IIS log untuk otentikasi Terpadu Windows

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 969060 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

PENGENALAN

Artikel ini membahas permintaan dan respon komunikasi antara sebuah klien HTTP dan server Internet Information Services (IIS) ketika Otentikasi Windows Terpadu dikonfigurasi. Artikel ini juga menggambarkan cara IIS log proses otentikasi ini dalam log IIS.

INFORMASI LEBIH LANJUT

Otentikasi Windows Terpadu menggunakan v5 otentikasi Kerberos dan otentikasi NTLM. Kerberos adalah protokol standar industri otentikasi yang digunakan untuk memverifikasi identitas pengguna atau host identitas. Jika Active Directory diinstal pada pengendali domain yang menjalankan Windows 2000 Server, Windows Server 2003, atau Windows Server 2008, dan browser Web klien mendukung protokol otentikasi Kerberos v5, klien dan IIS server menggunakan otentikasi Kerberos v5. Jika tidak, klien dan IIS server menggunakan otentikasi NTLM.

Catatan Untuk informasi rinci tentang otentikasi Terpadu Windows, kunjungi Website Microsoft berikut:
http://technet2.Microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=True
Cara bahwa IIS log NTLM dan otentikasi Kerberos di IIS berkas log berbeda, tergantung pada apa protokol yang digunakan.

Jika IIS server dan klien HTTP yang membuat Web meminta keduanya mendukung protokol Kerberos, dan IIS dikonfigurasi untuk menggunakan Kerberos, entri log yang menyerupai berikut ini muncul di log IIS untuk klien permintaan dan server respon:

# Software: Microsoft Internet Information Services 6.0
# Versi: 1.0 # Tanggal: 2009-01-01 02: 48: 20
# Bidang: tanggal waktu s sitename s-ip cs-cs-uri-batang cs uri permintaan s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status metode
2009-01-01 02: 48: 20 W3SVC1 <serverIP>mendapatkan / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>mendapatkan / - 80 domain ama <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

Jika IIS server atau klien HTTP tidak mendukung protokol Kerberos, atau jika IIS server dikonfigurasi untuk menggunakan hanya NTLM, tipe entri log berikut muncul di log IIS untuk klien permintaan dan server respon:

# Software: Microsoft Internet Information Services 6.0
# Versi: 1.0
# Tanggal: 2009-01-05 02: 29: 47
# Bidang: tanggal waktu s sitename s-ip cs-cs-uri-batang cs uri permintaan s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status metode
2009-01-01 02: 29: 47 W3SVC1 <serverIP>mendapatkan / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 <serverIP>mendapatkan / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>mendapatkan / - 80 domain ama <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Otentikasi Terpadu Windows

IIS dapat dikonfigurasi untuk mendukung protokol negosiasi, protokol NTLM, atau keduanya. Dalam IIS 6.0 dan versi sebelumnya, hal ini dilakukan dengan mengkonfigurasi tombol tekan NTAuthenticationProviders metabase. Dalam IIS 7.0, hal ini dilakukan dengan pengaturan yang sesuai <Provider></Provider> elemen di bawah <windowsAuthentication></windowsAuthentication> elemen dalam berkas ApplicationHost.config atau dalam berkas Web.config.

Untuk lebih informationabout cara untuk mengkonfigurasi Windows terintegrasi otentikasi IIS 6.0 dan versi sebelumnya, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
215383Cara mengkonfigurasi IIS untuk mendukung protokol Kerberos dan protokol NTLM untuk jaringan otentikasi
Untuk informasi lebih lanjut tentang bagaimana mengkonfigurasi Windows terpadu otentikasi di dalam IIS 7.0, kunjungi Web site Microsoft berikut:
http://technet.Microsoft.com/en-us/library/cc754628.aspx

otentikasi Kerberos

Berikut adalah dua contoh berbasis skenario. Dalam skenario pertama, IIS dikonfigurasi untuk mendukung protokol negosiasi dan protokol NTLM. Dalam skenario yang kedua, hanya negosiasi protokol yang didukung.

