Tümleşik Windows kimlik doğrulaması için IIS günlüğe kaydetme

Makale çevirileri Makale çevirileri
Makale numarası: 969060 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

Tümleşik Windows kimlik doğrulama yapılandırıldığında, bir http istemcisi ve Internet Information Services (IIS) sunucu arasında istek ve yanıt iletişim anlatılmaktadır. Bu makalede ayrıca IIS bu kimlik doğrulama işlemi IIS günlüklerine kaydeder yolu göstermektedir.

Daha fazla bilgi

Tümleşik Windows kimlik doğrulaması, Kerberos v5 kimlik doğrulamasını ve ntlm kimlik doğrulaması kullanır. Kerberos kullanıcı kimliği veya ana bilgisayar kimliğini doğrulamak için kullanılan endüstri standardında kimlik doğrulama protokolüdür. Active Directory, Windows 2000 Server, Windows Server 2003 veya Windows Server 2008 çalıştıran bir etki alanı denetleyicisinde yüklü olan ve Kerberos v5 kimlik doğrulama protokolü istemci Web tarayıcısına destekliyorsa, Kerberos v5 kimlik doğrulaması istemci ve IIS sunucusunu kullanın. Aksi durumda, istemci ve IIS sunucusuna ntlm kimlik doğrulaması kullanın.

Not Tümleşik Windows kimlik doğrulaması hakkında ayrıntılı bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet2.microsoft.com/windowsserver/en/library/80c79abb-348d-467a-92FE-825e696be3351033.mspx?mfr=true
IIS'de Kerberos kimlik doğrulaması ve IIS günlüklerini ntlm günlük dosyalarını hangi iletişim kuralını kullanıldığına bağlı olarak, farklı yoludur.

Her ikisi de Kerberos protokolünü destekleyen ve Kerberos kullanmak üzere yapılandırılmış IIS IIS sunucusu ve Web yapar http istemci isteği, istemci isteği ve sunucu yanıt için IIS günlüğüne aşağıdakine benzer günlük girdileri görüntülenir:

# Yazılım: Microsoft Internet Information Services 6.0
# Sürüm: 1.0 # Tarih: 2009-01-01 02: 48: 20
# Alanları: zaman s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username-c-IP cs(User-Agent) sc-status sc-alt durumu sc-win32-status tarih
2009-01-01 02: 48: 20 W3SVC1 <serverIP>get / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>alın / - 80 etki alanı\kullanıcı <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

IIS sunucusunda veya http istemcisi Kerberos protokolünü desteklemiyorsa veya IIS sunucusu yalnızca ntlm kullanacak şekilde yapılandırılmışsa, istemci isteği ve sunucu yanıt için IIS günlüğüne günlük girdilerini aşağıdaki türleri görüntülenir:

# Yazılım: Microsoft Internet Information Services 6.0
# Sürüm: 1.0
# Tarih: 2009-01-05 02: 29: 47
# Alanları: zaman s-sitename s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username-c-IP cs(User-Agent) sc-status sc-alt durumu sc-win32-status tarih
2009-01-01 02: 29: 47 W3SVC1 <serverIP>get / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 <serverIP>get / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>alın / - 80 etki alanı\kullanıcı <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Tümleşik Windows kimlik doğrulaması

IIS, Negotiate protocol, ntlm iletişim kuralı veya her ikisi'ni destekleyecek biçimde yapılandırılabilir. IIS 6.0 ve önceki sürümleri, bu NTAuthenticationProviders metatabanı anahtarını yapılandırarak gerçekleştirilir. IIS 7. 0'da, bu uygun ayarlayarak yapılır <Provider></Provider> öğesinin altında <windowsAuthentication></windowsAuthentication> öğesi ApplicationHost.config dosyasında veya web.config dosyası.

Yapılandırma Windows ile tümleşik kimlik doğrulaması IIS 6.0 ve önceki sürümleri hakkında hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
215383Ağ kimlik doğrulaması için Kerberos protokolünü ve ntlm iletişim kuralını desteklemek üzere IIS'yi yapılandırmak için
IIS 7. 0'da, Windows tümleşik kimlik doğrulamasını yapılandırma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/cc754628.aspx

Kerberos kimlik doğrulaması

Aşağıdaki iki senaryo tabanlı verilebilir. Bu senaryoda, IIS Anlaşma Protokolü ve ntlm iletişim kuralını destekleyecek şekilde yapılandırılır. İkinci senaryoda, yalnızca Negotiate iletişim kuralı desteklenmiyor.

