أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

تسجيل الدخول إلى IIS لمصادقة Windows المتكاملة

هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية

اضغط هنا لرابط المقالة باللغة الانجليزية969060
مقدمة حول
تتناول هذه المقالة الاتصال طلب واستجابة بين عميل HTTP وخادم خدمات معلومات إنترنت (IIS) عند تكوين مصادقة Windows المتكاملة. يوضح هذا المقال أيضا طريقة تسجيل IIS هذا عملية المصادقة في سجلات IIS.
معلومات أخرى
تستخدم مصادقة Windows المتكاملة مصادقة NTLM ومصادقة Kerberos v5. يكون Kerberos هو بروتوكول مصادقة الصناعية المستخدمة للتحقق من هوية مستخدم أو هوية المضيف. إذا كان يتم تثبيت خدمة Active Directory على وحدة تحكم مجال الذي يقوم بتشغيل Windows 2000 Server أو Windows Server 2003 أو Windows Server 2008، ومستعرض ويب العميل يدعم بروتوكول المصادقة Kerberos v5، العميل والملقم IIS استخدام مصادقة Kerberos v5. وإلا، العميل والملقم IIS استخدام مصادقة NTLM.

ملاحظة للحصول على معلومات مفصلة حول مصادقة Windows المتكاملة، قم بزيارة موقع Microsoft التالي على الويب:طريقة أن سجلات IIS NTLM ومصادقة Kerberos في IIS ملفات السجل مختلفة، اعتماداً على ما هو البروتوكول قيد الاستخدام.

إذا كان ملقم IIS والعميل HTTP الذي يجعل الويب طلب يعتمد كل من بروتوكول Kerberos، وتكوين IIS لاستخدام Kerberos، تظهر إدخالات السجل مشابهة لما يلي في سجل IIS استجابة الطلب وخادم العميل:

# برامج: خدمات معلومات إنترنت ل Microsoft 6.0
رقم الإصدار: 1.0تاريخ #: 2009-01-01 02: 48: 20
# الحقول: التاريخ الوقت اسم الموقع s s ip أسلوب cs cs uri وقف cs uri الاستعلام منفذ s cs-اسم المستخدم c ip cs(User-Agent) الحالة sc الحالة الفرعية sc sc--حالة win32
2009-01-01 02: 48: 20 W3SVC1 <serverIP>GET/-80- <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>الحصول على/-80 المجال\المستخدم <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

إذا لم يكن يدعم ملقم IIS أو عميل HTTP بروتوكول Kerberos، أو إذا تم تكوين ملقم IIS لاستخدام NTLM فقط، تظهر الأنواع التالية من إدخالات السجل في سجل IIS استجابة الطلب وخادم العميل:

# برامج: خدمات معلومات إنترنت ل Microsoft 6.0
رقم الإصدار: 1.0
تاريخ #: 2009/01/05 02: 29: 47
# الحقول: التاريخ الوقت اسم الموقع s s ip أسلوب cs cs uri وقف cs uri الاستعلام منفذ s cs-اسم المستخدم c ip cs(User-Agent) الحالة sc الحالة الفرعية sc sc--حالة win32
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET/-80- <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET/-80- <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>الحصول على/-80 المجال\المستخدم <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

مصادقة Windows المتكاملة

يمكنك تكوين IIS لاعتماد بروتوكول مفاوضة وبروتوكول NTLM أو كليهما. في IIS 6.0 والإصدارات السابقة، يتم ذلك عن طريق تكوين مفتاح قاعدة تعريف نتاوثينتيكاتيونبروفيديرس. في IIS 7.0، يتم ذلك عن طريق تعيين المناسبة <Provider></Provider> العنصر ضمن <windowsAuthentication></windowsAuthentication> العنصر في الملف ApplicationHost.config أو في ملف web.config.

لمزيد من المعلومات حول كيفية تكوين Windows المتكاملة المصادقة في IIS 6.0 وفي الإصدارات السابقة، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
215383كيفية تكوين IIS لدعم كل من بروتوكول Kerberos وبروتوكول NTLM لمصادقة الشبكة
لمزيد من المعلومات حول كيفية تكوين مصادقة Windows المتكاملة في IIS 7.0، قم بزيارة موقع Microsoft التالي على الويب:

مصادقة Kerberos

فيما يلي مثالين على أساس السيناريو. في السيناريو الأول، تم تكوين IIS لدعم كل من بروتوكول مفاوضة وبروتوكول NTLM. في السيناريو الثاني، يتم اعتماد بروتوكول مفاوضة فقط.