Skenario 1-negosiasi protokol dan NTLM protokol

Dalam contoh ini, IIS dikonfigurasi untuk mendukung protokol negosiasi dan protokol NTLM. Dalam IIS 6.0 dan versi sebelumnya, hal ini dilakukan dengan menetapkan tombol tekan NTAuthenticationProviders metabase untuk "Negosiasi, NTLM". Dalam IIS 7,0 dan versi yang lebih baru, negosiasi protokol dan protokol NTLM harus terdaftar sebagai penyedia di bagian <windowsAuthentication>.

Catatan Dalam contoh berikut, header permintaan dan respon header menangkap dengan menggunakan alat Monitor Jaringan Microsoft 3.2. Untuk men-download versi terbaru dari alat Monitor Jaringan, kunjungi Website berikut ini:</windowsAuthentication>
http://www.Microsoft.com/en-US/download/details.aspx?DisplayLang=en&id=4865
Ketika Microsoft Internet Explorer membuat permintaan, Internet Explorer selalu mempertimbangkan permintaan pertama sambungan baru menjadi anonim. Oleh karena itu, Internet Explorer tidak mengirimkan apapun kredensial sebagai bagian dari permintaan. Berikut adalah contoh header permintaan yang Internet Explorer mengirimkan dalam permintaan pertama untuk sumber daya:

HTTP: Permintaan, mendapatkan /
Perintah: mendapatkan
ProtocolVersion: HTTP/1.1
Menerima: gambar/gif, gambar/x-xbitmaps, gambar/jpeg, gambar/pjpeg, * / *
Menerima-Language: en-kami
Menerima-Encoding: gzip, mengempis
UserAgent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.1)
Tuan rumah: www.kerberos.com
Sambungan: Tetap-menyala

Jika IIS server tidak dikonfigurasi untuk mendukung otentikasi anonim, IIS server gulung balik status 401.2 yang memberitahu klien bahwa klien tidak sah. Bersama-sama dengan status galat, server juga mengirimkan daftar protokol otentikasi yang server mendukung. Respon header yang IIS kembali dalam skenario ini menyerupai yang berikut ini:

HTTP: Kode Status respon, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, tidak sah
Alasan: tidak sah
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: bernegosiasi
WWWAuthenticate: NTLM

Setelah IIS server mengirimkan respons ini, IIS menulis entri terkait berikut IIS log:

<Date> <Time>W3SVC<ID> <serverIP> mendapatkan / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Catatan Status win32 "2148074254" (juga didefinisikan sebagai-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) berarti "tidak ada mandat tersedia dalam paket keamanan." Dengan kata lain, klien tidak dikirim kredensial apapun.

Setelah klien menerima 401.2 respon dari IIS server, klien memahami bahwa IIS dikonfigurasi untuk menggunakan otentikasi Windows Integrated daripada otentikasi anonim. Oleh karena itu, klien harus memberikan otentikasi sesuai informasi dalam permintaan.

Klien kemudian membuat permintaan yang menyerupai berikut ini:

HTTP: Permintaan, mendapatkan /
Perintah: mendapatkan
URI: /
ProtocolVersion: HTTP/1.1
Menerima: gambar/gif, gambar/x-xbitmaps, gambar/jpeg, gambar/pjpeg, * / *
Menerima-Language: en-kami
Menerima-Encoding: gzip, mengempis
UserAgent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.1)
Tuan rumah: www.kerberos.com
Sambungan: Tetap-menyala
Otorisasi: bernegosiasi
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Catatan Pada artikel ini, Kerberos tiket di otorisasi: bernegosiasi header telah dipotong.

