Log do IIS para a autenticação integrada do Windows

Traduções de Artigos Traduções de Artigos
Artigo: 969060 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo analisa a solicitação e resposta de comunicação entre um cliente HTTP e um servidor de Internet Information Services (IIS) quando a autenticação integrada do Windows está configurada. Este artigo também ilustra a forma que o IIS faz esse processo de autenticação nos logs do IIS.

Mais Informação

Autenticação integrada do Windows usa a autenticação Kerberos v5 e a autenticação NTLM. Kerberos é um protocolo de autenticação padrão da indústria que é usado para verificar a identidade do usuário ou identidade do host. Se o Active Directory é instalado em um controlador de domínio que esteja executando o Windows 2000 Server, Windows Server 2003 ou Windows Server 2008 e o navegador do cliente oferece suporte ao protocolo de autenticação Kerberos v5, o cliente e o servidor IIS usam a autenticação Kerberos v5. Caso contrário, o cliente e o servidor IIS usam a autenticação NTLM.

Observação Para obter informações detalhadas sobre a autenticação integrada do Windows, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
A maneira que os logs do IIS NTLM e a autenticação Kerberos no IIS arquivos de log é diferente, dependendo de qual protocolo está sendo usado.

Se o servidor IIS e o cliente HTTP que torna a Web solicitam oferecem suporte ao protocolo Kerberos e o IIS está configurado para usar o Kerberos, entradas de log semelhante ao seguinte aparecem no log do IIS para a resposta de solicitação e o servidor cliente:

# Software: Serviços de Informações da Internet da Microsoft 6.0
# Versão: 1.0 # Data: 2009-01-01 02: 48: 20
# Campos: data hora s-sitename s ip método cs cs-uri-stem cs-uri-query porta s cs-username ip c cs(User-Agent) sc-status sc substatus sc-win32-status
2009-01-01 02: 48: 20 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>GET / - 80 domínio \ usuário <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP></clientIP></serverIP>

Se o servidor IIS ou o cliente HTTP não suporta o protocolo Kerberos ou se o servidor IIS é configurado para usar apenas NTLM, aparecem os seguintes tipos de entradas de log no log do IIS para a resposta de solicitação e o servidor cliente:

# Software: Serviços de Informações da Internet da Microsoft 6.0
# Versão: 1.0
# Data: 2009-01-05 02: 29: 47
# Campos: data hora s-sitename s ip método cs cs-uri-stem cs-uri-query porta s cs-username ip c cs(User-Agent) sc-status sc substatus sc-win32-status
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 GET <serverIP>/ <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 - 80 - 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 domínio \ usuário <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Autenticação integrada do Windows

IIS pode ser configurado para oferecer suporte o protocolo de negociação, o protocolo NTLM ou ambos. No IIS 6.0 e versões anteriores, isso é feito definindo a chave de metabase NTAuthenticationProviders. No IIS 7.0, isso é feito definindo a <Provider></Provider> elemento sob o <windowsAuthentication></windowsAuthentication> o elemento no arquivo applicationHost config ou no arquivo Web. config.

Para obter informações adicionais sobre como configurar o Windows integrado autenticação no IIS 6.0 e em versões anteriores, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
215383Como configurar o IIS para suportar o protocolo Kerberos e o protocolo NTLM para autenticação de rede
Para obter mais informações sobre como configurar a autenticação integrada do Windows no IIS 7.0, visite o seguinte site da Microsoft:
http://technet.microsoft.com/en-us/library/cc754628.aspx

Autenticação Kerberos

A seguir estão dois exemplos de cenário. No primeiro cenário, o IIS é configurado para oferecer suporte o protocolo de negociação e o protocolo NTLM. No segundo cenário, há suporte para o protocolo de negociação.

Cenário 1 ? protocolo de negociação e o protocolo NTLM

Neste exemplo, o IIS é configurado para oferecer suporte o protocolo de negociação e o protocolo NTLM. No IIS 6.0 e versões anteriores, isso é feito definindo a chave de metabase NTAuthenticationProviders "Negotiate, NTLM". No IIS 7.0 e versões posteriores, o protocolo de negociação e o protocolo NTLM devem estar listados como provedores na seção <windowsAuthentication>.

