Windows 통합 인증 위한 IIS 로깅

기술 자료 번역 기술 자료 번역
기술 자료: 969060 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

소개

이 문서에서는 Windows 통합 인증을 구성할 때 HTTP 클라이언트 및 IIS (인터넷 정보 서비스) 서버 간에 요청 및 응답 통신을 설명합니다. 이 문서에서는 또한 IIS 인증 프로세스를 로그 IIS 로그 방법을 설명합니다.

추가 정보

Kerberos v5 인증 및 NTLM 인증은 Windows 통합 인증을 사용합니다. Kerberos는 사용자 ID 또는 호스트 ID를 확인하는 데 사용되는 산업 표준 인증 프로토콜입니다. Windows 2000 Server, Windows Server 2003 또는 Windows Server 2008을 실행하는 도메인 컨트롤러에서 Active Directory를 설치하고 클라이언트 웹 브라우저가 Kerberos v5 인증 프로토콜을 지원하는 클라이언트와 IIS 서버 Kerberos v5 인증을 사용합니다. 그렇지 않으면 클라이언트와 IIS 서버 NTLM 인증을 사용합니다.

참고 Windows 통합 인증에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
IIS 로그 NTLM 및 Kerberos 인증 IIS 에서 로그 파일을 방법은 어떤 프로토콜을 사용 중인 따라 다릅니다.

IIS 서버 및 웹 있습니다 HTTP 클라이언트 모두 Kerberos 프로토콜을 지원하는 및 Kerberos 사용하도록 IIS를 구성한 요청 클라이언트 요청과 서버 응답 IIS 로그에 다음과 유사한 로그 항목이 나타납니다.

# 소프트웨어: Microsoft 인터넷 정보 서비스 6.0
# 버전: 1.0 # 날짜: 2009-01-01 02:48:20
# 날짜 시간 s sitename s-IP cs 메서드는 cs uri 줄기의 cs URI 쿼리 s-포트 cs-사용자 c-ip cs(User-Agent) sc 상태 sc 하위 상태 sc-win32-상태 필드:
2009-01-01 02:48:20 W3SVC1 <serverip>GET/- 80 - 401 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) <clientip>2 2148074254
2009-01-01 02:48:21 W3SVC1 <serverip>GET/- 80 Domain\User <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

IIS 서버 또는 HTTP 클라이언트 Kerberos 프로토콜을 지원하지 않는 경우 또는 IIS 서버의 경우에만 NTLM 사용하도록 구성된 경우 클라이언트 요청과 서버 응답 IIS 로그에 다음과 같은 유형의 로그 항목이 나타납니다.

# 소프트웨어: Microsoft 인터넷 정보 서비스 6.0
# 버전: 1.0
2009-01-05 02:29:47 # 날짜:
# 날짜 시간 s sitename s-IP cs 메서드는 cs uri 줄기의 cs URI 쿼리 s-포트 cs-사용자 c-ip cs(User-Agent) sc 상태 sc 하위 상태 sc-win32-상태 필드:
2009-01-01 02:29:47 W3SVC1 <serverip>GET/- 80 - 401 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) <clientip>2 2148074254
2009-01-01 02:29:47 W3SVC1 <serverip>GET/- 80 - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02:29:47 W3SVC1 <serverip>GET/- 80 Domain\User <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0

Windows 통합 인증

협상 프로토콜 또는 NTLM 프로토콜을 지원하도록 IIS를 구성할 수 있습니다. IIS 6.0 및 이전 버전에서는 이 NTAuthenticationProviders 메타베이스 키를 구성하는 것으로 이루어집니다. IIS 7.0이 적절한 <provider>설정하여 수행할 수 있습니다., <windowsauthentication>에서 요소를 ApplicationHost.config 파일 또는 web.config 파일에 요소.

통합 인증이 IIS 6.0 및 이전 버전의 Windows를 구성하려면 방법에 대한 자세한 내용은 Microsoft 기술 자료 문서를 보려면 다음 문서 번호를 클릭하십시오.
215383네트워크 인증에 Kerberos 프로토콜 및 NTLM 프로토콜을 지원하도록 IIS를 구성하는 방법
IIS 7.0 Windows 통합 인증을 구성하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet.microsoft.com/en-us/library/cc754628.aspx

Kerberos 인증

두 시나리오 기반 예입니다. 첫 번째 시나리오에서는 IIS 협상 프로토콜 및 NTLM 프로토콜을 지원하도록 구성되어 있습니다. 두 번째 시나리오에서는 협상 프로토콜이 지원됩니다.

