

Integrované ověřování systému Windows

Služba IIS lze nakonfigurovat tak, aby podporují protokol Negotiate, protokol NTLM nebo obojí. Ve službě IIS 6.0 a ve starších verzích to se provádí prostřednictvím konfigurace klíči metabáze NTAuthenticationProviders. Ve službě IIS 7.0 důvodem je nastavením příslušných <provider> prvek pod <windowsauthentication> prvek v souboru ApplicationHost.config, nebo v souboru web.config.

Další informace jak nakonfigurovat systém Windows integrované ověřování ve službě IIS 6.0 a starší verze, naleznete následující článku znalostní báze Microsoft Knowledge Base:
215383Jak nakonfigurovat službu IIS tak, aby podporují protokol Kerberos i protokol NTLM k ověřování sítě
Další informace o konfiguraci integrované ověřování systému Windows ve službě IIS 7.0 naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/cc754628.aspx

Ověřování pomocí protokolu Kerberos

Následují dva příklady založené na scénář. V prvním případě je služba IIS konfigurována na podporují protokol Negotiate i protokol NTLM. V druhém scénáři je podporován pouze protokol Negotiate.

Scénář 1 – vyjednat protokol a protokol NTLM

V tomto příkladu je služba IIS konfigurována na podporují protokol Negotiate i protokol NTLM. Ve službě IIS 6.0 a ve starších verzích to se provádí nastavením klávesy metabáze NTAuthenticationProviders "Negotiate, NTLM". Ve službě IIS 7.0 a novějších verzích protokol Negotiate i protokol NTLM musí být uvedeno jako zprostředkovatelů v sekci <windowsauthentication>.

Poznámka: V následujících příkladech jsou zachyceny v hlavičce požadavku a odpovědi záhlaví pomocí nástroje Microsoft Network Monitor 3.2. Chcete-li stáhnout nejnovější verzi nástroje Sledování sítě, přejděte následující web společnosti:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4db40af-1e08-4a21-a26b-ec2f4dc4190d&DisplayLang=en
Při aplikaci Microsoft Internet Explorer vytvoří požadavek, aplikace Internet Explorer vždy bere v úvahu první požadavek nové připojení být anonymní. Aplikace Internet Explorer proto neodesílá žádné pověření jako část požadavku. Následuje příklad záhlaví požadavku, která odešle aplikace Internet Explorer v první požadavek na prostředek:

HTTP: Požadavku GET /
Příkaz: GET
ProtocolVersion: HTTP/1.1
Přijmout: obraz/gif, obraz, x-xbitmap, obrázek/jpeg, obrázek/pjpeg, * nebo *
Přijmout Language: en-us
Přijmout Encoding: gzip, Uprostřed zúžené
UserAgent: Mozilla/4.0 (kompatibilní; MSIE 6.0; Windows NT 5.1)
Hostitel: www.kerberos.com
Připojení: Zachování

Pokud server služby IIS není nakonfigurován pro podporu anonymní ověřování, služba IIS vrátí 401.2 stav, který říká klienta, že je klient neoprávněný. Spolu s chybový stav server rovněž odešle seznam ověřovací protokoly, které server podporuje. Hlavičky odpovědí, vrátí služba IIS v tomto scénáři vypadat takto:

Kód stavu HTTP: Odpověď HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávněný přístup
Důvod: neověřené
ContentLength: 1656
ContentType: text/html
Server: Microsoft-služby IIS a 6.0
WWWAuthenticate: Negotiate
WWWAuthenticate: NTLM

Po IIS tuto odpověď, odešle server IIS zapíše následující související položku do služby IIS protokolu:

W3SVC <date><time><id><serverip>GET / - 80 - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254

Poznámka: Stav win32 "2148074254" (také definována jako-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) znamená "bez pověření jsou k dispozici v balíčku zabezpečení." Jinými slovy klient nebyl odeslán žádná pověření.

Po poté, co klient obdrží 401.2 odpověď od serveru služby IIS, klient chápe, že je služba IIS konfigurována na používání integrovaného ověřování systému Windows namísto anonymní ověřování. Klient proto nutné zadat příslušné ověřovací informace ve své žádosti.

