IIS のログを統合 Windows 認証

文書翻訳 文書翻訳
文書番号: 969060 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

Windows 統合認証が構成されている場合この資料では、HTTP クライアントと、インターネット インフォメーション サービス (IIS) サーバー間の要求と応答の通信について説明します。この資料では、IIS の認証プロセスは IIS ログにログ出力する方法も説明します。

詳細

統合 Windows 認証は、Kerberos v5 認証と NTLM 認証の両方を使用します。Kerberos ユーザー id またはホスト id を確認するために使用する業界標準の認証プロトコルです。Windows 2000 Server、Windows Server 2003、または Windows Server 2008 を実行しているドメイン コント ローラーで Active Directory がインストールされているし、クライアントの Web ブラウザーが、Kerberos v5 認証プロトコルをサポートしている場合は、クライアントと IIS サーバーは、Kerberos v5 認証を使用します。それ以外の場合は、クライアントと IIS サーバーは NTLM 認証を使用します。

統合 Windows 認証の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
IIS ログ NTLM および Kerberos 認証では、IIS ログ ファイルには、どのようなプロトコルが使用されているに応じてさまざまなです。

IIS サーバーおよび Web に、HTTP クライアントは Kerberos プロトコルの両方をサポートし、Kerberos を使用するように IIS が構成されているを要求すると、クライアント要求とサーバ応答を IIS ログに次のようなログ エントリが表示されます。

# ソフトウェア: Microsoft インターネット インフォメーション サービス 6.0
# バージョン: 1.0# 日付: 2009年-01-01 02時 48分: 20
# フィールド: 時間 s sitename s ip cs メソッド cs 列挙 cs uri クエリのポートの座標系名 c の ip cs(User-Agent) sc-status sc サブ sc-win32 ステータスの日付します。
2009-01-01 02時 48分: 20 W3SVC1 <serverIP>GET/- 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02時 48分: 21 W3SVC1<serverIP>取得/80 domain \user <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

IIS サーバーまたは HTTP クライアントは Kerberos プロトコルをサポートしていない場合、または IIS サーバーが NTLM のみを使用する構成されている場合は、クライアント要求とサーバ応答を IIS ログに次のようなログ エントリが表示されます。

# ソフトウェア: Microsoft インターネット インフォメーション サービス 6.0
# バージョン: 1.0
# 日付: 2009年-01-05 02時 29分: 47
# フィールド: 時間 s sitename s ip cs メソッド cs 列挙 cs uri クエリのポートの座標系名 c の ip cs(User-Agent) sc-status sc サブ sc-win32 ステータスの日付します。
2009-01-01 02時 29分: 47 W3SVC1 <serverIP>GET/- 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02時 29分: 47 W3SVC1 GET の<serverIP>/ <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 - 80 - 1 0
2009-01-01 02時 29分: 47 W3SVC1<serverIP>取得/80 domain \user <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

統合 Windows 認証

ネゴシエート プロトコル、NTLM プロトコル、またはその両方をサポートするように IIS を構成できます。IIS 6.0 とそれ以前のバージョンでは、この、NTAuthenticationProviders メタベース キーを構成することによって行われます。IIS 7.0 では、これが適切な設定することによって行われます<Provider></Provider>要素の下、 <windowsAuthentication></windowsAuthentication> 、ApplicationHost.config ファイルまたは web.config ファイル内の要素。

統合認証では IIS 6.0 とそれ以前のバージョンの Windows を構成する方法詳細については「サポート技術情報」資料を参照するには、次の資料番号をクリックしてください。
215383ネットワーク認証に Kerberos プロトコルと NTLM プロトコルの両方をサポートするように IIS を構成する方法
IIS 7.0 では統合 Windows 認証を構成する方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/en-us/library/cc754628.aspx

Kerberos 認証

2 つのシナリオ ベースの例を次に示します。最初のシナリオでは、IIS ネゴシエート プロトコルと NTLM プロトコルの両方をサポートするように構成されています。2 つ目のシナリオでは、ネゴシエート プロトコルのみをサポートです。