السيناريو 1 – بروتوكول مفاوضة وبروتوكول NTLM

في هذا المثال، يتم تكوين IIS لدعم كل من بروتوكول مفاوضة وبروتوكول NTLM. في IIS 6.0 والإصدارات السابقة، يتم ذلك عن طريق تعيين مفتاح قاعدة تعريف نتاوثينتيكاتيونبروفيديرس "تفاوض، NTLM". في IIS 7.0 والإصدارات الأحدث، يجب سرد كل من بروتوكول مفاوضة وبروتوكول NTLM الموفرين في المقطع <windowsAuthentication>.

ملاحظة في الأمثلة التالية، يتم التقاط رأس الطلب ورأس استجابة باستخدام أداة Microsoft 3.2 مراقب شبكة الاتصال. لتحميل أحدث إصدار من "أداة مراقبة شبكة الاتصال"، قم بزيارة موقع التالي على الويب:</windowsAuthentication> عندما يقوم برنامج Microsoft Internet Explorer طلب، تعتبر Internet Explorer دوماً أول طلب اتصال جديد لتكون مجهولة المصدر. لذلك، لا يرسل Internet Explorer أية بيانات اعتماد كجزء من الطلب. ما يلي هو مثال لرؤوس الطلب التي ترسل Internet Explorer في الطلب الأول لأحد موارد:

HTTP: طلب, GET/
الأمر: الحصول على
بروتوكولفيرسيون: HTTP/1.1
قبول: صورة/gif، صورة/x-إكسبيتماب، صورة/jpeg، والصورة/بجبيج */*
قبول اللغة: en-الولايات المتحدة
قبول-ترميز: gzip، انكماش
وكيل المستخدم: Mozilla/4.0 (متوافقة؛ MSIE 6.0؛ Windows NT 5.1)
المضيف: www.kerberos.com
اتصال: المحافظة على الحياة

إذا لم يتم تكوين ملقم IIS لدعم المصادقة المجهولة، ملقم IIS إرجاع حالة 401.2 التي تخبر العميل أن يكون العميل غير المصرح به. جنبا إلى جنب مع حالة خطأ، يرسل الملقم قائمة بروتوكولات المصادقة التي معتمداً من الخادم. رؤوس الاستجابة التي تقوم بإرجاع IIS في هذا السيناريو لما يلي:

HTTP: رمز حالة استجابة، HTTP/1.1 = 401
بروتوكولفيرسيون: HTTP/1.1
StatusCode: 401 غير مصرح به
السبب: غير مصرح به
كونتينتلينجث: 1656
نوع المحتوى: نص/html
ملقم: Microsoft-IIS 6.0/
ووووثينتيكاتي: التفاوض
ووووثينتيكاتي: NTLM

بعد IIS الملقم بإرسال هذه الاستجابة IIS بكتابة الإدخال المقترنة التالي إلى سجل IIS:

<Date> <Time>W3SVC<ID> <serverIP> الحصول على/-80- <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

ملاحظة حالة win32 "2148074254" (يعرف أيضا-2146893042/0x8009030E/SEC_E_NO_CREDENTIALS) يعني "لا تتوفر بيانات اعتماد في حزمة الأمان." بمعنى آخر، لم ترسل العميل أية بيانات اعتماد.

بعد استلام العميل 401.2 استجابة من ملقم IIS، يدرك العميل أن يتم تكوين IIS لاستخدام مصادقة Windows المدمجة عوضاً عن المصادقة المجهولة. ولذلك، يجب على العميل توفير معلومات المصادقة المناسبة في طلبها.

ثم يقدم العميل طلبا مشابهة لما يلي:

HTTP: طلب, GET/
الأمر: الحصول على
URI:/
بروتوكولفيرسيون: HTTP/1.1
قبول: صورة/gif، صورة/x-إكسبيتماب، صورة/jpeg، والصورة/بجبيج */*
قبول اللغة: en-الولايات المتحدة
قبول-ترميز: gzip، انكماش
وكيل المستخدم: Mozilla/4.0 (متوافقة؛ MSIE 6.0؛ Windows NT 5.1)
المضيف: www.kerberos.com
اتصال: المحافظة على الحياة
التخويل: مفاوضة
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

ملاحظة في هذه المقالة، تذكرة Kerberos في الإذن: مفاوضة اقتطاع رأس.

ملقم IIS الذي يتلقى الطلب. ملقم IIS الذي يراه أن العميل قد أدرج معلومات المصادقة عن طريق إضافة الإذن: التفاوض بشأن القيمة والرأس. إذا قام العميل بإرسال معلومات بيانات اعتماد صحيحة، المصادقة بنجاح. ثم يرسل IIS الاستجابة التالية:

HTTP: رمز حالة استجابة، HTTP/1.1 = 200
بروتوكولفيرسيون: HTTP/1.1
StatusCode: 200, "موافق"
السبب: موافق
التاريخ: xxx, GMT <Date> <Time>
ملقم: Microsoft-IIS 6.0/
كونتينتلينجث: 19
نوع المحتوى: نص/html
ووووثينتيكاتي: التفاوض oYGhMIGeoAMKAQChCwYJKoZIgvcSAQICooGJBIGGYIGDBgkqhkiG9xIBAgICAG90MHKgAwIBBaEDAgEPomYwZKADAgEXol0EWxX5VcXsWZwSk7Q6NI5uYf/pLeQ7InM61FPS/ZED4FxR6MK/MK4RjgKgty4u3g143PhRwYr40hI/RAUpvTBeCubY8dOZR0BHG8RgdX2588vAXGIcZIpyRyYHYAmaJ8 =</Time> </Date>

ملاحظة خطوات تفصيلية كيفية مصادقة Kerberos، يحدث لا يتم تضمين هنا. لمزيد من المعلومات حول كيفية عمل مصادقة Kerberos، قم بزيارة موقع Microsoft التالي على الويب:يكتب IIS ثم الإدخال التالي إلى سجل IIS:

<Date> <Time>W3SVC<ID> <serverIP> /time.asp GET-80 المجال\المستخدم <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

السيناريو 2-التفاوض بشأن بروتوكول

في السيناريو الذي يتم تكوين IIS لدعم بروتوكول مفاوضة بدلاً من كل من بروتوكول مفاوضة وبروتوكول NTLM، تدفق طلب واستجابة هو نفسه. التسجيل في سجل IIS أيضا هو نفسه. الفرق في الاستجابة الأولية يجعل IIS لطلب مجهول من المستعرض. في هذه الحالة، يرسل IIS رأس مفاوضة فقط:

HTTP: استجابة، HTTP/1.1
رمز الحالة = 401
بروتوكولفيرسيون: HTTP/1.1
StatusCode: 401 غير مصرح به
السبب: غير مصرح به
كونتينتلينجث: 1656
نوع المحتوى: نص/html
ملقم: Microsoft-IIS 6.0/
ووووثينتيكاتي: التفاوض

NLTM المصادقة

ما يلي هو مثال على أساس السيناريو التي تم تكوين IIS لاعتماد بروتوكول NTLM فقط. في IIS 6.0 والإصدارات السابقة، يتم ذلك بجعل مفتاح قاعدة تعريف نتاوثينتيكاتيونبروفيديرس تعيين إلى "NTLM". في IIS 7.0 والإصدارات الأحدث، يجب سرد بروتوكول NTLM فقط كموفر في المقطع <windowsAuthentication>.

مرة أخرى، أن Internet Explorer لا يتضمن أية معلومات للمصادقة في الطلب الأول على اتصال جديد:</windowsAuthentication>

HTTP: طلب, GET/
الأمر: الحصول علىبروتوكولفيرسيون: HTTP/1.1
قبول: صورة/gif، صورة/x-إكسبيتماب، صورة/jpeg، والصورة/بجبيج */*
قبول اللغة: en-الولايات المتحدة
قبول-ترميز: gzip، انكماش
وكيل المستخدم: Mozilla/4.0 (متوافقة؛ MSIE 6.0؛ Windows NT 5.1)
المضيف: www.kerberos.com
اتصال: المحافظة على الحياة

إذا لم يتم تكوين ملقم IIS لدعم المصادقة المجهولة، الملقم بإرجاع حالة 401.2 بإعلام العميل أن يكون العميل غير المصرح به. جنبا إلى جنب مع حالة خطأ، يرسل الملقم قائمة بروتوكولات المصادقة التي معتمداً من الخادم. رؤوس الاستجابة التي تقوم بإرجاع IIS في هذا السيناريو NTLM فقط لما يلي:

HTTP: رمز حالة استجابة، HTTP/1.1 = 401
بروتوكولفيرسيون: HTTP/1.1
StatusCode: 401 غير مصرح به
السبب: غير مصرح به
كونتينتلينجث: 1656
نوع المحتوى: نص/html
ملقم: Microsoft-IIS 6.0/
ووووثينتيكاتي: NTLM

يكتب IIS ثم إدخال مشابهة لما يلي في سجل IIS:

<Date> <Time>W3SVC<ID> <serverIP> الحصول على/-80- <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

عندما يتلقى العميل إعلام الملقم أن يعتمد الملقم بروتوكول NTLM، re-sends العميل الطلب. يتضمن العميل معلومات المصادقة في عنوان تخويل:

HTTP: طلب, GET/
الأمر: الحصول على
URI:/
بروتوكولفيرسيون: HTTP/1.1
قبول: صورة/gif، صورة/x-إكسبيتماب، صورة/jpeg، والصورة/بجبيج */*
قبول اللغة: en-الولايات المتحدة
قبول-ترميز: gzip، انكماش
وكيل المستخدم: Mozilla/4.0 (متوافقة؛ MSIE 6.0؛ Windows NT 5.1)
المضيف: www.kerberos.com
اتصال: المحافظة على الحياة
التخويل: TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE NTLM =

