Ведение журнала IIS для встроенной проверки подлинности Windows

Переводы статьи Переводы статьи
Код статьи: 969060 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

ВВЕДЕНИЕ

В данной статье запроса и ответа связь между HTTP-клиент и сервер служб информации Интернет (IIS), если задана встроенная проверка подлинности Windows. В этой статье также иллюстрирует способ, который входит в IIS этот процесс проверки подлинности в журнал IIS.

Дополнительная информация

Встроенная проверка подлинности Windows использует проверку подлинности Kerberos v5 и NTLM. Kerberos — это протокол проверки подлинности промышленный стандарт, используемый для проверки удостоверения пользователя или идентификатор узла. При установке Active Directory на контроллере домена под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2008 и веб-обозреватель клиента поддерживает протокол Kerberos v5, клиент и сервер IIS с помощью проверки подлинности Kerberos v5. В противном случае клиент и сервер IIS используется проверка подлинности NTLM.

Примечание Подробное описание встроенной проверки подлинности Windows посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Так, что файлы журналов журналы IIS NTLM и Kerberos проверки подлинности в IIS является различным в зависимости от того, какой протокол используется.

Если сервер IIS и HTTP-клиент, который делает Интернет поддерживают протокол Kerberos и IIS настроен на использование Kerberos, записи журнала, указанных ниже отображаются в журнале IIS для клиентского запроса и сервера ответ:

# Software: Служб Microsoft IIS 6.0
# Версия: 1.0 # Дата: 2009-01-01 02:48:20
# Поля: Дата, время s sitename s-ip метод cs ресурс uri cs запрос uri cs порт s cs-имя пользователя c ip cs(User-Agent) sc состояние sc подробный sc--состояние win32
2009-01-01 02:48:20 W3SVC1 <serverip> GET / <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 - 80 - 2 2148074254 </clientip></serverip>
2009-01-01 02:48:21 W3SVC1 <serverip> получить / - 80 домен\пользователь <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientip></serverip>

Если сервер IIS или HTTP-клиент не поддерживает протокол Kerberos, или если сервер IIS настроен на использование только NTLM, следующие типы записей в журнале появляются в журнале служб IIS для клиентского запроса и сервера ответ:

# Software: Служб Microsoft IIS 6.0
# Версия: 1.0
# Дата: 2009-01-05 02:29:47
# Поля: Дата, время s sitename s-ip метод cs ресурс uri cs запрос uri cs порт s cs-имя пользователя c ip cs(User-Agent) sc состояние sc подробный sc--состояние win32
2009-01-01 02:29:47 W3SVC1 <serverip> GET / <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 - 80 - 2 2148074254 </clientip></serverip>
2009-01-01 02:29:47 W3SVC1 <serverip> GET / - 80 - <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0 </clientip></serverip>
2009-01-01 02:29:47 W3SVC1 <serverip> получить / - 80 домен\пользователь <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientip></serverip>

Встроенная проверка подлинности Windows

IIS можно настроить для поддержки протокола согласования и протокол NTLM. В IIS 6.0 и более ранних версиях это делается путем настройки ключа метабазы NTAuthenticationProviders. В IIS 7.0 это делается путем установки соответствующего <provider></provider> элемент в группе <windowsauthentication></windowsauthentication> элемент в файле ApplicationHost.config или в файле web.config.

Для получения дополнительных сведений о о настройке Windows встроенной проверки подлинности в IIS 6.0 и более ранних версиях, щелкните следующий номер статьи базы знаний Майкрософт:
215383Настройка служб IIS для поддержки протоколов Kerberos и протокол NTLM для проверки подлинности в сети
Для получения дополнительных сведений о том, как настроить встроенную проверку подлинности Windows в службах IIS 7.0 посетите следующий веб-узел корпорации Майкрософт:
http://TechNet.Microsoft.com/en-us/library/cc754628.aspx

Проверка подлинности Kerberos

Ниже приведены два примера на основе сценариев. В первом сценарии сервер IIS настроен для поддержки протокола согласования и протокол NTLM. Во втором случае поддерживается только протокол Negotiate.

