Zapisovanie IIS pre Windows integrované overovanie

Preklady článku Preklady článku
ID článku: 969060 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

ZAVEDENIE

Tento článok sa zaoberá žiadosti a odpovede komunikáciu medzi HTTP klientom a serverom Internet Information Services (IIS), keď je nakonfigurovaný Windows integrované overovanie. Tento článok tiež ilustruje spôsob, že IIS prihlási tohto procesu overovania v denníkoch IIS.

DALSIE INFORMACIE

Windows integrované overovanie používa overenie protokolom Kerberos v5, ako aj overenie pomocou štandardu NTLM. Kerberos je štandardné overovací protokol, ktorý sa používa na overenie totožnosti používateľa alebo totožnosť hostiteľa. Ak je nainštalovaný Active Directory na radiči domény so systémom Windows 2000 Server, Windows Server 2003 alebo Windows Server 2008 a klientsky webový prehľadávač podporuje overovací protokol Kerberos v5, klienta a servera IIS použite overovania Kerberos v5. V opačnom prípade klienta a servera IIS použite overenie pomocou štandardu NTLM.

Poznámka Podrobné informácie o Windows integrované overovanie, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://technet2.Microsoft.com/WindowsServer/en/library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Spôsobom, že súbory denníka IIS protokoly NTLM a overovania Kerberos v IIS je rôzna, v závislosti na čo protokol používa.

Ak IIS server a HTTP klientom, ktorá robí z webu požiadať obe podporujú protokol Kerberos a IIS je nakonfigurovaný na používanie protokolu Kerberos, denníku IIS pre klienta žiadosť a serverom odpoveď zobraziť položky denníka, ktoré sa podobajú takto:

# Softvér: Microsoft Internet Information Services 6.0
# Verzia: 1.0 # Dátum: 2009-01-01 02: 48: 20
# Polí: dátum čas s sitename s ip cs-metóda cs-uri-kmeňových cs-uri-dotaz s-port cs-username c-ip cs(User-Agent) sc-stav sc-sekundárny stav sc-win32-stav
2009-01-01 02: 48: 20 W3SVC1 <serverIP>získať / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 2148074254 na 2 401
2009-01-01 02: 48: 21 W3SVC1 <serverIP>dostať / - 80 doména\používateľ <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

Ak IIS server alebo HTTP klient nepodporuje protokol Kerberos, alebo ak IIS server je nakonfigurovaný na používanie len NTLM, tieto typy položiek denníka sa zobrazia v denníku IIS pre klienta žiadosť a serverom Odpoveď:

# Softvér: Microsoft Internet Information Services 6.0
# Verzia: 1.0
# Dátum: 2009-01-05 02: 29: 47
# Polí: dátum čas s sitename s ip cs-metóda cs-uri-kmeňových cs-uri-dotaz s-port cs-username c-ip cs(User-Agent) sc-stav sc-sekundárny stav sc-win32-stav
2009-01-01 02: 29: 47 W3SVC1 <serverIP>získať / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 2148074254 na 2 401
2009-01-01 02: 29: 47 W3SVC1 <serverIP>získať / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>dostať / - 80 doména\používateľ <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Windows integrované overenie

IIS je možné nakonfigurovať na podporu vyjednať protokol, protokol NTLM, alebo oboje. IIS 6.0 a v starších verziách, sa vykonáva konfigurácia NTAuthenticationProviders metabázy kľúčom. V službe IIS 7.0, nedeje nastavením vhodné <Provider></Provider> prvok pod <windowsAuthentication></windowsAuthentication> prvok v ApplicationHost.config súbore alebo v súbore web.config.

Pre ďalšie informácie ako na nakonfigurovanie systému Windows integrované overovanie v IIS 6.0 a v starších verziách, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
215383Konfigurovanie súčasti IIS na podporu protokolu Kerberos a protokolu NTLM pre overovanie v sieti
Ďalšie informácie o konfigurácii systému Windows integrovaný overovania v programe IIS 7.0, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://Technet.Microsoft.com/en-us/library/cc754628.aspx

Kerberos authentication

Nasledujú dva príklady na základe rôznych variant. V prvom scenári, IIS nakonfigurovaný na podporu vyjednať protokol, ako aj protokol NTLM. V druhom scenári je podporovaný iba vyjednať protokol.

