Registro de IIS para autenticación integrada de Windows

INTRODUCCIÓN

Este artículo analiza la solicitud y la respuesta en la comunicación entre un cliente HTTP y un servidor de servicios de Internet Information Server (IIS) cuando se configura la autenticación integrada de Windows. Este artículo también ilustra la forma en que IIS registra este proceso de autenticación en los registros de IIS.

Más información

La autenticación integrada de Windows utiliza tanto autenticación Kerberos v5 como autenticación NTLM. Kerberos es un protocolo estándar de autenticación que se utiliza para comprobar la identidad del usuario o la identidad del host. Si Active Directory está instalado en un controlador de dominio que ejecuta Windows 2000 Server, Windows Server 2003 o Windows Server 2008, y el explorador Web del cliente es compatible con el protocolo de autenticación Kerberos v5, tanto el cliente como el servidor de IIS utilizarán la autenticación Kerberos v5. De lo contrario, ambos usarán autenticación NTLM.

Nota: Para obtener información detallada acerca de la autenticación integrada de Windows, visite el siguiente sitio Web de Microsoft:La forma en que los registros de IIS NTLM y la autenticación de Kerberos en IIS los archivos de registro es diferente, dependiendo de qué protocolo se utiliza.

Si el servidor IIS y el cliente HTTP que realiza la solicitud Web ambos soportan el protocolo Kerberos y IIS está configurado para utilizar Kerberos, aparecen entradas de registro similares a los siguientes en IIS iniciar para el cliente solicitud y servidor de respuesta: si el servidor IIS o el cliente HTTP no es compatible con el protocolo Kerberos o si el servidor IIS está configurado para utilizar sólo NTLM , aparecen los siguientes tipos de entradas de registro en el registro IIS para la respuesta de solicitud y el servidor del cliente:

Autenticación integrada de Windows

IIS puede configurarse para admitir el protocolo Negotiate, el protocolo NTLM o ambos. En IIS 6.0 y en versiones anteriores, esto se hace configurando la clave de metabase NTAuthenticationProviders. En IIS 7.0, esto se hace estableciendo el elemento < proveedor > adecuado en el elemento < windowsAuthentication > en el archivo ApplicationHost.config o en el archivo web.config.

Para obtener más información acerca de cómo configurar Windows integrada la autenticación en IIS 6.0 y en versiones anteriores, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

215383 cómo configurar IIS para admitir el protocolo Kerberos y el protocolo NTLM para la autenticación de red

Para obtener más información acerca de cómo configurar la autenticación de Windows integrada en IIS 7.0, visite el siguiente sitio Web de Microsoft:

Autenticación Kerberos

Los siguientes son dos ejemplos de escenario. En el primer escenario, IIS se configura para admitir el protocolo de negociación y el protocolo NTLM. En el segundo escenario, se admite sólo el protocolo de negociación.

Escenario 1: protocolo de negociación y el protocolo NTLM

En este ejemplo, IIS se configura para admitir el protocolo de negociación y el protocolo NTLM. En IIS 6.0 y en versiones anteriores, esto se hace estableciendo la clave de metabase NTAuthenticationProviders "Negotiate, NTLM". En IIS 7.0 y en versiones posteriores, el protocolo de negociación y el protocolo NTLM deben figurar como proveedores en la sección < windowsAuthentication >.

Nota: En los ejemplos siguientes, el encabezado de la solicitud y el encabezado de respuesta se capturan mediante la herramienta Microsoft Network Monitor 3.2. Para descargar la versión más reciente de la herramienta Monitor de red, visite el siguiente sitio Web:Cuando Microsoft Internet Explorer realiza una solicitud, Internet Explorer siempre considera la primera solicitud de una nueva conexión para ser anónimo. Por lo tanto, Internet Explorer no envía las credenciales como parte de la solicitud. El siguiente es un ejemplo de los encabezados de solicitud que Internet Explorer envía la primera solicitud para obtener un recurso: si el servidor IIS no está configurado para admitir la autenticación anónima, el servidor IIS devuelve un estado 401.2 que indica al cliente que el cliente no está autorizado. Junto con el estado de error, el servidor envía también una lista de los protocolos de autenticación que admite el servidor. Los encabezados de respuesta que IIS devuelve en este escenario, similares a los siguientes: servidor tras el IIS envía esta respuesta, IIS escribe la siguiente entrada al registro de IIS de asociada: Nota el estado de win32 de "2148074254" (también se define como-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) significa "credenciales no están disponibles en el paquete de seguridad". En otras palabras, el cliente no ha enviado las credenciales.

Después de que el cliente recibe la respuesta 401.2 desde el servidor IIS, el cliente entiende que IIS está configurado para utilizar autenticación integrada de Windows en lugar de la autenticación anónima. Por lo tanto, el cliente debe proporcionar información de autenticación adecuada en su solicitud.

A continuación, el cliente realiza una solicitud similar a la siguiente:Nota en este artículo, el vale de Kerberos en la autorización: Negotiate encabezado se ha truncado.