IIS server menerima permintaan. IIS server melihat bahwa klien telah termasuk informasi otentikasi dengan menambahkan otorisasi: bernegosiasi header dan nilai. Jika klien telah mengirimkan informasi credential yang valid, otentikasi sukses. IIS kemudian mengirimkan respon berikut:

HTTP: Kode Status respon, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, Ok
Alasan: OK
Tanggal: xxx, <Date> <Time>GMT
Server: Microsoft-IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Bernegosiasi =</Time> </Date>

Catatan Langkah-langkah rinci bagaimana otentikasi Kerberos mengambil tempat ini tidak disertakan di sini. Untuk informasi lebih lanjut tentang bagaimana otentikasi Kerberos bekerja, kunjungi Web site Microsoft berikut:
http://technet.Microsoft.com/en-us/library/cc758557.aspx
IIS kemudian menulis entri berikut ke IIS log:

<Date> <Time>W3SVC<ID> <serverIP> mendapatkan /time.asp - 80 domain ama <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Skenario 2 - negosiasi protokol

Dalam skenario di mana IIS dikonfigurasi untuk mendukung hanya negosiasi protokol negosiasi protokol dan protokol NTLM, permintaan dan tanggapan aliran adalah sama. Logging di IIS log adalah juga sama. Perbedaannya adalah di respons awal yang IIS membuat permintaan anonim dari browser. Dalam kasus ini, IIS mengirim hanya negosiasi header:

HTTP: Respon, HTTP/1.1,
Kode status = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, tidak sah
Alasan: tidak sah
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: bernegosiasi

NLTM otentikasi

Berikut adalah contoh berbasis skenario di mana IIS dikonfigurasi untuk mendukung hanya NTLM protokol. Dalam IIS 6.0 dan versi sebelumnya, hal ini dilakukan dengan memiliki tombol tekan NTAuthenticationProviders metabase diatur ke "NTLM". Dalam IIS 7,0 dan versi yang lebih baru, hanya protokol NTLM harus terdaftar sebagai penyedia di bagian <windowsAuthentication>.

Sekali lagi, Internet Explorer tidak termasuk informasi otentikasi pada permintaan pertama pada sambungan baru:</windowsAuthentication>

HTTP: Permintaan, mendapatkan /
Perintah: mendapatkan ProtocolVersion: HTTP/1.1
Menerima: gambar/gif, gambar/x-xbitmaps, gambar/jpeg, gambar/pjpeg, * / *
Menerima-Language: en-kami
Menerima-Encoding: gzip, mengempis
UserAgent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.1)
Tuan rumah: www.kerberos.com
Sambungan: Tetap-menyala

Jika IIS server tidak dikonfigurasi untuk mendukung anonim otentikasi, server kembali status 401.2 yang memberitahu klien bahwa klien tidak sah. Bersama-sama dengan status galat, server juga mengirimkan daftar protokol otentikasi yang server mendukung. Respon header yang IIS kembali dalam skenario ini hanya NTLM menyerupai yang berikut ini:

HTTP: Kode Status respon, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, tidak sah
Alasan: tidak sah
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: NTLM

IIS kemudian menulis sebuah entri yang menyerupai berikut IIS log:

<Date> <Time>W3SVC<ID> <serverIP> mendapatkan / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Ketika klien menerima pemberitahuan server server mendukung protokol NTLM, klien re-sends permintaan. Klien termasuk otentikasi informasi di header otorisasi:

HTTP: Permintaan, mendapatkan /
Perintah: mendapatkan
URI: /
ProtocolVersion: HTTP/1.1
Menerima: gambar/gif, gambar/x-xbitmaps, gambar/jpeg, gambar/pjpeg, * / *
Menerima-Language: en-kami
Menerima-Encoding: gzip, mengempis
UserAgent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.1)
Tuan rumah: www.kerberos.com
Sambungan: Tetap-menyala
Otorisasi: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Sebagai bagian dari NTLM jabat tangan, server mengakui bahwa klien telah mengirimkan informasi otentikasi. Namun, server kebutuhan klien untuk mengirim informasi lebih lanjut. Oleh karena itu, server kembali lain 401 respon yang menyerupai berikut ini:

HTTP: Kode Status respon, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, tidak sah
Alasan: tidak sah
ContentLength: 1539
ContentType: text/html
Server: Microsoft-IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS kemudian menulis sebuah entri dalam log IIS yang menyerupai berikut ini:

<Date> <Time>W3SVC<ID> <serverIP> mendapatkan / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

Status 401.1 yang IIS mengirim memberitahu klien bahwa klien harus memberikan sisa informasi otentikasi berlaku. Klien menerima tantangan ini. Klien kemudian mengirimkan satu lagi permintaan yang menyerupai berikut ini:

HTTP: Permintaan, mendapatkan /
Perintah: mendapatkan
URI: /
ProtocolVersion: HTTP/1.1
Menerima: gambar/gif, gambar/x-xbitmaps, gambar/jpeg, gambar/pjpeg, * / *
Menerima-Language: en-kami
Menerima-Encoding: gzip, mengempis
UserAgent: Mozilla/4.0 (kompatibel; MSIE 6.0; Windows NT 5.1)
Tuan rumah: www.kerberos.com
Sambungan: Tetap-menyala
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Ketika IIS server menerima permintaan ini, IIS server yang berkomunikasi dengan pengontrol domain untuk menyelesaikan permintaan otentikasi. Ketika permintaan otentikasi klien dikonfirmasi, IIS mengirim respons yang menyerupai berikut ini:

HTTP: Kode Status respon, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, Ok
Alasan: OK
Server: Microsoft-IIS/6.0
X-didukung-oleh: ASP.NET
ContentLength: 19
ContentType: text/html
Cache-control: private

Catatan Langkah-langkah rinci bagaimana otentikasi NTLM mengambil tempat ini tidak disertakan di sini. Untuk informasi lebih lanjut tentang bagaimana otentikasi NTLM bekerja, kunjungi Web site Microsoft berikut:
http://MSDN.Microsoft.com/en-us/library/bb643328.aspx
Setelah IIS mengirim respons ini, IIS menulis entri terkait berikut IIS log:

<Date> <Time>W3SVC<ID> <serverIP> mendapatkan /time.asp - 80 domain ama <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

REFERENSI

Untuk lebih informationabout bagaimana IIS mengotentikasi browser klien, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
264921Bagaimana IIS mengotentikasi browser klien
Untuk lebih informationabout cara untuk memecahkan masalah yang berkaitan dengan Kerberos di IIS, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
326985Cara memecahkan masalah yang berkaitan dengan Kerberos di IIS
Untuk lebih informationabout cara mengubah properti AuthPersistence Metabase untuk kontrol otentikasi, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
318863Cara mengubah properti AuthPersistence Metabase untuk kontrol otentikasi
Untuk lebih informationabout masalah kinerja lambat yang terjadi ketika Anda menggunakan Windows terpadu otentikasi IIS 6.0, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
917557FIX: Anda mungkin mengalami kinerja lambat saat Anda menggunakan Otentikasi Integrated Windows bersama-sama dengan protokol otentikasi Kerberos dalam IIS 6.0
Untuk informasi lebih lanjut tentang Microsoft NTLM, kunjungi Web site Microsoft berikut:
http://MSDN.Microsoft.com/en-us/library/bb643328.aspx
Untuk informasi lebih lanjut tentang Microsoft Kerberos, kunjungi Web site Microsoft berikut:
.aspx http://MSDN.Microsoft.com/en-us/library/aa378747 (VS.85)
Untuk informasi lebih lanjut tentang IIS Otentikasi Windows Terpadu, kunjungi Web site Microsoft berikut:
http://technet2.Microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=True
Untuk informasi lebih lanjut tentang properti NTAuthenticationProviders metabase IIS 6.0, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/technet/prodtechnol/windowsserver2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=True
Untuk informasi lebih lanjut tentang <windowsAuthentication>konfigurasi properti di IIS 7.0, kunjungi Web site:</windowsAuthentication>
http://www.IIS.net/ConfigReference/System.webServer/Security/Authentication/windowsAuthentication

Properti

ID Artikel: 969060 - Kajian Terakhir: 06 Juli 2012 - Revisi: 1.0
Berlaku bagi:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Kata kunci: 
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini: 969060

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com