シナリオ 1-ネゴシエート プロトコルと NTLM プロトコル

この例では IIS ネゴシエート プロトコルと NTLM プロトコルの両方をサポートするために構成されています。IIS 6.0 とそれ以前のバージョンでは、この"NTLM、Negotiate"NTAuthenticationProviders メタベース キーを設定することによって行われます。IIS 7.0 および以降のバージョンでは、ネゴシエート プロトコルと NTLM プロトコルの両方として、<windowsAuthentication>セクションでプロバイダーに記載があります。

次の例では、でも、Microsoft ネットワーク モニター 3.2 ツールを使用して、要求ヘッダー、応答ヘッダーに取り込まれます。ネットワーク モニター ツールの最新バージョンをダウンロードするには、次の Web サイトを参照してください。</windowsAuthentication>
http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=4865
Microsoft Internet Explorer を要求すると、Internet Explorer は、常に匿名に最初の要求は、新しい接続のと見なされます。したがって、Internet Explorer が資格情報を要求の一部として送信されません。Internet Explorer がリソースに対する最初の要求で送信要求ヘッダーの例を次に示します。

HTTP: 要求の GET/
コマンド: 取得
ProtocolVersion: http
そのまま使用しますイメージ/gif、イメージ/x-xbitmap、jpeg 画像/画像/pjpeg、*/*。
使用言語: en-米国
受け入れる-エンコード: gzip を圧縮します。
ユーザー エージェント: Mozilla となります。MSIE 6.0。Windows NT 5.1)
ホスト: www.kerberos.com
Keep-alive 接続します。

IIS サーバーが匿名認証をサポートするように構成されていない場合は、IIS サーバーはクライアントが承認済みであることを通知する 401.2 状態を返します。エラーの状態と共に、サーバーは、サーバーがサポートする認証プロトコルの一覧も送信します。このシナリオで IIS を返す応答ヘッダーを次に示します。

HTTP: http 応答ステータス コード 401 =
ProtocolVersion: http
StatusCode: 不正な 401
理由: 承認されていません。
数値で: 1656年
コンテンツ タイプ: テキストと html
サーバー: 6.0 と Microsoft IIS
WWWAuthenticate: ネゴシエート
WWWAuthenticate: NTLM

後の IIS サーバーはこの応答を送信 IIS 関連の以下のエントリが IIS ログに書き込みます。

<Date> <Time>W3SVC<ID><serverIP>取得/- 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Win32 の状態の「2148074254」(も-2146893042 として定義されている/0x8009030E/ことがある)「の資格情報はありませんがセキュリティ パッケージで使用できる」ことを意味つまり、クライアントが資格情報を送信が。

IIS サーバーから 401.2 の応答を受け取った後は、IIS が匿名認証ではなく Windows 統合認証を使用するように構成されていることが理解しています。したがって、クライアントの要求に適切な認証情報があります。

クライアントは、次のような要求にします。

HTTP: 要求の GET/
コマンド: 取得
URI:/
ProtocolVersion: http
そのまま使用しますイメージ/gif、イメージ/x-xbitmap、jpeg 画像/画像/pjpeg、*/*。
使用言語: en-米国
受け入れる-エンコード: gzip を圧縮します。
ユーザー エージェント: Mozilla となります。MSIE 6.0。Windows NT 5.1)
ホスト: www.kerberos.com
Keep-alive 接続します。
承認: ネゴシエート
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

この記事では、Kerberos チケットの承認: ネゴシエート ヘッダーは省略されています。

IIS サーバーが要求を受信します。IIS サーバーが、承認を追加することによりクライアント認証情報含まれていることが表示されます: ヘッダーと値をネゴシエートします。クライアントが有効な資格情報を送信する場合、認証は成功です。IIS は、次の応答を送信します。

