تسجيل IIS لمصادقة Windows المتكاملة

مقدمة

تتناول هذه المقالة طلب واستجابة لالاتصال بين عميل HTTP وخادم خدمات معلومات إنترنت (IIS) عندما يتم تكوين مصادقة Windows المتكاملة. توضح هذه المقالة أيضا طريقة تسجيل IIS هذا عملية المصادقة في سجلات IIS.

مزيد من المعلومات

يستخدم مصادقة Windows المتكاملة مصادقة NTLM ومصادقة Kerberos v5. Kerberos هو بروتوكول مصادقة الصناعة القياسية المستخدمة للتحقق من هوية مستخدم أو هوية المضيف. إذا تم تثبيت "خدمة active Directory" على وحدة تحكم مجال يعمل على Windows 2000 Server أو Windows Server 2003 أو Windows Server 2008، ويدعم مستعرض ويب العميل بروتوكول المصادقة Kerberos v5، العميل والخادم IIS استخدام مصادقة Kerberos v5. وإلا، العميل والخادم IIS استخدام مصادقة NTLM.

ملاحظة: للحصول على معلومات مفصلة حول مصادقة Windows المتكاملة، قم بزيارة موقع Microsoft التالي على الويب:طريقة سجلات IIS NTLM ومصادقة Kerberos في IIS تسجيل ملفات مختلفة، اعتماداً على ما هو بروتوكول يستخدم.

إذا كان خادم IIS وعميل HTTP الذي يجعل طلب ويب كل من يدعم بروتوكول Kerberos، وتم تكوين IIS لاستخدام Kerberos، تظهر إدخالات السجل مشابهة لما يلي في IIS تسجيل للعميل والملقم طلب الاستجابة: إذا كان ملقم IIS أو لا يعتمد عميل HTTP بروتوكول Kerberos، أو إذا تم تكوين ملقم IIS لاستخدام NTLM فقط ، تظهر الأنواع التالية من إدخالات السجل في سجل IIS استجابة الخادم وطلب العميل:

مصادقة Windows المتكاملة

يمكن تكوين IIS لدعم بروتوكول تفاوض بروتوكول NTLM أو كليهما. في IIS 6.0 والإصدارات السابقة، يتم ذلك عن طريق تكوين مفتاح قاعدة التعريف نتاوثينتيكاتيونبروفيديرس. في IIS 7.0، يتم ذلك عن طريق تعيين العنصر < موفر > المناسبة ضمن العنصر < ويندووسوثينتيكيشن > في ملف ApplicationHost.config أو في ملف web.config.

لمزيد من المعلومات حول كيفية تكوين Windows المتكاملة المصادقة في IIS 6.0 والإصدارات السابقة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

كيفية تكوين IIS لدعم كل من بروتوكول Kerberos وبروتوكول NTLM لمصادقة الشبكة 215383

لمزيد من المعلومات حول كيفية تكوين مصادقة Windows المتكاملة في IIS 7.0، قم بزيارة موقع Microsoft التالي على الويب:

مصادقة Kerberos

فيما يلي مثالين على أساس السيناريو. في السيناريو الأول، يتم تكوين IIS لدعم كل من بروتوكول مفاوضة وبروتوكول NTLM. وفي السيناريو الثاني، يتم اعتماد بروتوكول مفاوضة.

السيناريو 1 – بروتوكول مفاوضة وبروتوكول NTLM

في هذا المثال، يتم تكوين IIS لدعم كل من بروتوكول مفاوضة وبروتوكول NTLM. في IIS 6.0 والإصدارات السابقة، يتم ذلك عن طريق تعيين مفتاح قاعدة تعريف نتاوثينتيكاتيونبروفيديرس "تفاوض، NTLM". في IIS 7.0 والإصدارات الأحدث، يجب سرد كل من بروتوكول مفاوضة وبروتوكول NTLM كمقدم في القسم < ويندووساوثينتيكيشن >.

ملاحظة: في الأمثلة التالية، يتم التقاط عنوان الطلب ورأس الاستجابة باستخدام أداة 3.2 مراقب شبكة الاتصال ل Microsoft. لتنزيل أحدث إصدار "الأداة مراقب شبكة الاتصال"، قم بزيارة موقع ويب التالي:عندما يقوم Microsoft Internet Explorer طلب، يعتبر Internet Explorer دوماً أول طلب اتصال جديد اسمه. لذلك، Internet Explorer لا يرسل أية بيانات اعتماد كجزء من الطلب. المثال التالي هو مثال لرؤوس الطلب التي ترسل Internet Explorer في أول طلب لموارد: إذا كان ملقم IIS غير مكون لدعم المصادقة المجهولة، ملقم IIS إرجاع حالة 401.2 شأنه العميل العميل غير مخول. جنبا إلى جنب مع حالة الخطأ، يرسل الملقم أيضا قائمة بروتوكولات مصادقة الملقم. رؤوس الاستجابة التي تقوم بإرجاع IIS في هذا السيناريو ما يلي: ملقم IIS بعد إرسال هذه الاستجابة، IIS بكتابة إدخال إلى سجل IIS المنتسبة التالية: ملاحظة حالة win32 "2148074254" (المعروف أيضا-2146893042/0x8009030E/SEC_E_NO_CREDENTIALS) يعني "لا تتوفر بيانات اعتماد في حزمة الأمان." وبعبارة أخرى، لم ترسل العميل أية بيانات اعتماد.

بعد تلقي العميل 401.2 استجابة من ملقم IIS، يفهم العميل تكوين IIS لاستخدام مصادقة Windows المدمجة عوضاً عن المصادقة المجهولة. ولذلك، يجب توفير العميل معلومات المصادقة المناسبة في طلبها.