시나리오 1 ? 협상 프로토콜 및 NTLM 프로토콜

이 예제에서는 IIS 협상 프로토콜 및 NTLM 프로토콜을 지원하도록 구성되어 있습니다. IIS 6.0 및 이전 버전에서는 이 "협상, NTLM" NTAuthenticationProviders 메타베이스 키를 설정하여 수행됩니다. IIS 7.0 및 이후 버전에서는 협상 프로토콜 및 NTLM 프로토콜을 <windowsauthentication>섹션에서 공급자가 표시되어야 합니다.

참고 다음 예제는 Microsoft 네트워크 모니터 3.2 도구를 사용하여 요청 헤더 및 응답 헤더가 캡처됩니다. 네트워크 모니터 도구의 최신 버전을 다운로드하려면 다음 웹 사이트를 방문하십시오.
http://www.microsoft.com/downloads/details.aspx?FamilyID=f4db40af-1e08-4a21-a26b-ec2f4dc4190d&DisplayLang=en
Microsoft Internet Explorer에서 요청할 때 Internet Explorer가 항상 새 연결의 첫 번째 요청을 익명으로 간주합니다. 따라서 Internet Explorer 요청의 일부로 자격 증명을 보내지 않습니다. 리소스에 대한 첫 요청을 시작할 보내는 요청 헤더 예는 다음과 같습니다.

GET: HTTP 요청/
명령: GET
ProtocolVersion: HTTP/1.1
수락: 이미지/GIF, 이미지/x-xbitmap, 이미지/jpeg, 이미지/pjpeg */*
사용할 언어: en-us
수락 인코딩: gzip, 움츠리기
UserAgent: Mozilla/4.0 (호환되는; MSIE 6.0, Windows NT 5.1)
호스트: www.kerberos.com
연결: Keep-Alive

IIS 서버의 IIS 서버가 익명 인증을 지원하도록 구성되지 않은 경우 클라이언트는 클라이언트에서 무단 인식됩니다 401.2 상태를 반환하는 예제입니다. 오류 상태 함께 서버는 또한 서버에서 지원하는 인증 프로토콜 목록을 보냅니다. 이 시나리오에서 IIS에서 반환하는 응답 헤더를 다음과 유사합니다.

HTTP: 응답, HTTP/1.1 상태 코드 401 =
ProtocolVersion: HTTP/1.1
StatusCode: 401 권한이,
이유: 권한 없음
ContentLength: 1656
ContentType: text/html
서버: Microsoft IIS/6
WWWAuthenticate: 협상
WWWAuthenticate: NTLM

후 IIS 서버가 이 응답을 보냅니다 IIS 다음 관련된 항목이 IIS 로그 씁니다.

<date><time>W3SVC <id><serverip>GET/- 80 - 401 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) <clientip>2 2148074254

참고 "2148074254" Win32 상태 (또한-2146893042로 정의된/0x8009030E/SEC_E_NO_CREDENTIALS) "No 자격 증명을 보안 패키지에 사용할 수 있습니다." 의미합니다. 즉, 클라이언트 자격 증명을 보낸지 않습니다.

클라이언트가 IIS 서버에서 401.2 응답이 받은 후 클라이언트가 IIS 익명 인증 대신 Windows 통합 인증을 사용하도록 구성되어 있는지 이해합니다. 따라서 클라이언트가 해당 요청에 적절한 인증 정보를 제공해야 합니다.

다음 클라이언트에 다음과 유사한 요청을 수행합니다.

GET: HTTP 요청/
명령: GET
URI:/
ProtocolVersion: HTTP/1.1
수락: 이미지/GIF, 이미지/x-xbitmap, 이미지/jpeg, 이미지/pjpeg */*
사용할 언어: en-us
수락 인코딩: gzip, 움츠리기
UserAgent: Mozilla/4.0 (호환되는; MSIE 6.0, Windows NT 5.1)
호스트: www.kerberos.com
연결: Keep-Alive
권한 부여: 협상
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

참고 이 문서에서는 Kerberos에서 인증 티켓: 협상 헤더가 잘렸습니다.

