Enregistrement dans le journal IIS pour l’authentification intégrée de Windows

INTRODUCTION

Cet article traite de la communication des demandes et de réponses entre un client HTTP et d’un serveur Internet Information Services (IIS) lors de la configuration de l’authentification intégrée de Windows. Cet article illustre également la façon que IIS connecte à ce processus d’authentification dans les journaux IIS.

Plus d'informations

L’authentification intégrée Windows utilise à la fois l’authentification Kerberos v5 et l’authentification NTLM. Kerberos est un protocole standard de l’industrie qui permet de vérifier l’identité de l’utilisateur ou l’identité de l’hôte. Si Active Directory est installé sur un contrôleur de domaine qui exécute Windows 2000 Server, Windows Server 2003 ou Windows Server 2008 et que le navigateur du client prend en charge le protocole d’authentification Kerberos v5, le client et le serveur IIS utilisent l’authentification Kerberos v5. Dans le cas contraire, le client et le serveur IIS utilisent l’authentification NTLM.

Remarque Pour plus d’informations sur l’authentification intégrée de Windows, visitez le site Web de Microsoft à l’adresse suivante :La manière dont que les journaux IIS NTLM et l’authentification Kerberos dans IIS des fichiers journaux est différente selon le protocole utilisé.

Si le serveur IIS et le client HTTP qui effectue la demande Web à la fois prendre en charge le protocole Kerberos et IIS est configuré pour utiliser Kerberos, des entrées de journal semblables aux suivants apparaissent dans IIS, ouvrez une session pour le client demande et serveur réponse : si le serveur IIS ou le client HTTP ne prend pas en charge le protocole Kerberos, ou si le serveur IIS est configuré pour utiliser NTLM uniquement , les types suivants d’entrées de journal s’affichent dans le journal IIS pour la réponse de serveur et de demande du client :

Authentification intégrée de Windows

IIS peut être configuré pour prendre en charge le protocole Negotiate, le protocole NTLM ou les deux. Dans IIS 6.0 et les versions antérieures, cela en configurant la clé de métabase de NTAuthenticationProviders. Dans IIS 7.0, cela en définissant l’élément < fournisseur > approprié sous l’élément < windowsAuthentication > dans le fichier ApplicationHost.config ou dans le fichier web.config.

Pour plus d’informations sur comment faire pour configurer Windows intégré d’authentification dans IIS 6.0 et versions antérieures, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

215383 , comment configurer IIS pour prendre en charge les à la fois le protocole Kerberos et le protocole NTLM pour l’authentification réseau

Pour plus d’informations sur la configuration de l’authentification intégrée de Windows dans IIS 7.0, visitez le site Web de Microsoft à l’adresse suivante :

Authentification Kerberos

Voici deux exemples basés sur le scénario. Dans le premier scénario, IIS est configuré pour prendre en charge le protocole Negotiate et le protocole NTLM. Dans le second scénario, seul le protocole Negotiate est pris en charge.

Scénario 1 – protocole de négociation et le protocole NTLM

Dans cet exemple, IIS est configuré pour prendre en charge le protocole Negotiate et le protocole NTLM. Dans IIS 6.0 et les versions antérieures, cela en définissant la clé de métabase de NTAuthenticationProviders « Negotiate, NTLM ». Dans IIS 7.0 et versions ultérieures, le protocole de négociation et le protocole NTLM doivent être répertoriés en tant que fournisseurs dans la section < windowsAuthentication >.

Remarque Dans les exemples suivants, l’en-tête de la demande et l’en-tête de réponse sont capturées à l’aide de l’outil 3.2 de moniteur réseau Microsoft. Pour télécharger la dernière version de l’outil du Moniteur réseau, visitez le site Web suivant :Lorsque Microsoft Internet Explorer effectue une demande, Internet Explorer considère toujours la première demande d’une nouvelle connexion à être anonymes. Par conséquent, Internet Explorer n’envoie pas d’informations d’identification dans le cadre de la demande. Voici un exemple des en-têtes de demande que Internet Explorer envoie la première demande pour une ressource : If le serveur IIS n’est pas configuré pour prendre en charge de l’authentification anonyme, le serveur IIS renvoie l’état 401.2 qui indique au client que le client n’est pas autorisé. Ainsi que l’état de l’erreur, le serveur envoie également une liste des protocoles d’authentification que le serveur prend en charge. Les en-têtes de réponse qu’IIS renvoie dans ce cas semblables aux suivants : serveur après le IIS envoie cette réponse, IIS écrit les suivantes associées à l’entrée dans le journal IIS : Note état win32 de « 2148074254 » (également défini en tant que-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) signifie « aucune information d’identification n’est disponibles dans le package de sécurité ». En d’autres termes, le client n’a pas envoyé d’informations d’identification.

Une fois que le client reçoit la réponse 401.2 à partir du serveur IIS, le client ne comprend que IIS est configuré pour utiliser l’authentification Windows intégrée au lieu de l’authentification anonyme. Par conséquent, le client doit fournir les informations d’authentification appropriées dans sa demande.

