Jurnal IIS pentru autentificare Windows integrată

IMPORTANT: Acest articol a fost tradus de software-ul de traducere automată Microsoft, si nu de un traducător. Microsoft vă oferă atât articole traduse de persoane, cât şi articole traduse automat, astfel incat aveti access la toate articolele din Baza noastră de informatii în limba dvs. materna. Totuşi, un articol tradus automat nu este întotdeauna perfect. Acesta poate conţine greşeli de vocabular, sintaxă sau gramatică, la fel cum un vorbitor străin poate face greşeli vorbind limba dvs. materna. Compania Microsoft nu este responsabilă pentru nici o inexactitate, eroare sau daună cauzată de traducerea necorespunzătoare a conţinutului sau de utilizarea traducerii necorespunzătoare de către clienţii nostri. De asemenea, Microsoft actualizează frecvent software-ul de traducere automată.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 969060
INTRODUCERE
Acest articol discută despre cererea şi răspuns de comunicare între un client HTTP şi un server de Internet Information Services (IIS) când este configurat autentificare Windows integrată. Acest articol, de asemenea, ilustrează modul că IIS jurnalizează acest proces de autentificare în jurnalele de IIS.
INFORMAŢII SUPLIMENTARE
autentificare Windows integrată utilizează autentificarea Kerberos v5 şi autentificarea NTLM. Kerberos este un protocol de autentificare standard în industrie, care este utilizat pentru a verifica identitatea utilizatorului sau gazdă identitate. Dacă Active Directory este instalat pe un controler de domeniu care execută Windows 2000 Server, Windows Server 2003 sau Windows Server 2008 şi browser-ul clientului Web acceptă Protocolul de autentificare Kerberos v5, client şi IIS server utilizează autentificarea Kerberos v5. În caz contrar, clientul şi serverul IIS utilizează autentificare NTLM.

Notă Pentru informaţii detaliate despre autentificare Windows integrată, vizitaţi următorul site Web Microsoft:Modul că IIS jurnalele NTLM şi autentificarea Kerberos în IIS log dosar este diferit, în funcţie de ceea ce Protocolul este utilizat.

IIS server şi client HTTP care face Web cerere ambele acceptă protocolul Kerberos şi IIS este configurat să utilizeze Kerberos, intrări jurnal care se aseamănă cu următorul apar în jurnal IIS pentru clientul cererea şi server răspuns:

# Software-ul: Microsoft Internet Information Services 6.0
# Version: 1.0# Data: 2009-01-01 02: 48: 20
# Câmpuri: data marcă de timp s-sitename s-ip cs-metoda tijă cs-uri cs-uri-interogare s-portul cs-username c-ip cs(User-Agent) sc-statutul sc-substatus sc-win32-stare
2009-01-01 02: 48: 20 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>lua / - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

În cazul în care IIS server sau de HTTP client nu acceptă protocolul Kerberos, sau dacă serverul IIS este configurat pentru a utiliza numai NTLM, următoarele tipuri de intrări jurnal apar în jurnal IIS pentru clientul cererea şi server răspuns:

# Software-ul: Microsoft Internet Information Services 6.0
# Version: 1.0
# Data: 2009-01-05 02: 29: 47
# Câmpuri: data marcă de timp s-sitename s-ip cs-metoda tijă cs-uri cs-uri-interogare s-portul cs-username c-ip cs(User-Agent) sc-statutul sc-substatus sc-win32-stare
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>lua / - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

autentificare Windows integrată

IIS poate fi configurat pentru a accepta Protocolul de negociere, Protocolul NTLM, sau ambele. În IIS 6.0 şi în versiunile anterioare, aceasta se realizează configurând cheia NTAuthenticationProviders metabaza. În IIS 7.0, acest lucru se realizează prin setarea corespunzătoare <Provider></Provider> elementul sub <windowsAuthentication></windowsAuthentication> elementul în fişierul ApplicationHost.config sau în fişierul web.config.

Pentru mai multe informaţii despre modul de configurare a Windows integrat autentificare în IIS 6.0 şi în versiunile anterioare, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
215383Configurarea IIS pentru a accepta Protocolul Kerberos şi Protocolul NTLM pentru autentificarea în reţea
Pentru mai multe informaţii despre cum se configurează autentificare Windows integrată în IIS 7.0, vizitaţi următorul site Web Microsoft:

Autentificarea Kerberos

Următoarele sunt două exemple bazat pe un scenariu. În scenariul prima, IIS este configurat pentru a accepta Protocolul de negociere şi Protocolul NTLM. În al doilea scenariu, este acceptată numai Protocolul de negociere.