Senaryo 1 – Anlaşma Protokolü ve ntlm protokolü

Bu örnekte, IIS, Anlaşma Protokolü ve ntlm iletişim kuralını destekleyecek şekilde yapılandırılır. IIS 6.0 ve önceki sürümleri, bu "Negotiate, ntlm" NTAuthenticationProviders metatabanı anahtarı ayarlayarak yapılır. IIS 7.0 ve sonraki sürümlerinde, Negotiate protocol ve ntlm protokolü sağlayıcıları kısmında yer alan <windowsAuthentication>olarak listeleniyor olması gerekir.

Not Aşağıdaki örneklerde, istek üstbilgisi ve yanıt üstbilgisi Microsoft Ağ İzleyicisi 3.2 aracını kullanarak yakalanır. Ağ İzleyicisi'ni aracın en son sürümünü karşıdan yüklemek için aşağıdaki Web sitesini ziyaret edin:</windowsAuthentication>
http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=4865
Microsoft Internet Explorer bir istekte bulunduğunda, Internet Explorer her zaman ilk isteği yeni bir bağlantı anonim olarak düşünür. Bu nedenle, Internet Explorer isteğin bir parçası herhangi bir kimlik bilgisi göndermiyor. Internet Explorer bir kaynak için ilk istek gönderir istek üstbilgilerini örneği aşağıdadır:

http: İstek, get /
Komut: Al
ProtocolVersion: http/1.1
Kabul: görüntü/gif, resim/x-xbitmap, image/jpeg, görüntü/pjpeg * / *
Kabul-dil: tr-ABD
Kabul-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows nt 5.1)
HOST: www.kerberos.com
Bağlantısı: Canlı tutma

IIS sunucusunun adsız kimlik doğrulamasını destekleyecek şekilde yapılandırılmamışsa, IIS sunucusunun istemci istemci yetkisiz olduğunu söyleyen bir 401.2 durumu döndürür. Hata durumu ile birlikte sunucu, sunucunun desteklediği kimlik doğrulama protokolleri listesi gönderir. Bu senaryoda IIS verir yanıt üstbilgilerini aşağıdakine benzer:

http: http/1.1 yanıt durum kodu 401 =
ProtocolVersion: http/1.1
StatusCode: Yetkisiz 401
Neden: yetkisiz
ContentLength: 1656
ContentType: metin/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: anlaş
WWWAuthenticate: ntlm

Sonra IIS sunucu bu yanıtı gönderir IIS aşağıdaki ilişkili girdiyi IIS günlük dosyasına yazar:

<Date> <Time>W3SVC<ID> <serverIP> alın / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Not Win32 durumu "2148074254" (-2146893042 da tanımlanan / 0x8009030E / SEC_E_NO_CREDENTIALS) "kimlik bilgileri olmayan güvenlik paketinde kullanılabilir." anlamına gelir. Diğer bir deyişle, istemci kimlik bilgilerini gönderdiği değil.

İstemci IIS sunucusundan 401.2 yanıtı aldıktan sonra istemci IIS anonim kimlik doğrulaması yerine tümleşik Windows kimlik doğrulaması kullanacak şekilde yapılandırılmış olduğunu anlar. Bu nedenle, istemcinin isteğinde uygun kimlik bilgilerini sağlamanız gerekir.

İstemci daha sonra aşağıdakine benzer bir istekte:

http: İstek, get /
Komut: Al
URI: /
ProtocolVersion: http/1.1
Kabul: görüntü/gif, resim/x-xbitmap, image/jpeg, görüntü/pjpeg * / *
Kabul-dil: tr-ABD
Kabul-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows nt 5.1)
HOST: www.kerberos.com
Bağlantısı: Canlı tutma
Yetkilendirme: anlaş
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Not Bu makalede, Kerberos kimlik doğrulamada bilet: anlaşma üstbilgi kesiliyor.

