Інтегровані Windows автентифікації IIS ведення журналу

Переклади статей Переклади статей
Номер статті: 969060 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

ВВЕДЕННЯ

У цій статті розглядається запит і відповідь зв'язок "один-до-одного" між HTTP-клієнт і сервер інформаційних служб Інтернету (IIS), коли Windows інтегрована автентифікація настроюється. У цій статті також свідчить про те, що IIS журнали цього процесу автентифікації в IIS журнали.

ДОДАТКОВІ ВІДОМОСТІ

Інтегровані Windows автентифікація використовується Kerberos v5 автентифікації та автентифікації NTLM. Kerberos є протокол стандартних автентифікації, які використовуються для перевірки посвідчення користувача або хост ідентичності. Якщо інсталяції служба Active Directory на контролері домену, що працює під керуванням Windows 2000 Server, Windows Server 2003 або Windows Server 2008, і клієнт браузер підтримує протокол автентифікації Kerberos v5, клієнта і сервера IIS сценарій виконання автентифікації Kerberos v5. В іншому випадку, клієнта і сервера IIS використовувати автентифікацію NTLM.

Примітка Детальна інформація про Windows інтегровану автентифікацію відвідайте веб-сайті Microsoft:
http://technet2.Microsoft.com/WindowsServer/en/library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=True
Спосіб, що IIS журнали NTLM та Kerberos автентифікації в IIS журнали є різним, який протокол використовується.

Якщо IIS-сервер і клієнт HTTP, що робить веб запит обидва підтримку протоколу Kerberos, і IIS налаштовано на сценарій виконання Kerberos, записів журналу, що бути такими з'являються у журналі IIS для клієнта запит і сервер відповідь:

# Програмного забезпечення: Microsoft Internet Information Services 6.0
# Версія: 1.0 # Дата: 2009-01-01 02: 48: 20
# Поля: Дата Вільний час s-sitename s ip cs метод cs-uri стовбурові cs-uri запит на змінення s порт cs-ім'я користувача c ip cs(User-Agent) sc статус sc-підпорядкованого стану sc-win32-статус
2009-01-01 02: 48: 20 W3SVC1 <serverIP>отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>отримати / - 80 домен <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

Якщо IIS-сервер або клієнт HTTP не підтримує протоколу Kerberos, або використовувати тільки NTLM сервера IIS, такі типи записів журналу відображаються в журналі IIS для клієнта запит і сервер відповідь:

# Програмного забезпечення: Microsoft Internet Information Services 6.0
# Версія: 1.0
# Дата: 2009-01-05 02: 29: 47
# Поля: Дата Вільний час s-sitename s ip cs метод cs-uri стовбурові cs-uri запит на змінення s порт cs-ім'я користувача c ip cs(User-Agent) sc статус sc-підпорядкованого стану sc-win32-статус
2009-01-01 02: 29: 47 W3SVC1 <serverIP>отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 <serverIP>отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>отримати / - 80 домен <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Windows інтегровану автентифікацію

IIS може бути налаштований для підтримки протоколу узгоджувати, протоколу NTLM або обох. В IIS 6.0 і в попередніх версіях робиться це за допомогою настроювання ключа метабази NTAuthenticationProviders. В IIS 7.0, це робиться шляхом створення відповідної <Provider></Provider> елемента під на <windowsAuthentication></windowsAuthentication> елементом у файл ApplicationHost або у файлі web. config.

Отримати більше як налаштувати Windows інтегровані автентифікації в IIS 6.0 і в попередніх версіях, клацніть номер статті в базі знань Microsoft Knowledge Base:
215383Налаштування служб IIS для підтримки протоколів Kerberos та NTLM з метою автентифікації в мережі
Щоб отримати додаткові відомості про настроювання Windows інтегрованої автентифікації в IIS 7.0 відвідайте такий веб-сайт корпорації Майкрософт:
http://TechNet.Microsoft.com/EN-US/Library/cc754628.aspx

Автентифікації Kerberos

Нижче наведено приклади двох на основі сценарію. За першим сценарієм IIS налаштовані на підтримку узгоджувати протоколу і протоколу NTLM. За другим сценарієм тільки узгоджувати протокол підтримується.