Scenariul 1 – protocol de negociere şi Protocolul NTLM

În acest exemplu, IIS este configurat pentru a accepta Protocolul de negociere şi Protocolul NTLM. În IIS 6.0 şi în versiunile anterioare, aceasta se face prin setarea cheia NTAuthenticationProviders metabaza "Negociere, NTLM". În IIS 7.0 şi versiuni ulterioare, Protocolul de negociere şi Protocolul NTLM trebuie să fie listat ca furnizorii în secţiunea <windowsAuthentication>.

Notă În următoarele exemple, antetul de cerere și un antet de răspuns sunt capturați de utilizând instrumentul Microsoft Monitor reţea 3.2. Pentru a descărca cea mai recentă versiune a instrumentului de Monitor reţea, vizitaţi următorul site Web:</windowsAuthentication> Atunci când Microsoft Internet Explorer face o cerere, Internet Explorer consideră întotdeauna prima solicitare de o nouă conexiune să fie anonime. Prin urmare, Internet Explorer nu trimite orice acreditări ca parte a cererii. Următorul este un exemplu de anteturile cererea că Internet Explorer a trimite la prima cerere pentru o resursă:

HTTP: Cerere, GET /
Comanda: a lua
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptaţi-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menţinerii

Dacă serverul IIS nu este configurat să accepte autentificare anonimă, IIS server returnează un statut 401.2 care spune clientul că clientul este neautorizate. Împreună cu starea de eroare, serverul trimite, de asemenea, o Listă tabel de protocoale de autentificare care este acceptată de server. Anteturi răspuns care IIS returnează acest scenariu se aseamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1656
ContentType: text/html
Servi: Microsoft-IIS/6.0
WWWAuthenticate: negocieze
WWWAuthenticate: NTLM

După IIS serverul trimite acest răspuns, IIS scrie următoarea intrare asociat de jurnal IIS:

<Date> <Time>W3SVC<ID> <serverIP> lua / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Notă Win32 statutul de "2148074254" (de asemenea definit ca-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) înseamnă "acreditările nu sunt disponibile în pachetul de securitate." Cu alte cuvinte, clientul nu a trimis orice acreditări.

După ce clientul primeşte răspuns 401.2 de pe serverul IIS, clientul înţelege că IIS este configurat să utilizeze autentificare Windows integrată în loc de autentificare anonimă. Prin urmare, clientul trebuie să furnizeze informaţii de autentificare adecvate în cererea sa.

Client apoi face o cerere care seamănă cu următorul:

HTTP: Cerere, GET /
Comanda: a lua
URI: /
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptaţi-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menţinerii
Autorizaţie: negocieze
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Notă În acest articol, Kerberos bilet în autorizaţie: negocieze antet a fost trunchiate.

Serverul IIS primește cererea. Serverul IIS vede că clientul a inclus informaţii de autentificare prin adăugarea autorizaţia: negocieze antet şi valoare. În cazul în care clientul a trimis informaţii de acreditare valabile, autentificare este de succes. IIS apoi trimite răspunsul următoarele:

HTTP: Codului de stare răspuns, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motiv: OK
Data: xxx, <Date> <Time>GMT
Servi: Microsoft-IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Negocia =</Time> </Date>

Notă Măsurile detaliate de cum autentificarea Kerberos are loc nu este inclus aici. Pentru mai multe informaţii despre modul în care funcţionează autentificarea Kerberos, vizitaţi următorul site Web Microsoft:IIS apoi scrie următoarea intrare în Jurnalul de IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET /time.asp - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Scenariul 2 - negocieze Protocolul

În scenariul în care IIS este configurat să accepte numai Protocolul negociere în loc de Protocolul de negociere şi Protocolul NTLM, fluxul cererea şi răspunsul este acelaşi. Înregistrarea în jurnal IIS, de asemenea, este aceeaşi. Diferenţa este în răspunsul inițial care IIS face solicitarea anonim din browser. În acest caz, IIS trimite numai antetul de negociere:

HTTP: Răspuns, HTTP/1.1,
Cod stare = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1656
ContentType: text/html
Servi: Microsoft-IIS/6.0
WWWAuthenticate: negocieze

Autentificare NLTM

Următorul este un exemplu bazat pe un scenariu în care IIS este configurat să accepte numai Protocolul NTLM. În IIS 6.0 şi în versiunile anterioare, aceasta se face prin având cheia de metabază NTAuthenticationProviders setat la "NTLM". În IIS 7.0 şi versiuni ulterioare, numai Protocolul NTLM trebuie să fie listat ca un furnizor în secţiunea <windowsAuthentication>.