Klient potom vytvoří požadavek podobná následující:

HTTP: Požadavku GET /
Příkaz: GET
IDENTIFIKÁTOR URI: A
ProtocolVersion: HTTP/1.1
Přijmout: obraz/gif, obraz, x-xbitmap, obrázek/jpeg, obrázek/pjpeg, * nebo *
Přijmout Language: en-us
Přijmout Encoding: gzip, Uprostřed zúžené
UserAgent: Mozilla/4.0 (kompatibilní; MSIE 6.0; Windows NT 5.1)
Hostitel: www.kerberos.com
Připojení: Zachování
Povolení: Negotiate
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Poznámka: V tomto článku Kerberos ticket v ověření: Negotiate záhlaví byla zkrácena.

IIS server obdrží požadavek. IIS server vidí, že klient zahrnula ověřovací informace přidáním ověření: Negotiate hlavičky a hodnota. Klient odeslal informace platné pověření, ověření je úspěšné. Potom odešle služba IIS následující odpověď:

Kód stavu HTTP: Odpověď HTTP/1.1 = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 OK
Důvod: OK
Datum: xxx, <date><time>GMT
Server: Microsoft-služby IIS a 6.0
ContentLength: 19
ContentType: text/html
Negotiate WWWAuthenticate: =

Poznámka: Jak probíhá ověřování pomocí protokolu Kerberos podrobné kroky zde není zahrnuta. Další informace o tom, jak probíhá ověřování pomocí protokolu Kerberos naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/cc758557.aspx
IIS poté zapíše do protokolu služby IIS následující položku:

W3SVC <date><time>/time.asp <id><serverip>GET - 80 doména\uživatelské <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

Scénář 2 - protokol Negotiate

Scénář, ve kterém je služba IIS konfigurována na podporují pouze protokol Negotiate namísto protokol Negotiate i protokol NTLM průtok požadavku a odpovědi je stejný. Protokolování do protokolu služby IIS je také stejný. Rozdíl je v původní odpovědi, které provádí služba IIS anonymní požadavek z prohlížeče. V takovém případě odešle služba IIS pouze záhlaví Negotiate:

HTTP: Odpověď, HTTP/1.1,
Stavový kód = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávněný přístup
Důvod: neověřené
ContentLength: 1656
ContentType: text/html
Server: Microsoft-služby IIS a 6.0
WWWAuthenticate: Negotiate

Ověřování NLTM

Následuje příklad typu založené na scénář, ve kterém je služba IIS konfigurována na podporují pouze protokol NTLM. Ve službě IIS 6.0 a ve starších verzích to se provádí s klíči metabáze NTAuthenticationProviders nastaven na "NTLM". Ve službě IIS 7.0 a novějších verzích pouze protokol NTLM musí být uvedeno jako zprostředkovatele v sekci <windowsauthentication>.

Aplikace Internet Explorer znovu, neobsahuje žádné informace o ověřování v první žádosti o na nové připojení:

HTTP: Požadavku GET /
Příkaz: GET ProtocolVersion: HTTP/1.1
Přijmout: obraz/gif, obraz, x-xbitmap, obrázek/jpeg, obrázek/pjpeg, * nebo *
Přijmout Language: en-us
Přijmout Encoding: gzip, Uprostřed zúžené
UserAgent: Mozilla/4.0 (kompatibilní; MSIE 6.0; Windows NT 5.1)
Hostitel: www.kerberos.com
Připojení: Zachování

Pokud server služby IIS není nakonfigurován pro podporu anonymní ověřování, server vrátí 401.2 stav, který říká klienta, že je klient neoprávněný. Spolu s chybový stav server rovněž odešle seznam ověřovací protokoly, které server podporuje. Hlavičky odpovědí, vrátí služba IIS v tomto scénáři pouze NTLM vypadat takto:

Kód stavu HTTP: Odpověď HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávněný přístup
Důvod: neověřené
ContentLength: 1656
ContentType: text/html
Server: Microsoft-služby IIS a 6.0
WWWAuthenticate: NTLM

Služba IIS zapíše položku, která se podobá následující do protokolu služby IIS:

W3SVC <date><time><id><serverip>GET / - 80 - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254

Poté, co klient obdrží oznámení na serveru, zda server podporuje protokol NTLM, re-sends klienta požadavek. Klient zahrnuje informace o ověřování v hlavičku autorizace:

HTTP: Požadavku GET /
Příkaz: GET
IDENTIFIKÁTOR URI: A
ProtocolVersion: HTTP/1.1
Přijmout: obraz/gif, obraz, x-xbitmap, obrázek/jpeg, obrázek/pjpeg, * nebo *
Přijmout Language: en-us
Přijmout Encoding: gzip, Uprostřed zúžené
UserAgent: Mozilla/4.0 (kompatibilní; MSIE 6.0; Windows NT 5.1)
Hostitel: www.kerberos.com
Připojení: Zachování
Povolení: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Jako součást metody handshake NTLM server uznává, že klient odeslal ověřovací informace. Však potřebuje server klientovi odesílat další informace. Proto server vrátí jiného 401 odpověď podobná následující:

Kód stavu HTTP: Odpověď HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávněný přístup
Důvod: neověřené
ContentLength: 1539
ContentType: text/html
Server: Microsoft-služby IIS a 6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

Služba IIS zapíše položku do protokolu služby IIS, která se podobá následující:

W3SVC <date><time><id><serverip>GET / <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 - 80 - 1, 0

Stav 401.1, odešle služba IIS informuje klienta, klient musí poskytnout zbytek platný ověřovací informace. Klient obdrží tuto výzvu. Klient poté odešle jeden další požadavek, podobná následující:

HTTP: Požadavku GET /
Příkaz: GET
IDENTIFIKÁTOR URI: A
ProtocolVersion: HTTP/1.1
Přijmout: obraz/gif, obraz, x-xbitmap, obrázek/jpeg, obrázek/pjpeg, * nebo *
Přijmout Language: en-us
Přijmout Encoding: gzip, Uprostřed zúžené
UserAgent: Mozilla/4.0 (kompatibilní; MSIE 6.0; Windows NT 5.1)
Hostitel: www.kerberos.com
Připojení: Zachování
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Pokud IIS server obdrží tuto žádost, server služby IIS komunikuje s dokončete požadavek na ověření řadiči domény. Pokud požadavek na ověření klienta je potvrzena, služba IIS odešle odpověď podobná následující:

Kód stavu HTTP: Odpověď HTTP/1.1 = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 OK
Důvod: OK
Server: Microsoft-služby IIS a 6.0
X-zařízením podle: technologie ASP.NET
ContentLength: 19
ContentType: text/html
Řízení mezipaměti: soukromé

Poznámka: Jak probíhá ověřování NTLM podrobné kroky zde není zahrnuta. Další informace o tom, jak probíhá ověřování NTLM naleznete na následujícím webu společnosti Microsoft:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Po této odpovědi, odešle služba IIS, služba IIS zapíše do protokolu služby IIS následující související položku:

W3SVC <date><time>/time.asp <id><serverip>GET - 80 doména\uživatel <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

Odkazy

Další informace o způsobu IIS ověřuje klienty prohlížeče, získáte následujícím článku báze Microsoft Knowledge Base:
264921Jak služba IIS ověří prohlížeče klientů
Další informace o potíží související s protokolem Kerberos ve službě IIS získáte v článku znalostní báze Microsoft Knowledge Base:
326985Řešení problémů souvisejících s protokolem Kerberos ve službě IIS
Další informace o změně vlastnosti AuthPersistence metabáze k řízení ověřování získáte v článku znalostní báze Microsoft Knowledge Base:
318863Jak změnit vlastnost metabáze AuthPersistence k řízení ověřování
Další informace o zpomalení problém, ke kterému dochází při použití integrovaného ověřování systému Windows služba IIS 6.0 naleznete následující článku znalostní báze Microsoft Knowledge Base:
917557Oprava: Můžete zaznamenat snížení výkonu při použití integrovaného ověřování systému Windows spolu s ověřovacího protokolu Kerberos v služby IIS 6.0
Další informace o Microsoft NTLM naleznete na webu společnosti Microsoft:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Další informace o protokolu Kerberos společnosti Microsoft na následujícím webu společnosti Microsoft:
http://msdn.microsoft.com/en-us/library/aa378747(VS.85).aspx
Další informace o službě IIS integrované ověřování systému Windows navštivte následující web společnosti Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Informace o vlastnosti metabáze NTAuthenticationProviders ve službě IIS 6.0 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
Další informace o konfigurační vlastnosti <windowsauthentication>ve službě IIS 7.0 naleznete na následujícím webu:
http://www.iis.net/ConfigReference/system.webServer/security/authentication/windowsAuthentication

Vlastnosti

ID článku: 969060 - Poslední aktualizace: 2. dubna 2009 - Revize: 1.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Klíčová slova: 
kbmt kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew KB969060 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:969060

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com