Observação Os exemplos a seguir, o cabeçalho de solicitação e o cabeçalho de resposta são capturadas usando a ferramenta Microsoft Network Monitor 3.2. Para baixar a versão mais recente da ferramenta Monitor de rede, visite o seguinte site:</windowsAuthentication>
http://www.microsoft.com/en-us/download/Details.aspx?displaylang=en&ID=4865
Quando o Microsoft Internet Explorer faz uma solicitação, o Internet Explorer sempre considera a primeira solicitação de uma nova conexão para ser anônimo. Portanto, Internet Explorer não envia credenciais como parte da solicitação. Este é um exemplo de cabeçalhos de solicitação que o Internet Explorer envia a primeira solicitação para um recurso:

HTTP: Solicitação, GET /
Comando: GET
ProtocolVersion: HTTP/1.1
Aceitar: imagem/gif, imagem/x-xbitmap, image/jpeg, imagem/pjpeg * / *
Aceitar Language: en-us
Aceitar-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatível; MSIE 6.0; Windows NT 5.1)
Host: www.kerberos.com
Conexão: Keep-Alive

Se o servidor IIS não está configurado para oferecer suporte a autenticação anônima, o servidor IIS retorna um status 401.2 que informa ao cliente que o cliente é não autorizado. Com o status de erro, o servidor também envia uma lista de protocolos de autenticação que o servidor oferece suporte. Os cabeçalhos de resposta que o IIS retorna neste cenário semelhante ao seguinte:

HTTP: Código de Status de resposta, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, não autorizado
Motivo: não autorizado
ContentLength: 1656
ContentType: text/html
Servidor: Microsoft-IIS/6.0
WWWAuthenticate: negociar
WWWAuthenticate: NTLM

Após o IIS server envia essa resposta, IIS grava a seguinte entrada associada no log do IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Observação O status do win32 "2148074254" (também definido como-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) significa "sem credenciais estão disponíveis no pacote de segurança". Em outras palavras, o cliente não enviou quaisquer credenciais.

Após o cliente recebe a resposta 401.2 do servidor IIS, o cliente entende que o IIS está configurado para usar autenticação integrada do Windows em vez de autenticação anônima. Portanto, o cliente deve fornecer informações de autenticação apropriado em sua solicitação.

O cliente faz uma solicitação semelhante à seguinte:

HTTP: Solicitação, GET /
Comando: GET
URI: /
ProtocolVersion: HTTP/1.1
Aceitar: imagem/gif, imagem/x-xbitmap, image/jpeg, imagem/pjpeg * / *
Aceitar Language: en-us
Aceitar-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatível; MSIE 6.0; Windows NT 5.1)
Host: www.kerberos.com
Conexão: Keep-Alive
Autorização: negociar
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Observação Neste artigo, o Kerberos tíquete de autorização: negociar cabeçalho foi truncado.

O servidor IIS recebe a solicitação. O servidor IIS vê cliente incluiu as informações de autenticação adicionando a autorização: negociar cabeçalho e valor. Se o cliente enviou as informações de credenciais válidas, a autenticação é bem-sucedida. IIS, em seguida, envia a seguinte resposta:

HTTP: Código de Status de resposta, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motivo: OK
Data: xxx, <Date> <Time>GMT
Servidor: Microsoft-IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Negociar =</Time> </Date>

Observação As etapas detalhadas de como ocorre a autenticação Kerberos não está incluída aqui. Para obter mais informações sobre como funciona a autenticação Kerberos, visite o seguinte site da Microsoft:
http://technet.microsoft.com/en-us/library/cc758557.aspx
IIS grava a seguinte entrada de log do IIS:

<Date> <Time>W3SVC<ID> <serverIP> /time.asp GET - 80 Domain\user <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP> </ID></Time></Date>

Cenário 2 - negociar protocolo

O cenário no qual o IIS está configurado para suportar apenas o protocolo de negociação em vez do protocolo de negociação e o protocolo NTLM, o fluxo de solicitação e resposta é a mesma. O log no log do IIS também é o mesmo. A diferença é a resposta inicial que o IIS faz a solicitação anônima do navegador. Nesse caso, o IIS envia somente o cabeçalho negociação:

HTTP: Resposta HTTP/1.1
Código de status = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, não autorizado
Motivo: não autorizado
ContentLength: 1656
ContentType: text/html
Servidor: Microsoft-IIS/6.0
WWWAuthenticate: negociar

Autenticação NLTM

A seguir é um exemplo de cenário no qual o IIS está configurado para suportar apenas o protocolo NTLM. No IIS 6.0 e versões anteriores, isso é feito por ter a chave de metabase NTAuthenticationProviders definida como "NTLM". No IIS 7.0 e versões posteriores, somente o protocolo NTLM deve estar listado como um provedor na seção <windowsAuthentication>.

Novamente, o Internet Explorer não inclui informações de autenticação na primeira solicitação em uma nova conexão:</windowsAuthentication>

HTTP: Solicitação, GET /
Comando: GET ProtocolVersion: HTTP/1.1
Aceitar: imagem/gif, imagem/x-xbitmap, image/jpeg, imagem/pjpeg * / *
Aceitar Language: en-us
Aceitar-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatível; MSIE 6.0; Windows NT 5.1)
Host: www.kerberos.com
Conexão: Keep-Alive

Se o servidor IIS não está configurado para oferecer suporte a autenticação anônima, o servidor retorna um status 401.2 que informa ao cliente que o cliente é não autorizado. Com o status de erro, o servidor também envia uma lista de protocolos de autenticação que o servidor oferece suporte. Cabeçalhos de resposta que o IIS retorna neste cenário Somente NTML semelhante ao seguinte:

HTTP: Código de Status de resposta, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, não autorizado
Motivo: não autorizado
ContentLength: 1656
ContentType: text/html
Servidor: Microsoft-IIS/6.0
WWWAuthenticate: NTLM

IIS, em seguida, grava uma entrada semelhante à seguinte no log do IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Quando o cliente recebe notificação do servidor que o servidor suporta o protocolo NTLM, o cliente reenvia a solicitação. O cliente inclui informações de autenticação em um cabeçalho de autorização:

HTTP: Solicitação, GET /
Comando: GET
URI: /
ProtocolVersion: HTTP/1.1
Aceitar: imagem/gif, imagem/x-xbitmap, image/jpeg, imagem/pjpeg * / *
Aceitar Language: en-us
Aceitar-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatível; MSIE 6.0; Windows NT 5.1)
Host: www.kerberos.com
Conexão: Keep-Alive
Autorização: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Como parte do handshake NTLM, o servidor reconhece que o cliente enviou as informações de autenticação. No entanto, o servidor precisa do cliente para enviar mais informações. Portanto, o servidor retorna outra resposta 401 semelhante à seguinte:

HTTP: Código de Status de resposta, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, não autorizado
Motivo: não autorizado
ContentLength: 1539
ContentType: text/html
Servidor: Microsoft-IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS, em seguida, grava uma entrada no log do IIS semelhante à seguinte:

<Date> <Time>W3SVC<ID> <serverIP> GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

O status 401.1 IIS envia informa ao cliente que o cliente deve fornecer o restante das informações de autenticação válido. O cliente recebe esse desafio. O cliente envia uma solicitação mais semelhante à seguinte:

HTTP: Solicitação, GET /
Comando: GET
URI: /
ProtocolVersion: HTTP/1.1
Aceitar: imagem/gif, imagem/x-xbitmap, image/jpeg, imagem/pjpeg * / *
Aceitar Language: en-us
Aceitar-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatível; MSIE 6.0; Windows NT 5.1)
Host: www.kerberos.com
Conexão: Keep-Alive
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Quando o servidor IIS recebe essa solicitação, o servidor IIS se comunica com um controlador de domínio para concluir a solicitação de autenticação. Confirmação de solicitação de autenticação do cliente, o IIS enviará uma resposta semelhante à seguinte:

HTTP: Código de Status de resposta, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motivo: OK
Servidor: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
ContentLength: 19
ContentType: text/html
Cache-control: private

Observação As etapas detalhadas de como ocorre a autenticação NTLM não é incluída aqui. Para obter mais informações sobre como funciona a autenticação NTLM, visite o seguinte site da Microsoft:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Depois que o IIS envia essa resposta, IIS grava a seguinte entrada associada no log do IIS:

<Date> <Time>W3SVC<ID> <serverIP> /time.asp GET - 80 Domain\User <clientIP>200 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 0 0</clientIP> </serverIP> </ID></Time></Date>

Referências

Para obter informações adicionais sobre como o IIS autentica clientes de navegador, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
264921Como o IIS autentica clientes de navegador
Para obter informações adicionais sobre como solucionar problemas relacionados ao Kerberos no IIS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
326985Como solucionar problemas relacionados ao Kerberos no IIS
Para obter informações adicionais sobre como modificar a propriedade de AuthPersistence Metabase para controlar a autenticação, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
318863Como modificar a propriedade de AuthPersistence Metabase para controlar a autenticação
Para obter informações adicionais sobre um problema de desempenho lento ocorre quando você usa autenticação integrada do Windows o IIS 6.0, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
917557CORREÇÃO: Você pode enfrentar desempenho lento quando você usa autenticação integrada do Windows com o protocolo de autenticação Kerberos no IIS 6.0
Para obter mais informações sobre Microsoft NTLM, visite o seguinte site da Microsoft:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Para obter mais informações sobre o Microsoft Kerberos, visite o seguinte site da Microsoft:
. aspx http://msdn.microsoft.com/en-us/library/aa378747 (VS)
Para obter mais informações sobre autenticação IIS integrada do Windows, visite o seguinte site da Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Para obter mais informações sobre a propriedade de metabase NTAuthenticationProviders no IIS 6.0, visite o seguinte site da Microsoft:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
Para obter mais informações sobre o <windowsAuthentication>propriedade de configuração no IIS 7.0, visite o seguinte Web site:</windowsAuthentication>
http://www.IIS.NET/ConfigReference/System.webServer/security/authentication/windowsAuthentication

Propriedades

Artigo: 969060 - Última revisão: 6 de julho de 2012 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 7.0
  • Serviços de informação Internet 5.0 da Microsoft
  • Serviços de informação Internet 5.1 da Microsoft
  • Microsoft Internet Information Services 6.0
Palavras-chave: 
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 969060

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com