HTTP: http 応答ステータス コード 200 を =
ProtocolVersion: http
StatusCode: 200 Ok
理由: OK
日付: xxx は<Date> <Time>GMT
サーバー: 6.0 と Microsoft IIS
数値で: 19
コンテンツ タイプ: テキストと html
WWWAuthenticate: oYGhMIGeoAMKAQChCwYJKoZIgvcSAQICooGJBIGGYIGDBgkqhkiG9xIBAgICAG90MHKgAwIBBaEDAgEPomYwZKADAgEXol0EWxX5VcXsWZwSk7Q6NI5uYf/pLeQ7InM61FPS/ZED4FxR6MK/MK4RjgKgty4u3g143PhRwYr40hI を交渉/RAUpvTBeCubY8dOZR0BHG8RgdX2588vAXGIcZIpyRyYHYAmaJ8 =</Time></Date>

Kerberos 認証がどのように行われるの詳細な手順は含まれませんこのです。Kerberos 認証のしくみの詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet.microsoft.com/en-us/library/cc758557.aspx
IIS し、IIS ログに次のエントリを書き込みます。

<Date> <Time>W3SVC<ID><serverIP>取得/time.asp - 80 のドメイン \ ユーザー <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

シナリオ 2: プロトコルをネゴシエートします。

IIS ネゴシエート プロトコルと NTLM プロトコルの両方ではなくネゴシエート プロトコルのみをサポートするために構成されているシナリオでは、要求および応答フロー同じです。IIS ログにログに記録も同じです。IIS が匿名要求に、ブラウザーからは、最初の対応の違いです。この例では、IIS がネゴシエート ヘッダーのみを送信します。

HTTP: 応答、http
ステータス コード 401 =
ProtocolVersion: http
StatusCode: 不正な 401
理由: 承認されていません。
数値で: 1656年
コンテンツ タイプ: テキストと html
サーバー: 6.0 と Microsoft IIS
WWWAuthenticate: ネゴシエート

NLTM 認証

NTLM プロトコルのみをサポートするように構成されている IIS で、シナリオ ベースの例を次に示します。IIS 6.0 とそれ以前のバージョンでは、この、NTAuthenticationProviders メタベース キーを"NTLM"に設定することによって行われます。IIS 7.0 および以降のバージョンでは、NTLM プロトコルのみとして [ <windowsAuthentication>] セクションに含まれていなければなりません。

もう一度、Internet Explorer は、認証情報、最初の要求では、新しい接続に含まれません。</windowsAuthentication>

HTTP: 要求の GET/
コマンド: 取得ProtocolVersion: http
そのまま使用しますイメージ/gif、イメージ/x-xbitmap、jpeg 画像/画像/pjpeg、*/*。
使用言語: en-米国
受け入れる-エンコード: gzip を圧縮します。
ユーザー エージェント: Mozilla となります。MSIE 6.0。Windows NT 5.1)
ホスト: www.kerberos.com
Keep-alive 接続します。

IIS サーバーが匿名認証をサポートするように構成されていない場合、サーバーはクライアントが承認済みであることを通知する 401.2 状態を返します。エラーの状態と共に、サーバーは、サーバーがサポートする認証プロトコルの一覧も送信します。応答ヘッダーをこの NTLM のみのシナリオで IIS を返す次のような。

HTTP: http 応答ステータス コード 401 =
ProtocolVersion: http
StatusCode: 不正な 401
理由: 承認されていません。
数値で: 1656年
コンテンツ タイプ: テキストと html
サーバー: 6.0 と Microsoft IIS
WWWAuthenticate: NTLM

IIS し、IIS ログに次のようなエントリを書き込みます。

<Date> <Time>W3SVC<ID><serverIP>取得/- 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

クライアントは、NTLM プロトコルをサポートしているサーバーの通知を受信すると、クライアント要求を再送信します。クライアントには、認証ヘッダーに認証情報が含まれます。

HTTP: 要求の GET/
コマンド: 取得
URI:/
ProtocolVersion: http
そのまま使用しますイメージ/gif、イメージ/x-xbitmap、jpeg 画像/画像/pjpeg、*/*。
使用言語: en-米国
受け入れる-エンコード: gzip を圧縮します。
ユーザー エージェント: Mozilla となります。MSIE 6.0。Windows NT 5.1)
ホスト: www.kerberos.com
Keep-alive 接続します。
承認: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