IIS 서버가 요청을 받습니다. IIS 서버 볼 클라이언트는 해당 인증 추가하여 인증 정보가 포함되어 있습니다: 헤더 및 값을 협상. 인증 클라이언트가 유효한 자격 증명 정보를 보내면 성공합니다. 그런 다음 IIS 다음 응답을 보냅니다.

HTTP: 응답, HTTP/1.1 상태 코드 200 =
ProtocolVersion: HTTP/1.1
StatusCode: 200, 확인
이유: 확인
날짜: xxx, <date><time>GMT
서버: Microsoft IIS/6
ContentLength: 19
ContentType: text/html
WWWAuthenticate: 협상 =

참고 Kerberos 인증이 이루어지는 방법에 대한 자세한 단계를 여기에 포함되지 않습니다. Kerberos 인증 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet.microsoft.com/en-us/library/cc758557.aspx
다음 IIS IIS 로그 다음 엔트리를 씁니다.

<date><time>W3SVC <id>GET <serverip>/time.asp - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 80 도메인\사용자 0 0

시나리오 2 - 프로토콜 협상

협상 프로토콜 및 NTLM 프로토콜을 대신 협상 프로토콜을 지원하도록 IIS를 구성할 시나리오에서는 요청 및 응답 흐름이 동일합니다. IIS 로그에서 로깅을 동일하게 적용됩니다. 차이점은 IIS 익명 위해 브라우저에서 요청을 초기 응답 있습니다. 이 경우 IIS 협상 헤더를 보냅니다.

HTTP: 응답, HTTP/1.1
상태 코드 401 =
ProtocolVersion: HTTP/1.1
StatusCode: 401 권한이,
이유: 권한 없음
ContentLength: 1656
ContentType: text/html
서버: Microsoft IIS/6
WWWAuthenticate: 협상

NLTM 인증

다음 시나리오 기반 예제에서는 IIS가 NTLM 프로토콜을 지원하도록 구성되어 있습니다. IIS 6.0 및 이전 버전에서는 이 NTAuthenticationProviders 메타베이스 키 집합 "NTLM" 하여 수행됩니다. IIS 7.0 및 이후 버전에서는 NTLM 프로토콜은 <windowsauthentication>섹션의 공급자 표시되어야 합니다.

다시 시작할 인증 정보가 새 연결에서 첫 번째 요청에 포함되어 있지 않습니다.

GET: HTTP 요청/
명령: GET ProtocolVersion: HTTP/1.1
수락: 이미지/GIF, 이미지/x-xbitmap, 이미지/jpeg, 이미지/pjpeg */*
사용할 언어: en-us
수락 인코딩: gzip, 움츠리기
UserAgent: Mozilla/4.0 (호환되는; MSIE 6.0, Windows NT 5.1)
호스트: www.kerberos.com
연결: Keep-Alive

IIS 서버의 익명 인증을 지원하도록 구성되어 있지 않으면 서버는 클라이언트가 클라이언트 무단 인식됩니다 401.2 상태를 반환합니다. 오류 상태 함께 서버는 또한 서버에서 지원하는 인증 프로토콜 목록을 보냅니다. IIS에서 이 NTLM 전용 시나리오에서 반환하는 응답 헤더를 다음과 유사합니다.

HTTP: 응답, HTTP/1.1 상태 코드 401 =
ProtocolVersion: HTTP/1.1
StatusCode: 401 권한이,
이유: 권한 없음
ContentLength: 1656
ContentType: text/html
서버: Microsoft IIS/6
WWWAuthenticate: NTLM

IIS 다음 IIS 로그에 다음과 유사한 항목을 씁니다.

<date><time>W3SVC <id><serverip>GET/- 80 - 401 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) <clientip>2 2148074254

클라이언트가 서버에서 NTLM 프로토콜을 지원하는 서버 알림을 받으면 클라이언트 요청을 re-sends. 클라이언트 인증 헤더에서 인증 정보가 포함되어 있습니다.

GET: HTTP 요청/
명령: GET
URI:/
ProtocolVersion: HTTP/1.1
수락: 이미지/GIF, 이미지/x-xbitmap, 이미지/jpeg, 이미지/pjpeg */*
사용할 언어: en-us
수락 인코딩: gzip, 움츠리기
UserAgent: Mozilla/4.0 (호환되는; MSIE 6.0, Windows NT 5.1)
호스트: www.kerberos.com
연결: Keep-Alive
권한 부여: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

NTLM 핸드셰이크가 일부로 서버가 클라이언트의 인증 정보를 보냈습니다 승인합니다. 그러나 서버는 더 많은 정보를 보낼 클라이언트를 합니다. 따라서 서버가 다음과 같은 다른 401 응답을 반환합니다.

