Registrazione di IIS per l'autenticazione integrata di Windows

Traduzione articoli Traduzione articoli
Identificativo articolo: 969060 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

Quando Ŕ configurata l'autenticazione integrata di Windows, in questo articolo viene descritto la comunicazione di richiesta e risposta tra un client HTTP e un server Internet Information Services (IIS). In questo articolo viene inoltre illustrato il modo che registri il processo di autenticazione nei registri di IIS in IIS.

Informazioni

Autenticazione integrata di Windows utilizza l'autenticazione Kerberos v5 e l'autenticazione NTLM. Kerberos Ŕ un protocollo di autenticazione standard che viene utilizzato per verificare l'identitÓ dell'utente o host. Se Ŕ installato Active Directory su un controller di dominio che esegue Windows 2000 Server, Windows Server 2003 o Windows Server 2008 e il browser client supporta il protocollo di autenticazione Kerberos v5, il client e il server IIS utilizzano l'autenticazione Kerberos v5. In caso contrario, il client e il server IIS utilizzano l'autenticazione NTLM.

Nota Per informazioni dettagliate sull'autenticazione integrata di Windows, visitare il seguente sito Web Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Il modo in cui i registri IIS NTLM e l'autenticazione Kerberos in IIS i file registro Ŕ diverso a seconda di quale protocollo viene utilizzato.

Se il server IIS e il client HTTP che rende il Web richiedono entrambi supportano il protocollo Kerberos e IIS Ŕ configurato per utilizzare Kerberos, simili alle seguenti voci del registro vengono visualizzati nel Registro di IIS per la risposta richiesta e il server di client:

# Software: Microsoft Internet Information Services 6.0
# Versione: 1.0 # Date: 2009-01-01 02: 48: 20
# Campi: Data ora s-sitename ip s metodo cs cs-uri-stem cs-uri-query porta s cs-username c-ip cs(User-Agent) sc-status stato secondario di sc sc-win32-status
01-01-2009 02: 48: 20 W3SVC1 <serverIP>GET / <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 2148074254 2 401 - 80 -
01-01-2009 02: 48: 21 W3SVC1 <serverIP>ottenere / - 80 dominio\utente <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP></clientIP></serverIP>

Se il server IIS o il client HTTP non supporta il protocollo Kerberos o se il server IIS Ŕ configurato per utilizzare solo NTLM, vengono visualizzati i seguenti tipi di voci di registro nel Registro di IIS per la risposta richiesta e il server di client:

# Software: Microsoft Internet Information Services 6.0
# Versione: 1.0
# Date: 2009-01-05 02: 29: 47
# Campi: Data ora s-sitename ip s metodo cs cs-uri-stem cs-uri-query porta s cs-username c-ip cs(User-Agent) sc-status stato secondario di sc sc-win32-status
01-01-2009 02: 29: 47 W3SVC1 <serverIP>GET / <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 2148074254 2 401 - 80 -
01-01-2009 02: 29: 47 W3SVC1 <serverIP>GET / <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 - 80 - 1 0
01-01-2009 02: 29: 47 W3SVC1 <serverIP>ottenere / - 80 dominio\utente <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Autenticazione integrata di Windows

IIS pu˛ essere configurato per supportare il protocollo Negotiate, il protocollo NTLM o entrambi. In IIS 6.0 e nelle versioni precedenti, questa operazione viene eseguita configurando la chiave della metabase NTAuthenticationProviders. In IIS 7.0, questa operazione viene eseguita impostando appropriato <Provider></Provider> elemento sotto il <windowsAuthentication></windowsAuthentication> elemento nel file applicationHost. config o nel file Web. config.

Per ulteriori informazioni su come configurare Windows integrata l'autenticazione in IIS 6.0 e nelle versioni precedenti, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
215383Come configurare IIS per supportare il protocollo Kerberos e il protocollo NTLM per l'autenticazione di rete
Per ulteriori informazioni su come configurare l'autenticazione integrata di Windows in IIS 7.0, visitare il seguente sito Web Microsoft:
http://technet.microsoft.com/en-us/library/cc754628.aspx

Autenticazione Kerberos

Di seguito sono due esempi di scenario. Nel primo scenario, IIS Ŕ configurato per supportare il protocollo Negotiate e il protocollo NTLM. Nel secondo scenario, Ŕ supportato solo il protocollo di negoziazione.