العميل ثم طلبا مشابهاً لما يلي:ملاحظة في هذه المقالة، تذكرة Kerberos في التخويل: التفاوض تم قطع رأس.



خادم IIS باستلام الطلب. ملقم IIS الذي يرى أن العميل قد أدرج معلومات المصادقة عن طريق إضافة الإذن: التفاوض على الرأس وقيمة. إذا قام العميل بإرسال معلومات بيانات اعتماد صحيحة، يتم المصادقة الناجحة. IIS ثم يرسل الرد التالي:ملاحظة خطوات تفصيلية لكيفية حدوث مصادقة Kerberos غير المدرجة هنا. لمزيد من المعلومات حول كيفية عمل مصادقة Kerberos، قم بزيارة موقع Microsoft التالي على الويب:IIS ثم تقوم بكتابة الإدخال التالي إلى سجل IIS:

السيناريو 2-التفاوض بشأن بروتوكول

في السيناريو تكوين IIS لدعم بروتوكول التفاوض بدلاً من كل من بروتوكول مفاوضة وبروتوكول NTLM، تدفق طلب واستجابة لهو نفسه. التسجيل في سجل IIS هو أيضا نفسه. الفرق في الاستجابة الأولية يجعل IIS المجهول طلب من المستعرض. في هذه الحالة، يرسل IIS رأس التفاوض فقط:

مصادقة NLTM

التالي هو مثال على أساس السيناريو تكوين IIS لدعم بروتوكول NTLM فقط. في IIS 6.0 والإصدارات السابقة، يتم ذلك بجعل مفتاح قاعدة تعريف نتاوثينتيكاتيونبروفيديرس تعيين إلى "NTLM". في IIS 7.0 والإصدارات الأحدث، يجب سرد بروتوكول NTLM فقط كمقدم في القسم < ويندووسوثينتيكيشن >.

مرة أخرى، أن Internet Explorer لا يتضمن أية معلومات المصادقة في الطلب الأول على اتصال جديد:
إذا لم يتم تكوين ملقم IIS لدعم المصادقة المجهولة، الملقم بإرجاع حالة 401.2 إعلام العميل العميل غير المصرح به. جنبا إلى جنب مع حالة الخطأ، يرسل الملقم أيضا قائمة بروتوكولات مصادقة الملقم. رؤوس الاستجابة التي تقوم بإرجاع IIS في هذا السيناريو NTLM فقط مشابهة لما يلي: IIS ثم كتابة إدخال مشابهاً لما يلي في سجل IIS: عندما يتلقى العميل الإعلام الملقم أن يعتمد الملقم بروتوكول NTLM، يرسل العميل إعادة الطلب. العميل يتضمن معلومات المصادقة في عنوان تخويل: كجزء من عملية تبادل الإشارات NTLM، الملقم يعترف بأنه قد قام العميل بإرسال معلومات المصادقة. ومع ذلك، يحتاج الملقم العميل لإرسال مزيد من المعلومات. لذلك، الملقم بإرجاع استجابة 401 أخرى مشابهة لما يلي: IIS ثم كتابة إدخال في سجل IIS مشابهة لما يلي: حالة 401.1 IIS بإرسال إعلام العميل أن العميل يجب أن توفر ما تبقى معلومات المصادقة صحيحة. تلقي العميل لهذا التحدي. ثم يرسل العميل طلب آخر يشبه ما يلي: عند ملقم IIS الذي يتلقى هذا الطلب، ملقم IIS الذي يتصل بوحدة تحكم مجال لإكمال طلب المصادقة. عندما يتم تأكيد طلب مصادقة العميل، يقوم IIS بإرسال استجابة مشابهة لما يلي:ملاحظة خطوات تفصيلية لكيفية حدوث مصادقة NTLM غير المدرجة هنا. لمزيد من المعلومات حول كيفية عمل مصادقة NTLM، قم بزيارة موقع Microsoft التالي على الويب:بعد IIS بإرسال هذه الاستجابة، IIS بكتابة الإدخال المقترنة التالي إلى سجل IIS:

المراجع

لمزيد من المعلومات حول كيفية يصادق IIS عملاء المستعرض، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

264921 IIS كيفية مصادقة عملاء المستعرض

لمزيد من المعلومات حول كيفية استكشاف المشكلات المتعلقة ب Kerberos في IIS، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

كيفية استكشاف المشكلات المتعلقة ب Kerberos في IIS 326985

لمزيد من المعلومات حول كيفية تعديل خاصية قاعدة التعريف AuthPersistence إلى عنصر تحكم المصادقة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

كيفية تعديل خاصية قاعدة التعريف AuthPersistence لمصادقة التحكم 318863

لمزيد من المعلومات حول مشكلة بطء أداء عند استخدام مصادقة Windows المدمجة في IIS 6.0، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

إصلاح 917557 : قد تواجه بطء الأداء عند استخدام مصادقة Windows المتكاملة مع بروتوكول مصادقة Kerberos في IIS 6.0

لمزيد من المعلومات حول NTLM ل Microsoft، قم بزيارة موقع Microsoft التالي على الويب:
لمزيد من المعلومات حول Kerberos ل Microsoft، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول مصادقة Windows المتكاملة IIS، قم بزيارة موقع Microsoft التالي على الويب:

لمزيد من المعلومات حول خاصية قاعدة التعريف نتاوثينتيكاتيونبروفيديرس في IIS 6.0، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول خاصية التكوين < ويندووسوثينتيكيشن > في IIS 7.0، قم بزيارة موقع ويب التالي:
خصائص

رقم الموضوع: 969060 - آخر مراجعة: 13‏/01‏/2017 - المراجعة: 1

تعليقات