HTTP: 응답, HTTP/1.1 상태 코드 401 =
ProtocolVersion: HTTP/1.1
StatusCode: 401 권한이,
이유: 권한 없음
ContentLength: 1539
ContentType: text/html
서버: Microsoft IIS/6
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

다음 IIS 다음과 같은 IIS 로그에 엔트리를 씁니다.

<date><time>W3SVC <id><serverip>GET/- 80 - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0

IIS 보냅니다 401.1 상태 클라이언트에 올바른 인증 정보 나머지 제공해야 클라이언트에 알려 줍니다. 클라이언트가 이 과제는 받습니다. 다음 클라이언트에 다음과 유사한 하나 이상의 요청을 보냅니다.

GET: HTTP 요청/
명령: GET
URI:/
ProtocolVersion: HTTP/1.1
수락: 이미지/GIF, 이미지/x-xbitmap, 이미지/jpeg, 이미지/pjpeg */*
사용할 언어: en-us
수락 인코딩: gzip, 움츠리기
UserAgent: Mozilla/4.0 (호환되는; MSIE 6.0, Windows NT 5.1)
호스트: www.kerberos.com
연결: Keep-Alive
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ/EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

IIS 서버의 IIS 서버가 이 요청을 받으면 인증 요청을 완료하려면 도메인 컨트롤러와 통신합니다. IIS는 클라이언트 인증 요청을 확인할 때 다음과 유사한 응답을 보냅니다.

HTTP: 응답, HTTP/1.1 상태 코드 200 =
ProtocolVersion: HTTP/1.1
StatusCode: 200, 확인
이유: 확인
서버: Microsoft IIS/6
X 구동 방법: ASP.NET
ContentLength: 19
ContentType: text/html
캐시 제어: 개인

참고 NTLM 인증이 이루어지는 방법에 대한 자세한 단계를 여기에 포함되지 않습니다. NTLM 인증 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn.microsoft.com/en-us/library/bb643328.aspx
IIS이 이 응답을 보내면 IIS IIS 로그 다음 연결된 엔트리를 씁니다.

<date><time>W3SVC <id>GET <serverip>/time.asp - <clientip>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 80 Domain\User 0 0

참조

자세한 내용은 IIS가 브라우저 클라이언트를 인증하는 방법, Microsoft 기술 자료의 다음 문서를 참조하십시오.
264921IIS가 브라우저 클라이언트를 인증하는 방법
대한 자세한 내용은 IIS Kerberos 관련 문제를 해결하는 방법에 Microsoft 기술 자료의 다음 문서를 참조하십시오.
326985IIS에서 Kerberos 관련 문제를 해결하는 방법
대한 자세한 내용은 컨트롤 인증을 AuthPersistence 메타베이스 속성을 수정할 방법에 Microsoft 기술 자료의 다음 문서를 참조하십시오.
318863컨트롤 인증을 AuthPersistence 메타베이스 속성을 수정하는 방법
자세한 내용은 IIS 6.0 Windows 통합 인증을 사용할 때 발생하는 성능 저하 문제를 Microsoft 기술 자료의 다음 문서를 참조하십시오.
917557FIX: IIS 6 .0에서 Kerberos 인증 프로토콜로 Windows 통합 인증을 사용할 때 사용하면 성능이 저하될 수 있습니다.
Microsoft NTLM에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Microsoft Kerberos에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://msdn.microsoft.com/en-us/library/aa378747(VS.85).aspx
Windows 통합 IIS 인증 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
IIS 6 .0에서 NTAuthenticationProviders 메타베이스 속성에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
IIS 7.0의 <windowsauthentication>구성 속성에 대한 자세한 내용은 다음 웹 사이트를 방문하십시오.
http://www.iis.net/ConfigReference/system.webServer/security/authentication/windowsAuthentication

속성

기술 자료: 969060 - 마지막 검토: 2009년 4월 2일 목요일 - 수정: 1.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
키워드:?
kbmt kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew KB969060 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com