Сценарій 1-узгоджувати протоколу і протоколу NTLM

У цьому прикладі IIS налаштовані на підтримку узгоджувати протоколу і протоколу NTLM. В IIS 6.0 і в попередніх версіях це робиться шляхом автоматична інсталяція NTAuthenticationProviders метабази ключ до "Узгодження, NTLM". В IIS 7.0 та пізнішої версії узгоджувати протоколу і протоколу NTLM повинні бути перераховані як постачальники у розділі <windowsAuthentication>.

Примітка У наведених прикладах заголовка запит на змінення і відповідь заголовок захопили за допомогою засобу Microsoft мережний монітор 3.2. Завантажити останню версію засобу монітор мережі, відвідайте такий веб-сайт:</windowsAuthentication>
http://www.Microsoft.com/EN-US/Download/Details.aspx?displaylang=EN&ID=4865
Коли Microsoft Internet Explorer робить запит, Internet Explorer завжди вважає перший запит нове підключення бути анонімним. Таким чином, Internet Explorer не надсилати будь-які облікові дані як частина запит на змінення. Нижче наведено приклад запит заголовки, які Internet Explorer передає в першу прохання для ресурсу:

HTTP: Запит, отримайте /
Команда: отримати
ProtocolVersion: HTTP/1.1
Прийняти: зображення/gif, зображення/x-xbitmap, зображення/jpeg, зображення/pjpeg, * / *
Прийняти мови: uk-нас
Прийняти кодування: gzip, deflate
UserAgent: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
З'єднання: Keep-Alive

Якщо сервера IIS не настроєно на підтримку анонімної автентифікації, сервера IIS повертає 401.2 статус, який розповідає клієнта, що клієнт не пройшов перевірку. Разом з помилка статус надсилаються список автентифікації протоколи, які підтримуються сервером. Заголовках відповіді, який IIS повертає цей сценарій мати такий вигляд:

HTTP: Код стану відповідь HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, несанкціоноване
Причина: несанкціоноване
ContentLength: 1656
ContentType: тексту/html
Сервер: Microsoft IIS/6.0
WWWAuthenticate: переговори
WWWAuthenticate: NTLM

Після IIS сервер надсилає цей відповідь, IIS пише такий пов'язаний запис А до IIS журналу:

<Date> <Time>W3SVC<ID> <serverIP> отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Примітка Win32 статус "2148074254" (також визначається як-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) означає, що "немає облікові дані недоступні у пакет безпеки". Іншими словами, клієнт не надсилаються будь-якого облікові дані.

Після того, як клієнт отримує 401.2 відповідь від сервера IIS, клієнт розуміє, що IIS налаштовано на сценарій виконання Windows інтегровану автентифікацію замість анонімної автентифікації. Таким чином, клієнт повинен надати відповідні облікові дані в його прохання.

Клієнт потім робить запит, приблизно такого вигляду:

HTTP: Запит, отримайте /
Команда: отримати
URI: /
ProtocolVersion: HTTP/1.1
Прийняти: зображення/gif, зображення/x-xbitmap, зображення/jpeg, зображення/pjpeg, * / *
Прийняти мови: uk-нас
Прийняти кодування: gzip, deflate
UserAgent: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
З'єднання: Keep-Alive
Авторизації: переговори
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Примітка У цій статті, у Kerberos квитків в авторизації: вести переговори скорочено заголовка.