NTLM ハンドシェイクの一部として、サーバー クライアントが認証情報を受け取ったことを確認します。ただし、サーバーに多くの情報を送信するクライアント必要があります。そのため、サーバーは次のような別の 401 応答を返します。

HTTP: http 応答ステータス コード 401 =
ProtocolVersion: http
StatusCode: 不正な 401
理由: 承認されていません。
数値で: 1539年
コンテンツ タイプ: テキストと html
サーバー: 6.0 と Microsoft IIS
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS し、次のような IIS ログにエントリを書き込みます。

<Date> <Time>W3SVC<ID><serverIP>取得/- 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

IIS を送信する 401.1 状態、クライアントはクライアントが有効な認証情報の残りの部分を提供する必要がありますを指示します。クライアントは、このチャレンジを受け取ります。クライアントは、次のような 1 つの多くの要求を送信します。

HTTP: 要求の GET/
コマンド: 取得
URI:/
ProtocolVersion: http
そのまま使用しますイメージ/gif、イメージ/x-xbitmap、jpeg 画像/画像/pjpeg、*/*。
使用言語: en-米国
受け入れる-エンコード: gzip を圧縮します。
ユーザー エージェント: Mozilla となります。MSIE 6.0。Windows NT 5.1)
ホスト: www.kerberos.com
Keep-alive 接続します。
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ/EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

IIS サーバーがこの要求を受け取ると、IIS サーバーは認証要求を完了するには、ドメイン コント ローラーと通信します。クライアントの認証要求を確認すると、IIS は次のような応答を送ります。

HTTP: http 応答ステータス コード 200 を =
ProtocolVersion: http
StatusCode: 200 Ok
理由: OK
サーバー: 6.0 と Microsoft IIS
X は: ASP.NET
数値で: 19
コンテンツ タイプ: テキストと html
キャッシュ コントロール: プライベート

NTLM 認証がどのように行われるの詳細な手順は含まれませんこのです。NTLM 認証のしくみの詳細については、次のマイクロソフト Web サイトを参照してください。
http://msdn.microsoft.com/en-us/library/bb643328.aspx
IIS がこの応答を送信すると、IIS は IIS ログに、次の関連エントリを書き込みます。

<Date> <Time>W3SVC<ID><serverIP>取得/time.asp - 80 のドメイン \ ユーザー <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

関連情報

詳細については IIS をどのようにブラウザー クライアント認証は、「サポート技術情報」資料を参照するには、次の資料番号をクリックします。
264921IIS がクライアントのブラウザーを認証する方法
詳細については IIS で Kerberos 関連の問題のトラブルシューティングを行う、「サポート技術情報」資料を参照するには、次の資料番号をクリックする方法。
326985IIS で Kerberos 関連の問題のトラブルシューティング方法
詳細についての AuthPersistence メタベース プロパティを変更、「サポート技術情報」資料を参照するには、次の資料番号をクリックする方法。
318863コントロールの認証の AuthPersistence メタベース プロパティを変更する方法
Iis の [統合 Windows 認証を使用する場合に発生、低速のパフォーマンスの問題の詳細については、「サポート技術情報」資料を参照するには、次の資料番号をクリックしてください。
917557FIX: IIS 6.0 では統合 Windows 認証と Kerberos 認証プロトコルを使用すると、パフォーマンスが低下する可能性があります。
Microsoft NTLM 認証の詳細については、次のマイクロソフト Web サイトを参照してください。
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Microsoft Kerberos の詳細については、次のマイクロソフト Web サイトを参照してください。
.aspx の http://msdn.microsoft.com/en-us/library/aa378747 (VS.85)
IIS の [統合 Windows 認証の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
IIS 6.0 でのメタベースの NTAuthenticationProviders プロパティの詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
詳細については、<windowsAuthentication>構成プロパティでは、IIS 7.0 は、次の Web サイトを参照してください</windowsAuthentication>。
http://www.iis.net/ConfigReference/system.webServer/security/authentication/windowsAuthentication

プロパティ

文書番号: 969060 - 最終更新日: 2012年7月6日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
キーワード:?
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:969060
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com