Сценарий 1 – протокол Negotiate и протокол NTLM

В этом примере сервер IIS настроен для поддержки протокола согласования и протокол NTLM. В IIS 6.0 и более ранних версиях это делается путем задания ключа метабазы NTAuthenticationProviders «Negotiate, ntlm». В IIS 7.0 и более поздних версиях протокола согласования и протокол NTLM, должны быть перечислены как поставщиков в <windowsauthentication> разделе.</windowsauthentication>

Примечание В приведенных ниже заголовка запроса и заголовок ответа фиксируются с помощью средства 3.2 сетевого монитора Microsoft. Чтобы загрузить последнюю версию средства сетевого монитора, посетите следующий веб-узел:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = f4db40af-1e08-4a21-a26b-ec2f4dc4190d & DisplayLang = en
Когда обозреватель Microsoft Internet Explorer выполняет запрос, Internet Explorer всегда считает, что первый запрос нового подключения быть анонимным. Таким образом Internet Explorer не передает учетные данные как часть запроса. Ниже приведен пример заголовков запроса, отправляемые Internet Explorer в первый запрос для ресурса:

HTTP: Запрос GET /
Команда: получение
ProtocolVersion: HTTP/1.1
Прием: image/gif, изображение, x-xbitmap, image/jpeg, изображение/pjpeg * / *
Принять язык: en-us
Принять кодировки: gzip, deflate
UserAgent: Mozilla/4.0 (совместимый; MSIE 6.0; Windows NT 5.1)
Узел: www.kerberos.com
Подключение: Активности

Если сервер IIS не настроен для поддержки анонимной проверки подлинности, сервер IIS возвращает 401.2 статус, который сообщает клиенту, что клиент не прошел проверку. Вместе со статусом Ошибка сервер также отправляет список протоколов проверки подлинности, поддерживаемые сервером. Заголовки ответа, IIS возвращает в этом случае выглядеть следующим образом:

HTTP: Код состояния ответа, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, доступ запрещен
Причина: несанкционированного
ContentLength: 1656
ContentType: text/html
Сервер: Службы IIS/6.0
WWWAuthenticate: согласование
WWWAuthenticate: NTLM

После IIS сервер отправляет этот ответ IIS записывает следующие связанные записи в журнал IIS:

<date> <time>W3SVC<id> <serverip> получить / - 80 - <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientip></serverip></id></time></date>

Примечание Состояние win32 «2148074254» (также определен как-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) означает «учетные данные не доступны в пакете безопасности.» Другими словами клиент не отправлено никаких учетных данных.

После получения 401.2 ответа от сервера IIS, клиент понимает, что службы IIS настроены на использование встроенной проверки подлинности Windows вместо анонимную проверку подлинности. Таким образом клиент должен предоставить сведения о соответствующей проверки подлинности в запросе.

Затем клиент запрос следующего вида:

HTTP: Запрос GET /
Команда: получение
URI: /
ProtocolVersion: HTTP/1.1
Прием: image/gif, изображение, x-xbitmap, image/jpeg, изображение/pjpeg * / *
Принять язык: en-us
Принять кодировки: gzip, deflate
UserAgent: Mozilla/4.0 (совместимый; MSIE 6.0; Windows NT 5.1)
Узел: www.kerberos.com
Подключение: Активности
Авторизация: согласование
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Примечание В этой статье билет Kerberos для проверки подлинности: согласование усечь заголовок.