IIS-сервер отримує запит. Сервера IIS бачить, що клієнт включив облікові дані, додавши авторизацію: домовитися про заголовок і значення. Якщо клієнт послав дійсний облікових відомостей, аутентифікації є успішним. IIS надсилає таку відповідь:

HTTP: Код стану відповідь HTTP/1.1 = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, Ok
Причина: OK
Дата: xxx, <Date> <Time>GMT
Сервер: Microsoft IIS/6.0
ContentLength: 19
ContentType: тексту/html
WWWAuthenticate: Домовитися про =</Time> </Date>

Примітка Докладні інструкції про те, як автентифікації Kerberos приймає місце не включено тут. Щоб отримати додаткові відомості про те, як працює автентифікації Kerberos відвідайте веб-сайті Microsoft:
http://TechNet.Microsoft.com/EN-US/Library/cc758557.aspx
IIS потім пише такий запис А до IIS журналу:

<Date> <Time>W3SVC<ID> <serverIP> отримати /time.asp - 80 домен <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Сценарій другий - домовитися про протокол

У сценарії IIS налаштовано на підтримку тільки узгоджувати протокол замість узгоджувати протоколу і протоколу NTLM запит і відповідь потік є те ж саме. Ведення журналу в журналі IIS є також. Різниця полягає в початковий відповідь, що IIS робить анонімний запит з браузера. У цьому випадку, IIS надсилає лише узгоджувати заголовка:

HTTP: Відповідь, HTTP/1.1,
Код стану = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, несанкціоноване
Причина: несанкціоноване
ContentLength: 1656
ContentType: тексту/html
Сервер: Microsoft IIS/6.0
WWWAuthenticate: переговори

NLTM Перевірка автентичності

Нижче наведено сценарії засновані приклад IIS налаштовано на підтримку тільки протоколу NTLM. В IIS 6.0 і в попередніх версіях робиться це за наявності ключа метабази NTAuthenticationProviders, встановити "NTLM". В IIS 7.0 та пізнішої версії тільки протоколу NTLM, повинні бути перераховані як постачальник послуг оренди застосунків у розділі <windowsAuthentication>.

Знову ж таки Internet Explorer не включає будь-які облікові дані в першу прохання на нове підключення:</windowsAuthentication>

HTTP: Запит, отримайте /
Команда: отримати ProtocolVersion: HTTP/1.1
Прийняти: зображення/gif, зображення/x-xbitmap, зображення/jpeg, зображення/pjpeg, * / *
Прийняти мови: uk-нас
Прийняти кодування: gzip, deflate
UserAgent: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
З'єднання: Keep-Alive

Якщо сервера IIS не настроєно на підтримку анонімної автентифікації, сервер повертає 401.2 статус, який розповідає клієнта, що клієнт не пройшов перевірку. Разом з помилка статус надсилаються список автентифікації протоколи, які підтримуються сервером. Відповідь заголовки, які IIS повертає у такому NTLM-тільки мати такий вигляд:

HTTP: Код стану відповідь HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, несанкціоноване
Причина: несанкціоноване
ContentLength: 1656
ContentType: тексту/html
Сервер: Microsoft IIS/6.0
WWWAuthenticate: NTLM

IIS потім пише запис А, подібний до IIS журналу:

<Date> <Time>W3SVC<ID> <serverIP> отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Коли клієнт отримує сповіщень сервера, що підтримуються сервером протоколу NTLM, клієнт re-sends запит. Клієнт включає облікові відомості в заголовку протокол IMAP авторизації:

HTTP: Запит, отримайте /
Команда: отримати
URI: /
ProtocolVersion: HTTP/1.1
Прийняти: зображення/gif, зображення/x-xbitmap, зображення/jpeg, зображення/pjpeg, * / *
Прийняти мови: uk-нас
Прийняти кодування: gzip, deflate
UserAgent: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
З'єднання: Keep-Alive
Авторизацію: TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE NTLM =

У рамках NTLM рукостискання сервер визнає, що клієнт послав облікові дані. Проте, сервер потребує клієнту відправити більше інформації. Таким чином, сервер повертає ще 401 відповідь, приблизно такого вигляду:

HTTP: Код стану відповідь HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, несанкціоноване
Причина: несанкціоноване
ContentLength: 1539
ContentType: тексту/html
Сервер: Microsoft IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS потім пише запис А журналу IIS, приблизно такого вигляду:

<Date> <Time>W3SVC<ID> <serverIP> отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

401.1 Статус, який посилає IIS розповідає клієнтом, що клієнт має надати на частину, що залишилася дійсні облікові дані. Клієнт отримує цей виклик. Клієнт надсилає одне прохання, приблизно такого вигляду:

HTTP: Запит, отримайте /
Команда: отримати
URI: /
ProtocolVersion: HTTP/1.1
Прийняти: зображення/gif, зображення/x-xbitmap, зображення/jpeg, зображення/pjpeg, * / *
Прийняти мови: uk-нас
Прийняти кодування: gzip, deflate
UserAgent: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
З'єднання: Keep-Alive
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/М

Отримавши це прохання, сервера IIS сервера IIS спілкується з контролером домену, щоб виконати запит автентифікації. Під Вільний час перевірки автентичності клієнта підтвердив, IIS відправляє відповідь, приблизно такого вигляду:

HTTP: Код стану відповідь HTTP/1.1 = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, Ok
Причина: OK
Сервер: Microsoft IIS/6.0
X Powered шляхом: ASP.NET
ContentLength: 19
ContentType: тексту/html
Кеш контроль: Приватна

Примітка Докладні інструкції про те, як місце займає Перевірка автентичності NTLM не включено тут. Щоб отримати додаткові відомості про те, як працює перевірка автентичності NTLM відвідайте веб-сайті Microsoft:
http://MSDN.Microsoft.com/EN-US/Library/bb643328.aspx
Після того, як IIS посилає цю відповідь, IIS пише такий пов'язаний запис А до IIS журналу:

<Date> <Time>W3SVC<ID> <serverIP> отримати /time.asp - 80 домен <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

ПОСИЛАННЯ

Для більш отримати як IIS засвідчує браузер клієнтів, клацніть номер статті в базі знань Microsoft Knowledge Base:
264921Як IIS засвідчує браузер клієнтів
Для більш отримати як виправлення неполадок, пов'язаних з автентифікацією Kerberos, у службі IIS, клацніть номер статті в базі знань Microsoft Knowledge Base:
326985Як виправлення неполадок, пов'язаних з автентифікацією Kerberos, у службі IIS
Для більш отримати як змінити властивість AuthPersistence метабази, для контролю автентифікації, клацніть номер статті в базі знань Microsoft Knowledge Base:
318863Як змінити властивість AuthPersistence метабази, для контролю автентифікації
Отримати більше швидкодії проблема, яка виникає під Вільний час сценарій виконання інтегрованої Windows автентифікації IIS 6.0, клацніть номер статті в базі знань Microsoft Knowledge Base:
917557FIX: Можуть виникнути швидкодії під Вільний час сценарій виконання автентифікації інтегровані Windows разом з протоколу автентифікації Kerberos в IIS 6.0
Щоб отримати додаткові відомості про Microsoft NTLM відвідайте веб-сайті Microsoft:
http://MSDN.Microsoft.com/EN-US/Library/bb643328.aspx
Щоб отримати додаткові відомості про Microsoft Kerberos відвідайте веб-сайті Microsoft:
ASPX http://MSDN.Microsoft.com/EN-US/Library/aa378747 (VS.85)
Щоб отримати додаткові відомості про автентифікації IIS інтегровані Windows відвідайте веб-сайті Microsoft:
http://technet2.Microsoft.com/WindowsServer/en/library/80c79abb-348d-467a-92fe-825e696be3351033.mspx?mfr=True
Щоб отримати додаткові відомості про IIS 6.0, властивостей метабази NTAuthenticationProviders відвідайте веб-сайті Microsoft:
http://www.Microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/ea7cd846-33da-49c9-927f-d4e76d6309ac.mspx?mfr=True
Для отримання додаткових відомостей про на <windowsAuthentication>власність конфігурації служб IIS 7.0, відвідайте такий веб-сайт:</windowsAuthentication>
http://www.IIS.net/ConfigReference/System.webServer/Security/authentication/windowsAuthentication

Властивості

Номер статті: 969060 - Востаннє переглянуто: 6 липня 2012 р. - Редакція: 1.0
ЗАСТОСОВУЄТЬСЯ ДО:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
Ключові слова: 
kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 969060

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com