Scenár č.1 – vyjednať protokol a protokol NTLM

V tomto príklade IIS nakonfigurovaný na podporu vyjednať protokol, ako aj protokol NTLM. IIS 6.0 a v starších verziách, nedeje stanovením NTAuthenticationProviders metabázy kľúčom k "Vyjednať, NTLM". V súčasti IIS 7.0 a novšie verzie vyjednať protokol, ako aj protokol NTLM musí byť uvedené ako poskytovateľov v časti <windowsAuthentication>.

Poznámka V nasledujúcich príkladoch, sú zachytené žiadosť hlavičku a hlavičky odozvy pomocou nástroja Microsoft Network Monitor 3.2. Chcete prevziať najnovšiu verziu nástroja Sledovanie siete, navštívte nasledovnú webovú lokalitu:</windowsAuthentication>
http://www.Microsoft.com/en-US/download/Details.aspx?displaylang=en&ID=4865
Keď program Microsoft Internet Explorer podáva žiadosť, Internet Explorer vždy považuje prvú požiadavku nové pripojenie je anonymný. Program Internet Explorer preto neposiela žiadne poverenia ako súčasť žiadosti. Nasleduje príklad žiadosť hlavičky, ktoré program Internet Explorer sa odosiela v prvej žiadosti na resource:

HTTP: Požiadať, GET /
Príkaz: dostať
ProtocolVersion: HTTP/1.1
Akceptovať: image/gif, image/x-xbitmap, image/jpeg, obraz/pjpeg, * / *
Accept-Language: en-us
Prijať-Encoding: gzip, defláciu
Agenta používateľa: Mozilla/4.0 (zlučiteľné; MSIE 6.0; Windows NT 5.1)
Hosť: www.kerberos.com
Pripojenie: Keep-Alive

Ak IIS server nie je nakonfigurovaný na podporu anonymné overenie, IIS server vráti 401.2 stav, ktorý hovorí klienta, aby klient je neoprávnený. Spolu s Chybový stav, server odošle zoznam overovacie protokoly, ktoré server podporuje. Odpoveď hlavičiek, ktoré vráti IIS v tomto scenári podobajú takto:

HTTP: Kód stavu odpoveď HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávnenému
Dôvod: neoprávneným
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: rokovanie
WWWAuthenticate: NTLM

Po IIS server odošle túto odpoveď, IIS píše tieto súvisiace položky do denníka IIS:

<Date> <Time>W3SVC<ID> <serverIP> dostať / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Poznámka Stav win32 "2148074254" (tiež definuje ako-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) znamená "žiadne poverenia nie sú k dispozícii v zabezpečovacom balíčku." Inými slovami, klient nezaslal žiadne poverenia.

Po klient dostane 401.2 odpoveď zo servera IIS, klient sa chápe, že IIS je nakonfigurovaný na používanie overovania Windows integrovaný namiesto anonymné overenie. Preto klient musí poskytnúť vhodné overenie informácií vo svojej žiadosti.

Klient potom podáva žiadosť, ktoré sa podobá nasledujúcemu hláseniu:

HTTP: Požiadať, GET /
Príkaz: dostať
URI: /
ProtocolVersion: HTTP/1.1
Akceptovať: image/gif, image/x-xbitmap, image/jpeg, obraz/pjpeg, * / *
Accept-Language: en-us
Prijať-Encoding: gzip, defláciu
Agenta používateľa: Mozilla/4.0 (zlučiteľné; MSIE 6.0; Windows NT 5.1)
Hosť: www.kerberos.com
Pripojenie: Keep-Alive
Povolenie: rokovanie
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Poznámka V tomto článku, Kerberos ticket v povolení: rokovať hlavičky boli skrátené.