Din nou, Internet Explorer nu include orice informaţii de autentificare în prima solicitare pe o nouă conexiune:</windowsAuthentication>

HTTP: Cerere, GET /
Comanda: a luaProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptaţi-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menţinerii

Dacă serverul IIS nu este configurat să accepte autentificare anonimă, server returnează un statut 401.2 care spune clientul că clientul este neautorizate. Împreună cu starea de eroare, serverul trimite, de asemenea, o Listă tabel de protocoale de autentificare care este acceptată de server. Anteturi răspuns care IIS returnează acest scenariu doar NTLM seamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1656
ContentType: text/html
Servi: Microsoft-IIS/6.0
WWWAuthenticate: NTLM

IIS apoi scrie o intrare care se aseamănă cu următoarele jurnal IIS:

<Date> <Time>W3SVC<ID> <serverIP> lua / - 80 - <clientIP>401 2 2148074254 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)</clientIP> </serverIP> </ID></Time></Date>

Când clientul primeşte notificarea serverului că serverul acceptă protocolul NTLM, clientul re-sends cererea. Clientul include informaţii de autentificare într-un antet de autorizație:

HTTP: Cerere, GET /
Comanda: a lua
URI: /
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptaţi-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menţinerii
Autorizaţie: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Ca parte a strângere de mână NTLM, server recunoaşte că clientul a trimis informațiile de autentificare. Cu toate acestea, server are nevoie de client pentru a trimite mai multe informaţii. Prin urmare, server returnează un alt răspuns 401 care seamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, neautorizat
Motiv: neautorizate
ContentLength: 1539
ContentType: text/html
Servi: Microsoft-IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS, apoi scrie o intrare jurnal IIS care seamănă cu următorul:

<Date> <Time>W3SVC<ID> <serverIP> lua / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

Starea 401.1 care IIS trimite spune clientul că clientul trebuie să furnizeze restul informaţiilor autentificare valabil. Clientul primeşte această provocare. Apoi clientul trimite o cerere mai multe care seamănă cu următorul:

HTTP: Cerere, GET /
Comanda: a lua
URI: /
ProtocolVersion: HTTP/1.1
Accepta: imagine/gif imagine/x-xbitmap imagine/jpeg, imagine/pjpeg, * / *
Acceptaţi-Language: ro-ne
Accept-Encoding: gzip, dezumfle
UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Gazdă: www.kerberos.com
Conexiune: Menţinerii
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Când serverul IIS primește această solicitare, serverul IIS comunică cu un controler de domeniu pentru a finaliza cererea autentificare. Atunci când cererea de autentificare a clientului este confirmată, IIS trimite un răspuns care seamănă cu următorul:

HTTP: Codului de stare răspuns, HTTP/1.1, = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200 Ok
Motiv: OK
Servi: Microsoft-IIS/6.0
X-alimentat de: ASP.NET
ContentLength: 19
ContentType: text/html
Cache-control: privat

Notă Măsurile detaliate de cum autentificarea NTLM are loc nu este inclus aici. Pentru mai multe informaţii despre modul în care funcţionează autentificarea NTLM, vizitaţi următorul site Web Microsoft:După ce IIS trimite acest răspuns, IIS scrie următoarea intrare asociat de jurnal IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET /time.asp - 80 domeniu\utilizator <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

REFERINŢE
Pentru mai multe informaţii despre cum IIS autentifică clienti browser-ul, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
264921Cum IIS autentifică browser-ul clienti
Pentru mai multe informaţii despre cum se depanează probleme legate de Kerberos în IIS, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
326985Cum se depanează probleme legate de Kerberos în IIS
Pentru mai multe informaţii despre cum să modificaţi proprietatea de metabază AuthPersistence pentru a controlul autentificare, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
318863Cum pentru a modifica proprietatea de metabază AuthPersistence pentru a controlul autentificare
Pentru mai multe informaţii despre o problemă de lentă, care apare când utilizaţi autentificare Windows integrată IIS 6.0, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
917557FIX: Este posibil să întâlniţi lentă atunci când utilizaţi autentificare Windows integrată precum și Protocolul de autentificare Kerberos în IIS 6.0
Pentru mai multe informaţii despre Microsoft NTLM, vizitaţi următorul site Web Microsoft: Pentru mai multe informaţii despre Microsoft Kerberos, vizitaţi următorul site Web Microsoft:Pentru mai multe informaţii despre autentificarea Windows integrat IIS, vizitaţi următorul site Web Microsoft: Pentru mai multe informaţii despre proprietatea de metabază NTAuthenticationProviders în IIS 6.0, vizitaţi următorul site Web Microsoft:Pentru mai multe informaţii despre <windowsAuthentication>proprietate de configurare în IIS 7.0, vizitaţi următorul site Web:</windowsAuthentication>

Avertisment: acest articol a fost tradus automat

Свойства

Номер статьи: 969060 — последний просмотр: 07/06/2012 18:00:00 — редакция: 1.0

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0

  • kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtro
Отзывы и предложения