كجزء من تعارف NTLM، تسلم الخادم أن العميل بإرسال معلومات المصادقة. ومع ذلك، يحتاج الملقم العميل بإرسال مزيد من المعلومات. لذلك، الملقم بإرجاع استجابة 401 أخرى مشابهة لما يلي:

HTTP: رمز حالة استجابة، HTTP/1.1 = 401
بروتوكولفيرسيون: HTTP/1.1
StatusCode: 401 غير مصرح به
السبب: غير مصرح به
كونتينتلينجث: 1539
نوع المحتوى: نص/html
ملقم: Microsoft-IIS 6.0/
نتلماوثوريزيشن: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

يكتب IIS ثم إدخال في سجل IIS مشابهة لما يلي:

<Date> <Time>W3SVC<ID> <serverIP> الحصول على/-80- <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

يخبر حالة 401.1 IIS يرسل العميل على العميل أن يوفر ما تبقى معلومات المصادقة صحيحة. يتلقى العميل هذا التحدي. ثم يرسل العميل طلب آخر مشابهة لما يلي:

HTTP: طلب, GET/
الأمر: الحصول على
URI:/
بروتوكولفيرسيون: HTTP/1.1
قبول: صورة/gif، صورة/x-إكسبيتماب، صورة/jpeg، والصورة/بجبيج */*
قبول اللغة: en-الولايات المتحدة
قبول-ترميز: gzip، انكماش
وكيل المستخدم: Mozilla/4.0 (متوافقة؛ MSIE 6.0؛ Windows NT 5.1)
المضيف: www.kerberos.com
اتصال: المحافظة على الحياة
نتلماوثوريزيشن: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ/EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

عندما يستلم الملقم IIS هذا الطلب، يتصل ملقم IIS مع وحدة تحكم مجال لإتمام طلب المصادقة. عندما يتم تأكيد طلب مصادقة العميل، يرسل IIS استجابة مشابهة لما يلي:

HTTP: رمز حالة استجابة، HTTP/1.1 = 200
بروتوكولفيرسيون: HTTP/1.1
StatusCode: 200, "موافق"
السبب: موافق
ملقم: Microsoft-IIS 6.0/
س-مدعوم-من قبل: ASP.NET
كونتينتلينجث: 19
نوع المحتوى: نص/html
التحكم في التخزين المؤقت: الخاصة

ملاحظة خطوات تفصيلية كيفية مصادقة NTLM، يحدث لا يتم تضمين هنا. لمزيد من المعلومات حول كيفية عمل مصادقة NTLM، قم بزيارة موقع Microsoft التالي على الويب:بعد IIS بإرسال هذه الاستجابة، IIS بكتابة الإدخال المقترنة التالي إلى سجل IIS:

<Date> <Time>W3SVC<ID> <serverIP> /time.asp GET-80 المجال\المستخدم <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

مراجع
لمزيد من المعلومات حول كيفية IIS المصادقة عملاء المستعرض، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
264921كيفية المصادقة IIS عملاء المستعرض
لمزيد من المعلومات حول كيفية استكشاف المشكلات المتعلقة Kerberos في IIS، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
326985كيفية استكشاف المشكلات المتعلقة Kerberos في IIS
لمزيد من المعلومات حول كيفية تعديل الخاصية قاعدة التعريف AuthPersistence لعنصر التحكم المصادقة، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
318863كيفية تعديل خاصية قاعدة التعريف AuthPersistence إلى عنصر تحكم مصادقة
لمزيد من المعلومات حول مشكلة بطء أداء التي تحدث عند استخدام مصادقة Windows المدمجة IIS 6.0، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
917557تصحيح: قد تواجه بطء الأداء عند استخدام مصادقة Windows المتكاملة مع بروتوكول مصادقة Kerberos في IIS 6.0
لمزيد من المعلومات حول Microsoft NTLM، قم بزيارة موقع Microsoft التالي على الويب: لمزيد من المعلومات حول Kerberos ل Microsoft، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول مصادقة Windows المدمجة IIS، قم بزيارة موقع Microsoft التالي على الويب: لمزيد من المعلومات حول خاصية قاعدة التعريف نتاوثينتيكاتيونبروفيديرس في IIS 6.0، قم بزيارة موقع Microsoft التالي على الويب:لمزيد من المعلومات حول <windowsAuthentication>خاصية التكوين في IIS 7.0، قم بزيارة الموقع التالي:</windowsAuthentication>

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 969060 - آخر مراجعة: 07/06/2012 17:26:00 - المراجعة: 1.0

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0

  • kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtar
تعليقات
&t=">endChild(m); &t=">ge in languagesListForLargeScreens track by $index" class="col-sm-6 col-xs-24 ng-scope"> Paraguay - Español
Venezuela - Español
did=1&t=">050&did=1&t=">p;t=">