IIS server prijíma žiadosť. IIS server vidí, že klient zahrnula overenia informácií pridaním povolenia: vyjednávajú hlavičky a hodnoty. Ak klient zaslala informácie platné poverenie, autentifikácia je úspešný. IIS potom odošle nasledovnú Odpoveď:

HTTP: Kód stavu odpoveď HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Dôvod: OK
Dátum: xxx, GMT <Date> <Time>
Server: Microsoft-IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Rokovať =</Time> </Date>

Poznámka Podrobné kroky ako sa uskutočňuje overovanie pravosti Kerberos tu nie je zahrnutá. Ďalšie informácie o fungovaní Kerberos authentication, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://Technet.Microsoft.com/en-us/library/cc758557.aspx
IIS potom píše tento záznam do denníka IIS:

<Date> <Time>W3SVC<ID> <serverIP> dostať /time.asp - 80 doména\používateľ <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Scenár č.2 - vyjednať protokol

Scenár, v ktorom IIS nakonfigurovaný na podporu iba vyjednať protokol vyjednať protokol, ako aj protokol NTLM, žiadosti a odpovede tok je rovnaký. Zapisovanie do denníka IIS je tiež rovnaké. Rozdiel je v pôvodnej odpovedi, že IIS umožňuje anonymný žiadosť z prehliadača. V tomto prípade IIS odošle iba vyjednať hlavičky:

HTTP: Odpoveď, HTTP/1.1,
Kód stavu = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávnenému
Dôvod: neoprávneným
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: rokovanie

NLTM overenie

Toto je založené na scenári príklad, v ktorom IIS nakonfigurovaný na podporu iba protokol NTLM. IIS 6.0 a v starších verziách, sa vykonáva so NTAuthenticationProviders metabázy kľúč nastavené na "NTLM". V súčasti IIS 7.0 a novšie verzie iba protokol NTLM musia uvádzať ako poskytovateľa v časti <windowsAuthentication>.

Opäť, Internet Explorer nezahŕňa žiadne overenie informácií v prvej žiadosti o nové pripojenie:</windowsAuthentication>

HTTP: Požiadať, GET /
Príkaz: dostať ProtocolVersion: HTTP/1.1
Akceptovať: image/gif, image/x-xbitmap, image/jpeg, obraz/pjpeg, * / *
Accept-Language: en-us
Prijať-Encoding: gzip, defláciu
Agenta používateľa: Mozilla/4.0 (zlučiteľné; MSIE 6.0; Windows NT 5.1)
Hosť: www.kerberos.com
Pripojenie: Keep-Alive

Ak IIS server nie je nakonfigurovaný na podporu anonymného overovania, server vráti 401.2 stav, ktorý hovorí klienta, aby klient je neoprávnený. Spolu s Chybový stav, server odošle zoznam overovacie protokoly, ktoré server podporuje. Odpoveď hlavičiek, ktoré vráti IIS v tomto scenári, ktorý je určený iba na NTLM podobajú takto:

HTTP: Kód stavu odpoveď HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávnenému
Dôvod: neoprávneným
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: NTLM

IIS potom píše položkou podobnou tieto IIS denníka:

<Date> <Time>W3SVC<ID> <serverIP> dostať / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Keď klient dostane oznámenie servera, že server podporuje protokol NTLM, klient odfiltrovaní žiadosť. Klient zahŕňa overenie informácií v hlavičke povolenie:

HTTP: Požiadať, GET /
Príkaz: dostať
URI: /
ProtocolVersion: HTTP/1.1
Akceptovať: image/gif, image/x-xbitmap, image/jpeg, obraz/pjpeg, * / *
Accept-Language: en-us
Prijať-Encoding: gzip, defláciu
Agenta používateľa: Mozilla/4.0 (zlučiteľné; MSIE 6.0; Windows NT 5.1)
Hosť: www.kerberos.com
Pripojenie: Keep-Alive
Povolenie: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Ako súčasť NTLM handshake, server uznáva, že klient odoslal overovacích informácií. Server však potrebuje klienta zaslať ďalšie informácie. Preto, server vráti iného 401 odozvy, takto:

HTTP: Kód stavu odpoveď HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neoprávnenému
Dôvod: neoprávneným
ContentLength: 1539
ContentType: text/html
Server: Microsoft-IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS potom zapíše záznam v denníku IIS, ktoré sa podobá nasledujúcemu hláseniu:

<Date> <Time>W3SVC<ID> <serverIP> dostať / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

Stav 401.1, ktorá odosiela IIS hovorí klienta, že klient musí poskytnúť platné overovacie informácie zvyšku. Klient dostane túto výzvu. Klient potom odošle jeden viac požiadavku, podobná nasledovnej:

HTTP: Požiadať, GET /
Príkaz: dostať
URI: /
ProtocolVersion: HTTP/1.1
Akceptovať: image/gif, image/x-xbitmap, image/jpeg, obraz/pjpeg, * / *
Accept-Language: en-us
Prijať-Encoding: gzip, defláciu
Agenta používateľa: Mozilla/4.0 (zlučiteľné; MSIE 6.0; Windows NT 5.1)
Hosť: www.kerberos.com
Pripojenie: Keep-Alive
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Keď IIS server prijme túto požiadavku, IIS server komunikuje s radičom domény na dokončenie požiadavka na overenie. Ak sa potvrdí požiadavka na overenie klienta, IIS pošle odpoveď, podobná nasledovnej:

HTTP: Kód stavu odpoveď HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Dôvod: OK
Server: Microsoft-IIS/6.0
X-napájaný-Autor: ASP.NET
ContentLength: 19
ContentType: text/html
Cache-control: súkromné

Poznámka Podrobné kroky ako sa uskutočňuje overovanie NTLM tu nie je zahrnutá. Ďalšie informácie o fungovaní overenie pomocou štandardu NTLM, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://msdn.Microsoft.com/en-us/library/bb643328.aspx
Po IIS odošle túto odpoveď, IIS píše tieto súvisiace položky do denníka IIS:

<Date> <Time>W3SVC<ID> <serverIP> dostať /time.asp - 80 doména\používateľ <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

ODKAZY

Pre ďalšie informácie ako IIS overuje browser klienti získate po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
264921Ako IIS overuje browser klienti
Pre ďalšie informácie ako problémov súvisiacich s Kerberos v službe IIS, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
326985Riešenie problémov súvisiacich s Kerberos v službe IIS
Pre ďalšie informácie ako upraviť vlastnosť AuthPersistence metabázy na kontrolu overovania, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
318863Ako zmeniť vlastnosť AuthPersistence metabázy na kontroly overenia
Ďalšie informácie slow performance problém, ktorý sa vyskytuje, keď používate overovanie integrovaného systému Windows IIS 6.0, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
917557FIX: Môže vyskytnúť pomalý výkon pri použití overovanie integrovaného systému Windows spolu s overovacím protokolom Kerberos v IIS 6.0
Ďalšie informácie o Microsoft NTLM, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://msdn.Microsoft.com/en-us/library/bb643328.aspx
Ďalšie informácie o programe Microsoft Kerberos, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
.aspx http://msdn.Microsoft.com/en-us/library/aa378747 (VS.85)
Ďalšie informácie o overovanie IIS integrovaného systému Windows, navštívte nasledujúcu webovú lokalitu spoločnosti Microsoft:
http://technet2.Microsoft.com/WindowsServer/en/library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=true
Ďalšie informácie o vlastnosť NTAuthenticationProviders metabázy v IIS 6.0, navštívte nasledovnú webovú lokalitu spoločnosti Microsoft:
http://www.Microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
Ďalšie informácie o <windowsAuthentication>vlastníctva konfigurácie v službe IIS 7.0, navštívte nasledovnú webovú lokalitu:</windowsAuthentication>
http://www.IIS.net/ConfigReference/System.webserver/Security/Authentication/windowsAuthentication

Vlastnosti

ID článku: 969060 - Posledná kontrola: 6. júla 2012 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Kľúčové slová: 
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 969060

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com