Scenario 1: protocollo Negotiate e il protocollo NTLM

In questo esempio, IIS Ŕ configurato per supportare il protocollo Negotiate e il protocollo NTLM. In IIS 6.0 e nelle versioni precedenti, questa operazione viene eseguita impostando la chiave della metabase NTAuthenticationProviders "Negotiate, NTLM". In IIS 7.0 e versioni successive, il protocollo Negotiate e il protocollo NTLM deve essere elencati come provider nella sezione <windowsAuthentication>.

Nota Negli esempi che seguono l'intestazione della richiesta e l'intestazione di risposta vengono acquisiti utilizzando lo strumento Microsoft Network Monitor 3.2. Per scaricare la versione pi¨ recente dello strumento Monitor di rete, visitare il seguente sito Web:</windowsAuthentication>
http://www.microsoft.com/en-us/Download/Details.aspx?displaylang=en&ID=4865
Quando si richiede Microsoft Internet Explorer, Internet Explorer considera sempre la prima richiesta di una nuova connessione anonima. Di conseguenza, Internet Explorer non invia credenziali come parte della richiesta. Di seguito Ŕ riportato un esempio delle intestazioni di richiesta che invia la prima richiesta per una risorsa Internet Explorer:

HTTP: Richiesta, GET /
Comando: ottenere
ProtocolVersion: HTTP/1.1
Accettare: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, * / *
Accept-Language: en-us
Accettare-Encoding: gzip, deflate
Agente utente: Mozilla/4.0 (compatibile; MSIE 6.0; 5.1 Windows NT)
Host: www.kerberos.com
Connection: Keep-Alive

Se il server IIS non Ŕ configurato per supportare l'autenticazione anonima, il server IIS restituisce uno stato 401.2 che indica al client che il client non autorizzato. Con lo stato di errore, il server invia anche un elenco dei protocolli di autenticazione supportate dal server. Intestazioni di risposta restituito in questo scenario simile al seguente:

HTTP: Codice di stato risposta, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401 non autorizzato
Motivo: non autorizzato
ContentLength: 1656
ContentType: testo/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: negoziazione
WWWAuthenticate: NTLM

Dopo avere IIS server invia la risposta, IIS scrive la seguente voce associata nel Registro di IIS:

<Date> <Time>W3SVC<ID> <serverIP> ottenere / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Nota Lo stato win32 di "2148074254" (definita anche come-2146893042 / 0x8009030E / autenticazione talvolta non viene) significa "credenziali non sono disponibili nel pacchetto di protezione". In altre parole, il client non ha inviato le credenziali.

Dopo che il client riceve la risposta 401.2 dal server IIS, il client Ŕ consapevole che IIS Ŕ configurato per utilizzare l'autenticazione integrata di Windows anzichÚ l'autenticazione anonima. Di conseguenza, il client deve fornire informazioni di autenticazione appropriate nella sua richiesta.

Il client effettua quindi una richiesta simile al seguente:

HTTP: Richiesta, GET /
Comando: ottenere
URI: /
ProtocolVersion: HTTP/1.1
Accettare: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, * / *
Accept-Language: en-us
Accettare-Encoding: gzip, deflate
Agente utente: Mozilla/4.0 (compatibile; MSIE 6.0; 5.1 Windows NT)
Host: www.kerberos.com
Connection: Keep-Alive
Autorizzazione: negoziazione
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Nota In questo articolo, ticket di Kerberos nell'autorizzazione: negoziazione intestazione Ŕ stato troncato.