IIS sunucusu isteği alır. IIS sunucusunu yetkilendirme ekleyerek istemci kimlik doğrulama bilgilerini eklemiştir görür: üstbilgi ve değer görüşürler. İstemci geçerli kimlik bilgileri gönderirse kimlik doğrulama başarılı olur. IIS daha sonra aşağıdaki yanıtı gönderir:

http: http/1.1 yanıt durum kodu 200 =
ProtocolVersion: http/1.1
StatusCode: 200, Tamam
Neden: Tamam
Tarih: xxx, <Date> <Time>gmt
Server: Microsoft-IIS/6.0
ContentLength: 19
ContentType: metin/html
WWWAuthenticate: anlaşma =</Time> </Date>

Not Kerberos kimlik doğrulaması gerçekleşmeden nasıl, ayrıntılı adımlar dahil edilmediği burada. Kerberos kimlik doğrulaması nasıl çalıştığı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/cc758557.aspx
IIS, IIS günlüğüne aşağıdaki girdiyi sonra Yazar:

<Date> <Time>W3SVC<ID> <serverIP> Al /time.asp - 80 etki alanı\kullanıcı <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Senaryo 2 - iletişim kuralı üzerinde anlaş

IIS yalnızca Negotiate protocol ve ntlm protokolü yerine anlaşma protokolünü desteklemek üzere yapılandırıldığı senaryosunda, istek ve yanıt akışının aynıdır. Günlük IIS günlüğüne de aynıdır. IIS anonim için tarayıcıdan istekte ilk yanıt fark vardır. Bu durumda, IIS yalnızca Negotiate üstbilgisi gönderir:

http: Yanıtı, http/1.1
Durum kodu 401 =
ProtocolVersion: http/1.1
StatusCode: Yetkisiz 401
Neden: yetkisiz
ContentLength: 1656
ContentType: metin/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: anlaş

nltm kimlik doğrulaması

Aşağıda IIS yalnızca ntlm iletişim kuralını destekleyecek şekilde yapılandırıldığı Senaryo tabanlı bir örnek yer almaktadır. IIS 6.0 ve önceki sürümleri, bu ayarla "ntlm" NTAuthenticationProviders metatabanı anahtarı sağlayarak yapılır. IIS 7.0 ve sonraki sürümleri, yalnızca ntlm protokolü <windowsAuthentication>bölümünde sağlayıcısı olarak listeleniyor olması gerekir.

Yine, Internet Explorer ilk isteği yeni bir bağlantı üzerinde herhangi bir kimlik doğrulama bilgilerini kapsamaz:</windowsAuthentication>

http: İstek, get /
Komut: Al ProtocolVersion: http/1.1
Kabul: görüntü/gif, resim/x-xbitmap, image/jpeg, görüntü/pjpeg * / *
Kabul-dil: tr-ABD
Kabul-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows nt 5.1)
HOST: www.kerberos.com
Bağlantısı: Canlı tutma

IIS sunucusunun adsız kimlik doğrulamasını destekleyecek şekilde yapılandırılmamışsa, sunucu istemci istemci yetkisiz olduğunu söyleyen bir 401.2 durumu döndürür. Hata durumu ile birlikte sunucu, sunucunun desteklediği kimlik doğrulama protokolleri listesi gönderir. Bu yalnızca ntlm senaryoda IIS verir yanıt üstbilgilerini aşağıdakine benzer:

http: http/1.1 yanıt durum kodu 401 =
ProtocolVersion: http/1.1
StatusCode: Yetkisiz 401
Neden: yetkisiz
ContentLength: 1656
ContentType: metin/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: ntlm

IIS, IIS günlüğüne aşağıdakine benzer bir girdi sonra Yazar:

<Date> <Time>W3SVC<ID> <serverIP> alın / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

İstemci sunucu ntlm iletişim kuralını destekleyen sunucunun bildirim aldığında, istemci isteği re-sends. İstemci kimlik doğrulama bilgilerini bir Yetkilendirme üstbilgisi içerir:

http: İstek, get /
Komut: Al
URI: /
ProtocolVersion: http/1.1
Kabul: görüntü/gif, resim/x-xbitmap, image/jpeg, görüntü/pjpeg * / *
Kabul-dil: tr-ABD
Kabul-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows nt 5.1)
HOST: www.kerberos.com
Bağlantısı: Canlı tutma
Yetkilendirme: ntlm TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

ntlm el sıkışmasının bir parçası olarak, sunucu istemcinin kimlik doğrulama bilgilerini gönderdiği önceki içindeki onaylar. Ancak, sunucu istemci daha fazla bilgi göndermeniz gerekiyor. Bu nedenle, sunucu aşağıdakine benzer başka bir 401 yanıt verir:

http: http/1.1 yanıt durum kodu 401 =
ProtocolVersion: http/1.1
StatusCode: Yetkisiz 401
Neden: yetkisiz
ContentLength: 1539
ContentType: metin/html
Server: Microsoft-IIS/6.0
NTLMAuthorization: ntlm
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS, IIS günlüğünde aşağıdakine benzer bir girdi sonra Yazar:

<Date> <Time>W3SVC<ID> <serverIP> alın / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

IIS gönderir 401.1 durumu istemci istemci geçerli kimlik doğrulama bilgileri geri kalanı sağlaması gerektiğini söyler. İstemci bu Çekişme alır. İstemci daha sonra aşağıdakine benzer bir daha fazla istek gönderir:

http: İstek, get /
Komut: Al
URI: /
ProtocolVersion: http/1.1
Kabul: görüntü/gif, resim/x-xbitmap, image/jpeg, görüntü/pjpeg * / *
Kabul-dil: tr-ABD
Kabul-Encoding: gzip, deflate
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows nt 5.1)
HOST: www.kerberos.com
Bağlantısı: Canlı tutma
NTLMAuthorization: ntlm
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/m

IIS sunucusu bu isteği aldığında, IIS sunucusu kimlik doğrulama isteği tamamlamak için etki alanı denetleyicisi ile iletişim kurar. IIS, istemcinin kimlik doğrulama isteğini teyit edildiğinde, aşağıdakine benzer bir yanıt gönderir:

http: http/1.1 yanıt durum kodu 200 =
ProtocolVersion: http/1.1
StatusCode: 200, Tamam
Neden: Tamam
Server: Microsoft-IIS/6.0
X-Powered-tarafından: ASP.
ContentLength: 19
ContentType: metin/html
Cache-control: özel

Not Nasıl ntlm kimlik doğrulaması gerçekleşmeden, ayrıntılı adımlar dahil edilmediği burada. ntlm kimlik doğrulaması nasıl çalıştığı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
IIS bu yanıtı gönderdikten sonra IIS IIS günlüğüne aşağıdaki ilişkili girdiyi Yazar:

<Date> <Time>W3SVC<ID> <serverIP> Al /time.asp - 80 etki alanı\kullanıcı <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Referanslar

Hakkında daha fazla bilgi için IIS tarayıcı istemcilerinin kimliğini nasıl doğrular, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
264921IIS tarayıcı istemcilerinin kimliğini nasıl doğrular
Daha fazla bilgi için nasıl IIS'de Kerberos ile ilgili sorunları gidermek için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
326985IIS'de Kerberos ile ilgili sorunları nasıl giderilir
Daha fazla bilgi için nasıl kimlik doğrulamayı denetlemek için AuthPersistence metatabanı özelliğini değiştirmek için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
318863Kimlik doğrulamayı denetlemek için AuthPersistence metatabanı özelliği değiştirme
IIS 6. 0'da, tümleşik Windows kimlik doğrulaması'nı kullandığınızda oluşan bir performans sorunu hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
917557Düzeltme: IIS 6. 0 ' tümleşik Windows kimlik doğrulaması Kerberos kimlik doğrulama protokolü ile birlikte kullanırken düşük performansla karşılaşabilirsiniz
Microsoft ntlm hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn.microsoft.com/en-us/library/bb643328.aspx
Microsoft Kerberos hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn.microsoft.com/en-us/library/aa378747 (vs.85) .aspx
IIS ile tümleşik Windows kimlik doğrulaması hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet2.microsoft.com/windowsserver/en/library/80c79abb-348d-467a-92FE-825e696be3351033.mspx?mfr=true
IIS 6. 0'NTAuthenticationProviders metatabanı özelliği hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=true
Hakkında daha fazla bilgi için <windowsAuthentication>Yapılandırma özelliğini IIS 7. 0'da, aşağıdaki Web sitesini ziyaret edin:</windowsAuthentication>
http://www.iis.NET/ConfigReference/System.webServer/security/authentication/windowsAuthentication

Özellikler

Makale numarası: 969060 - Last Review: 6 Temmuz 2012 Cuma - Gözden geçirme: 1.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Anahtar Kelimeler: 
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 969060

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com