El servidor IIS recibe la solicitud. El servidor IIS detecta que el cliente ha incluido información de autenticación agregando la autorización: Negotiate encabezado y valor. Si el cliente ha enviado la información de credenciales válidas, la autenticación es correcta. IIS envía entonces la respuesta siguiente:Nota los pasos detallados de cómo tiene lugar la autenticación Kerberos no está incluido aquí. Para obtener más información acerca de cómo funciona la autenticación de Kerberos, visite el siguiente sitio Web de Microsoft:A continuación, IIS escribe la siguiente entrada al registro de IIS:

Escenario 2: Negociar protocolo

En el escenario en el que IIS está configurado para admitir sólo el protocolo Negotiate en lugar del protocolo de negociación y el protocolo NTLM, el flujo de solicitud y respuesta es el mismo. El registro en el registro de IIS también es el mismo. La diferencia radica en la respuesta inicial que IIS permite la solicitud anónima desde el explorador. En este caso, IIS envía sólo el encabezado Negotiate:

Autenticación NLTM

El siguiente es un ejemplo basado en el escenario en el que IIS está configurado para admitir sólo el protocolo NTLM. En IIS 6.0 y en versiones anteriores, esto se consigue teniendo la clave de metabase NTAuthenticationProviders establecida en "NTLM". En IIS 7.0 y en versiones posteriores, sólo el protocolo NTLM debe figurar como un proveedor en la sección < windowsAuthentication >.

De nuevo, Internet Explorer no incluye ninguna información de autenticación en la primera solicitud en una nueva conexión:
Si el servidor IIS no está configurado para admitir la autenticación anónima, el servidor devuelve un estado 401.2 que indica al cliente que el cliente no está autorizado. Junto con el estado de error, el servidor envía también una lista de los protocolos de autenticación que admite el servidor. Los encabezados de respuesta que IIS devuelve en este escenario sólo NTLM se asemejan a los siguientes: IIS, a continuación, escribe una entrada similar a la siguiente en el registro de IIS: cuando el cliente recibe la notificación del servidor que el servidor admite el protocolo NTLM, el cliente vuelve a enviar la solicitud. El cliente incluye información de autenticación en un encabezado de autorización: como parte del protocolo de enlace NTLM, el servidor reconoce que el cliente ha enviado la información de autenticación. Sin embargo, el servidor necesita el cliente para enviar más información. Por lo tanto, el servidor devuelve la respuesta 401 otra similar a la siguiente: IIS, a continuación, escribe una entrada en el registro de IIS similar al siguiente: 401.1 el estado que IIS envía indica al cliente que el cliente debe proporcionar el resto de la información de autenticación válida. El cliente recibe este desafío. El cliente envía una solicitud más similar a la siguiente: cuando el servidor IIS recibe esta solicitud, el servidor IIS se comunica con un controlador de dominio para completar la solicitud de autenticación. Cuando se confirme la solicitud de autenticación del cliente, IIS envía una respuesta similar a la siguiente:Nota los pasos detallados de cómo tiene lugar la autenticación NTLM no está incluido aquí. Para obtener más información acerca de cómo funciona la autenticación NTLM, visite el siguiente sitio Web de Microsoft:Después de que IIS envía esta respuesta, IIS escribe la siguiente entrada asociada en el registro de IIS:

Referencias

Para obtener más información acerca de cómo IIS autentica los clientes del explorador, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

264921 cómo IIS autentica a los clientes del explorador

Para obtener más información acerca cómo solucionar problemas relacionados con Kerberos en IIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

326985 cómo solucionar problemas relacionados con Kerberos en IIS

Para obtener más información sobre cómo modificar la propiedad de AuthPersistence Metabase para controlar la autenticación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

318863 cómo modificar la propiedad de AuthPersistence Metabase para controlar la autenticación

Para obtener más información acerca de un problema de rendimiento lento que se produce al utilizar la autenticación de Windows integrada IIS 6.0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

CORREGIR 917557 : puede experimentar un rendimiento lento cuando utiliza la autenticación de Windows integrada junto con el protocolo de autenticación de Kerberos en IIS 6.0

Para obtener más información acerca de Microsoft NTLM, visite el siguiente sitio Web de Microsoft:
Para obtener más información acerca de Kerberos de Microsoft, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de la autenticación de Windows integrada en IIS, visite el siguiente sitio Web de Microsoft:

Para obtener más información acerca de la propiedad NTAuthenticationProviders metabase en IIS 6.0, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de la propiedad de configuración de < windowsAuthentication > en IIS 7.0, visite el siguiente sitio Web:
Propiedades

Id. de artículo: 969060 - Última revisión: 17 feb. 2017 - Revisión: 2

Microsoft Internet Information Services 7.0, Servicios de Microsoft Internet Information Server 5.0, Servicios de Microsoft Internet Information Server 5.1, Servicios de Microsoft Internet Information Server 6.0

Comentarios