Сервер IIS получает запрос. Сервер IIS видит, что клиент включила сведения проверки подлинности, добавив авторизации: согласование заголовок и значение. Если клиент отправил допустимые учетные данные, проверка подлинности прошла успешно. IIS отправляет следующий ответ:

HTTP: Код состояния ответа, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, ОК
Причина: OK
Дата: xxx, <date> <time> GMT </time></date>
Сервер: Службы IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Согласование =

Примечание Подробные шаги как выполняется проверка подлинности Kerberos не включается здесь. Для получения дополнительных сведений о работе проверки подлинности Kerberos посетите веб-узел корпорации Майкрософт:
http://TechNet.Microsoft.com/en-us/library/cc758557.aspx
IIS записывает в журнал IIS следующую запись:

<date> <time>W3SVC<id> <serverip> /time.asp GET - 80 домен\пользователь <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientip></serverip></id></time></date>

Сценарий 2 - согласование протокола

В ситуации, в которой сервер IIS настроен для поддержки протокола согласования вместо протокола согласования и протокол NTLM потока запроса и ответа совпадает. Регистрация в журнале служб IIS также такой же. Разница заключается в первоначальный ответ, IIS создает анонимный запрос от обозревателя. В этом случае IIS отправляет только заголовок Negotiate:

HTTP: Ответ, HTTP/1.1
Код состояния = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, доступ запрещен
Причина: несанкционированного
ContentLength: 1656
ContentType: text/html
Сервер: Службы IIS/6.0
WWWAuthenticate: согласование

Проверки подлинности NTLM

Ниже приведен пример на основе сценария, в котором сервер IIS настроен для поддержки только протокол NTLM. В IIS 6.0 и более ранних версиях этого является наличие раздела метабазы NTAuthenticationProviders присвоено значение «ntlm». В IIS 7.0 и более поздних версиях только протокол NTLM, должны быть перечислены как поставщик в <windowsauthentication> разделе.</windowsauthentication>

Опять же Internet Explorer не включает любые сведения о проверке подлинности в первый запрос на подключение:

HTTP: Запрос GET /
Команда: получение ProtocolVersion: HTTP/1.1
Прием: image/gif, изображение, x-xbitmap, image/jpeg, изображение/pjpeg * / *
Принять язык: en-us
Принять кодировки: gzip, deflate
UserAgent: Mozilla/4.0 (совместимый; MSIE 6.0; Windows NT 5.1)
Узел: www.kerberos.com
Подключение: Активности

Если сервер IIS не настроен для поддержки анонимной проверки подлинности, сервер возвращает 401.2 статус, который сообщает клиенту, что клиент не прошел проверку. Вместе со статусом Ошибка сервер также отправляет список протоколов проверки подлинности, поддерживаемые сервером. Заголовки ответа, IIS возвращает в этом случае только NTLM выглядеть следующим образом:

HTTP: Код состояния ответа, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, доступ запрещен
Причина: несанкционированного
ContentLength: 1656
ContentType: text/html
Сервер: Службы IIS/6.0
WWWAuthenticate: NTLM

IIS записывает в журнал IIS следующую запись:

<date> <time>W3SVC<id> <serverip> получить / - 80 - <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientip></serverip></id></time></date>

Когда клиент получает уведомление сервера, что сервер поддерживает протокол NTLM, клиент будет появляться запрос. Клиентское приложение содержит сведения о проверке подлинности в заголовке авторизации:

HTTP: Запрос GET /
Команда: получение
URI: /
ProtocolVersion: HTTP/1.1
Прием: image/gif, изображение, x-xbitmap, image/jpeg, изображение/pjpeg * / *
Принять язык: en-us
Принять кодировки: gzip, deflate
UserAgent: Mozilla/4.0 (совместимый; MSIE 6.0; Windows NT 5.1)
Узел: www.kerberos.com
Подключение: Активности
Авторизации: TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE NTLM =

В процессе подтверждения NTLM сервер подтверждает, что клиент отправил данные для проверки подлинности. Тем не менее сервер должен клиента дополнительные сведения. Таким образом сервер возвращает другой ответ 401, подобное следующему:

HTTP: Код состояния ответа, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, доступ запрещен
Причина: несанкционированного
ContentLength: 1539
ContentType: text/html
Сервер: Службы IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS записывает записи в журнал IIS, похожее на следующее:

<date> <time>W3SVC<id> <serverip> получить / - 80 - <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientip></serverip></id></time></date>

401.1 Состояния, IIS отправляет сообщает клиенту, что клиент должен предоставить остаток сведения для проверки подлинности. Клиент получает этот запрос. Клиент затем посылает один больше запрос следующего вида:

HTTP: Запрос GET /
Команда: получение
URI: /
ProtocolVersion: HTTP/1.1
Прием: image/gif, изображение, x-xbitmap, image/jpeg, изображение/pjpeg * / *
Принять язык: en-us
Принять кодировки: gzip, deflate
UserAgent: Mozilla/4.0 (совместимый; MSIE 6.0; Windows NT 5.1)
Узел: www.kerberos.com
Подключение: Активности
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Когда сервер IIS получает запрос, сервер IIS взаимодействует с контроллером домена, чтобы выполнить запрос проверки подлинности. При подтверждении запроса проверки подлинности клиента IIS отправляет ответ следующего вида:

HTTP: Код состояния ответа, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, ОК
Причина: OK
Сервер: Службы IIS/6.0
X-питание по: ASP.NET
ContentLength: 19
ContentType: text/html
Cache-control: private

Примечание Подробные шаги как выполняется проверка подлинности NTLM не включается здесь. Для получения дополнительных сведений о работе проверки подлинности NTLM посетите веб-узел корпорации Майкрософт:
http://MSDN.Microsoft.com/en-us/library/bb643328.aspx
После IIS отправляет этот ответ, IIS записывает следующие связанные записи в журнал IIS:

<date> <time>W3SVC<id> <serverip> /time.asp GET - 80 домен\пользователь <clientip> Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientip></serverip></id></time></date>

Ссылки

Для получения дополнительных сведений о как IIS проверяет подлинность клиентов обозревателя, щелкните следующий номер статьи базы знаний Майкрософт:
264921Как IIS проверяет подлинность клиентов обозревателя
Для получения дополнительных сведений о способах устранения неполадок с проверкой подлинности Kerberos на сервере IIS, щелкните следующий номер статьи базы знаний Майкрософт:
326985Устранение неполадок с проверкой подлинности Kerberos на сервере IIS
Для получения дополнительных сведений о том, как изменить свойства метабазы AuthPersistence для проверки подлинности, щелкните следующий номер статьи базы знаний Майкрософт:
318863Как изменить свойства метабазы AuthPersistence для проверки подлинности
Для получения дополнительных сведений о низкой производительности проблема, возникающая при использовании встроенной проверки подлинности IIS 6.0 щелкните следующий номер статьи базы знаний Майкрософт:
917557ИСПРАВЛЕНИЕ: Может наблюдаться снижение производительности при использовании встроенной проверки подлинности Windows с помощью протокола проверки подлинности Kerberos в IIS 6.0
Для получения дополнительных сведений о Microsoft NTLM посетите следующий веб-узел корпорации Майкрософт:
http://MSDN.Microsoft.com/en-us/library/bb643328.aspx
Для получения дополнительных сведений о Microsoft Kerberos посетите следующий веб-узел корпорации Майкрософт:
http://MSDN.Microsoft.com/en-us/library/aa378747 (VS.85) .aspx
Для получения дополнительных сведений о IIS встроенную проверку подлинности Windows посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/WindowsServer/en/Library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Для получения дополнительных сведений о свойстве NTAuthenticationProviders метабазы в IIS 6.0 посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/TechNet/prodtechnol/windowsserver2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
Для получения дополнительных сведений о <windowsauthentication> свойство конфигурации в IIS 7.0 посетите следующий веб-узел:</windowsauthentication>
http://www.IIS.NET/ConfigReference/System.WebServer/Security/Authentication/windowsAuthentication

Свойства

Код статьи: 969060 - Последний отзыв: 22 сентября 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Ключевые слова: 
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:969060

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com