Il server IIS riceve la richiesta. Il server IIS rileva che il client ha incluso le informazioni di autenticazione mediante l'aggiunta dell'autorizzazione: negoziazione di intestazione e il valore. Se il client ha inviato informazioni sulle credenziali valide, l'autenticazione ha esito positivo. IIS invia quindi la seguente risposta:

HTTP: Codice di stato risposta, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motivo: OK
Data: xxx, <Date> <Time>GMT
Server: Microsoft-IIS/6.0
ContentLength: 19
ContentType: testo/html
WWWAuthenticate: Negoziazione utilizzabile come oYGhMIGeoAMKAQChCwYJKoZIgvcSAQICooGJBIGGYIGDBgkqhkiG9xIBAgICAG90MHKgAwIBBaEDAgEPomYwZKADAgEXol0EWxX5VcXsWZwSk7Q6NI5uYf, pLeQ7InM61FPS, ZED4FxR6MK/MK4RjgKgty4u3g143PhRwYr40hI/RAUpvTBeCubY8dOZR0BHG8RgdX2588vAXGIcZIpyRyYHYAmaJ8 =</Time> </Date>

Nota Non Ŕ inclusa la procedura dettagliata di come viene eseguita l'autenticazione Kerberos. Per ulteriori informazioni su come funziona l'autenticazione Kerberos, visitare il seguente sito Web Microsoft:
http://technet.microsoft.com/en-us/library/cc758557.aspx
IIS scrive quindi la seguente voce nel registro IIS:

<Date> <Time>W3SVC<ID> <serverIP> /time.asp GET - 80 dominio\utente <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP> </ID></Time></Date>

Scenario 2: protocollo di negoziazione

Nello scenario in cui IIS Ŕ configurato per supportare solo il protocollo negozia il protocollo Negotiate e il protocollo NTLM, il flusso di richiesta e risposta Ŕ lo stesso. La registrazione nel Registro di IIS Ŕ lo stesso. La differenza consiste nella risposta iniziale che IIS effettua la richiesta anonima dal browser. In questo caso, IIS invia solo l'intestazione Negotiate:

HTTP: Risposta, HTTP/1.1,
Codice di stato = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401 non autorizzato
Motivo: non autorizzato
ContentLength: 1656
ContentType: testo/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: negoziazione

Autenticazione NLTM

Di seguito Ŕ riportato un esempio di scenario in cui IIS Ŕ configurato per supportare solo il protocollo NTLM. In IIS 6.0 e nelle versioni precedenti, questo avviene quando la chiave della metabase NTAuthenticationProviders impostata su "NTLM". In IIS 7.0 e versioni successive, solo il protocollo NTLM deve essere elencato come provider nella sezione <windowsAuthentication>.

Internet Explorer, non include informazioni di autenticazione nella prima richiesta su una nuova connessione:</windowsAuthentication>

HTTP: Richiesta, GET /
Comando: ottenere ProtocolVersion: HTTP/1.1
Accettare: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, * / *
Accept-Language: en-us
Accettare-Encoding: gzip, deflate
Agente utente: Mozilla/4.0 (compatibile; MSIE 6.0; 5.1 Windows NT)
Host: www.kerberos.com
Connection: Keep-Alive

Se il server IIS non Ŕ configurato per supportare l'autenticazione anonima, il server restituisce lo stato 401.2 che indica al client che il client non autorizzato. Con lo stato di errore, il server invia anche un elenco dei protocolli di autenticazione supportate dal server. Intestazioni di risposta restituito in questo scenario solo NTLM simile al seguente:

HTTP: Codice di stato risposta, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401 non autorizzato
Motivo: non autorizzato
ContentLength: 1656
ContentType: testo/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: NTLM

IIS scrive quindi una voce simile al seguente nel Registro di IIS:

<Date> <Time>W3SVC<ID> <serverIP> ottenere / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Quando il client riceve una notifica del server che il server supporta il protocollo NTLM, il client invia nuovamente la richiesta. Il client include le informazioni di autenticazione di un'intestazione di autorizzazione:

HTTP: Richiesta, GET /
Comando: ottenere
URI: /
ProtocolVersion: HTTP/1.1
Accettare: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, * / *
Accept-Language: en-us
Accettare-Encoding: gzip, deflate
Agente utente: Mozilla/4.0 (compatibile; MSIE 6.0; 5.1 Windows NT)
Host: www.kerberos.com
Connection: Keep-Alive
Autorizzazione: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Come parte dell'handshake NTLM, il server riconosce che il client ha inviato le informazioni di autenticazione. Il server deve, tuttavia, il client di inviare ulteriori informazioni. Di conseguenza, il server restituisce un'altra risposta 401 analogo al seguente:

HTTP: Codice di stato risposta, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401 non autorizzato
Motivo: non autorizzato
ContentLength: 1539
ContentType: testo/html
Server: Microsoft-IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS scrive quindi una voce nel Registro di IIS analogo al seguente:

<Date> <Time>W3SVC<ID> <serverIP> ottenere / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

Lo stato di 401.1 IIS invia comunica al client che il client deve fornire il resto delle informazioni di autenticazione valido. Il client riceve questa sfida. Il client invia una richiesta di pi¨ simile al seguente:

HTTP: Richiesta, GET /
Comando: ottenere
URI: /
ProtocolVersion: HTTP/1.1
Accettare: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, * / *
Accept-Language: en-us
Accettare-Encoding: gzip, deflate
Agente utente: Mozilla/4.0 (compatibile; MSIE 6.0; 5.1 Windows NT)
Host: www.kerberos.com
Connection: Keep-Alive
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Quando il server IIS riceve la richiesta, il server IIS comunica con un controller di dominio per completare la richiesta di autenticazione. Quando viene confermata la richiesta di autenticazione del client, IIS invia una risposta simile al seguente:

HTTP: Codice di stato risposta, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motivo: OK
Server: Microsoft-IIS/6.0
X-Powered By: ASP.NET
ContentLength: 19
ContentType: testo/html
Cache-control: private

Nota Non Ŕ inclusa la procedura dettagliata di come viene eseguita l'autenticazione NTLM. Per ulteriori informazioni su come funziona l'autenticazione NTLM, visitare il seguente sito Web Microsoft:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Dopo che IIS invia la risposta, IIS scrive la seguente voce associata nel Registro di IIS:

<Date> <Time>W3SVC<ID> <serverIP> /time.asp GET - 80 dominio\utente <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP> </ID></Time></Date>

Riferimenti

Per ulteriori informazioni su come IIS esegue l'autenticazione dei client browser, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
264921Come IIS esegue l'autenticazione dei client browser
Per ulteriori informazioni su come risolvere i problemi relativi a Kerberos in IIS, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
326985Risoluzione dei problemi relativi a Kerberos in IIS
Per ulteriori informazioni su come modificare la proprietÓ della Metabase di AuthPersistence per controllare l'autenticazione, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
318863Come modificare le proprietÓ della Metabase di AuthPersistence per controllare l'autenticazione
Per ulteriori informazioni su un problema di prestazioni lente quando si utilizza l'autenticazione integrata di Windows IIS 6.0, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
917557FIX: Possibile rallentamento delle prestazioni quando si utilizza l'autenticazione integrata di Windows con il protocollo di autenticazione Kerberos in IIS 6.0
Per ulteriori informazioni su Microsoft NTLM, visitare il seguente sito Web Microsoft:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Per ulteriori informazioni su Kerberos di Microsoft, visitare il seguente sito Web Microsoft:
aspx http://msdn.microsoft.com/en-us/library/aa378747 (informazioni)
Per ulteriori informazioni sull'autenticazione Windows integrata di IIS, visitare il seguente sito Web Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Per ulteriori informazioni sulle proprietÓ della metabase NTAuthenticationProviders in IIS 6.0, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
Per ulteriori informazioni sui <windowsAuthentication>proprietÓ di configurazione in IIS 7.0, visitare il seguente sito Web:</windowsAuthentication>
http://www.IIS.NET/ConfigReference/System.WebServer/Security/Authentication/WindowsAuthentication

ProprietÓ

Identificativo articolo: 969060 - Ultima modifica: venerdý 6 luglio 2012 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Chiavi:á
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 969060
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com