Le client établit ensuite une requête qui ressemble à ce qui suit :Remarque dans cet article, le ticket Kerberos dans l’autorisation : négocier en-tête a été tronqué.



Le serveur IIS reçoit la demande. Le serveur IIS voit que le client a inclus des informations d’authentification en ajoutant l’autorisation : négocier en-tête et valeur. Si le client a envoyé des informations d’identification valides, l’authentification est réussie. Puis, IIS envoie la réponse suivante :Notez les étapes détaillées de la façon dont l’authentification Kerberos a lieu n’est pas incluse ici. Pour plus d’informations sur le fonctionne de l’authentification Kerberos, consultez le site Web de Microsoft à l’adresse suivante :Ensuite, IIS écrit l’entrée suivante dans le journal IIS :

Scénario 2 - négocier le protocole

Dans le scénario dans lequel IIS est configuré pour prendre en charge les uniquement le protocole Negotiate plutôt que le protocole de négociation et le protocole NTLM, le flux de demande et de réponse est le même. L’enregistrement dans le journal IIS est également identique. La différence réside dans la réponse initiale qui permet à la demande anonyme de IIS à partir du navigateur. Dans ce cas, IIS envoie uniquement l’en-tête Negotiate :

Authentification NLTM

Voici un exemple de scénario dans lequel IIS est configuré pour prendre en charge le protocole NTLM uniquement. Dans IIS 6.0 et les versions antérieures, vous devez pour cela la clé de métabase de NTAuthenticationProviders « NTLM » la valeur. Dans IIS 7.0 et versions ultérieures, seul le protocole NTLM doit être répertorié comme un fournisseur dans la section < windowsAuthentication >.

Encore une fois, Internet Explorer n’inclut pas d’informations d’authentification dans la première demande sur une nouvelle connexion :
Si le serveur IIS n’est pas configuré pour prendre en charge de l’authentification anonyme, le serveur renvoie un état 401.2 qui indique au client que le client n’est pas autorisé. Ainsi que l’état de l’erreur, le serveur envoie également une liste des protocoles d’authentification que le serveur prend en charge. Les en-têtes de réponse qu’IIS renvoie dans ce scénario de NTLM uniquement ressembler à la suivante : IIS, puis écrit une entrée semblable au suivant dans le journal IIS : lorsque le client reçoit la notification du serveur que le serveur prend en charge le protocole NTLM, le client envoie la requête à nouveau. Le client inclut les informations d’authentification dans un en-tête d’autorisation : dans le cadre de la communication NTLM, le serveur reconnaît que le client a envoyé des informations d’authentification. Toutefois, le serveur doit envoyer d’autres informations au client. Par conséquent, le serveur renvoie une autre réponse 401 qui ressemble à la suivante : IIS, puis écrit une entrée dans le journal IIS qui ressemble à ce qui suit : 401.1 le statut IIS envoie indique au client que le client doit fournir le reste des informations d’authentification valide. Le client reçoit ce défi. Le client envoie ensuite une requête plus semblable à la suivante : quand le serveur IIS reçoit cette demande, le serveur IIS communique avec un contrôleur de domaine pour effectuer la demande d’authentification. Lorsque vous confirmez la demande du client d’authentification, IIS envoie une réponse semblable à la suivante :Notez les étapes détaillées de la façon dont l’authentification NTLM a lieu n’est pas incluse ici. Pour plus d’informations sur le fonctionne de l’authentification NTLM, visitez le site Web de Microsoft à l’adresse suivante :Une fois que IIS envoie cette réponse, IIS écrit l’entrée associée suivante dans le journal IIS :

Références

Pour plus d’informations sur comment IIS authentifie les clients navigateur, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

264921 comment IIS authentifie les clients navigateur

Pour plus d’informations sur comment faire pour résoudre les problèmes liés à Kerberos dans IIS, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

326985, comment résoudre les problèmes liés à Kerberos dans IIS

Pour plus d’informations sur comment modifier la propriété de métabase de AuthPersistence pour contrôler l’authentification, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

318863 comment modifier la propriété de métabase de AuthPersistence pour contrôler l’authentification

Pour plus d’informations sur un problème de ralentissement des performances lorsque vous utilisez l’authentification Windows intégrée IIS 6.0, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

917557 correctif : vous pouvez rencontrer le ralentissement des performances lorsque vous utilisez l’authentification intégrée de Windows avec le protocole d’authentification Kerberos dans IIS 6.0

Pour plus d’informations sur Microsoft NTLM, visitez le site Web de Microsoft à l’adresse suivante :
Pour plus d’informations sur Kerberos de Microsoft, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations sur l’authentification Windows intégrée de IIS, visitez le site Web de Microsoft à l’adresse suivante :

Pour plus d’informations sur la propriété NTAuthenticationProviders métabase dans IIS 6.0, visitez le site Web de Microsoft à l’adresse suivante :Pour plus d’informations sur la propriété de configuration < windowsAuthentication > dans IIS 7.0, reportez-vous au site Web suivant :
Propriétés

ID d'article : 969060 - Dernière mise à jour : 14 janv. 2017 - Révision : 1

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0

Commentaires