Журналювання у службах IIS для інтегрованої автентифікації Windows

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 969060
ВСТУП
У цій статті розглядаються запит і відповідь зв'язок між HTTP-клієнт і сервер для інформаційних служб Інтернету (IIS), під Вільний час настройки Windows інтегровану автентифікацію. Ця стаття також описує спосіб, у який IIS записує процес автентифікації в журнали IIS.
Додаткові відомості
Інтегрованої автентифікації Windows використовує, Kerberos v5 автентифікації, так і перевірка автентичності NTLM. Kerberos, є протокол стандартних автентифікації, який використовується для перевірки посвідчення користувача або хост ідентичності. Якщо для інсталяції служба Active Directory на контролері домену під керуванням Windows 2000 Server, Windows Server 2003 або Windows Server 2008, браузер клієнта з підтримкою протоколу автентифікації Kerberos v5, клієнта та сервера IIS використовувати Kerberos v5 автентифікації. В іншому випадку клієнта та сервера IIS використовувати автентифікацію NTLM.

Примітка. Щоб отримати додаткові відомості про Windows інтегровану автентифікацію відвідайте веб-сайт корпорації Майкрософт:Спосіб, що IIS журнали NTLM та Kerberos автентифікації в IIS журнали є різним, який протокол використовується.

Якщо IIS-сервер і клієнт HTTP, що робить запит і підтримку протоколу Kerberos і IIS налаштовано на сценарій виконання протоколу Kerberos, запис А бізнес-партнера журналу, які подібні до наведених нижче веб-сторінка в журналі IIS для клієнта запит і сервер відповідь:

#Software: Microsoft Інформаційні служби Інтернету 6.0
#Version: 1.0 #Date: 2009-01-01 02:48:20
#Fields: дата, Вільний час s-ім'я сайту IP-s метод cs cs, uri, стебло cs, uri, запит s порт cs користувача c IP-cs(User-Agent) sc, стан sc-підпорядкованого стану sc win32-статус
2009-01-01 02:48:20 W3SVC1 <serverIP>GET / - 80 - <clientIP>-Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02:48:21 W3SVC1 <serverIP>отримати / - 80 домен \ користувач <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

Якщо IIS-сервер або клієнт HTTP не підтримує протоколу Kerberos, або, якщо використовувати тільки NTLM сервера IIS, такі типи записів журналу відображаються в журналі IIS для клієнта запит і сервер відповідь:

#Software: Microsoft Інформаційні служби Інтернету 6.0
#Version: 1.0
#Date: 2009-01-05 02:29:47
#Fields: дата, Вільний час s-ім'я сайту IP-s метод cs cs, uri, стебло cs, uri, запит s порт cs користувача c IP-cs(User-Agent) sc, стан sc-підпорядкованого стану sc win32-статус
2009-01-01 02:29:47 W3SVC1 <serverIP>GET / - 80 - <clientIP>-Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02:29:47 W3SVC1 <serverIP>GET / - 80 - <clientIP>-Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02:29:47 W3SVC1 <serverIP>отримати / - 80 домен \ користувач <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Windows інтегровану автентифікацію.

Служби IIS, може бути налаштований для підтримки протоколу узгоджувати, протоколу NTLM або обох. В IIS 6.0, так і в попередніх версіях це зробити, настроївши ключ NTAuthenticationProviders метабази. У службах IIS 7.0, це зробити, установивши відповідний <Provider></Provider> елемента під на <windowsAuthentication></windowsAuthentication> елемент у файлі ApplicationHost.config або у файлі web. config.

Щоб отримати додаткові відомості про, як налаштувати Windows, інтегровані автентифікації в IIS 6.0, так і в попередніх версіях, клацніть номер статті в базі знань Microsoft Knowledge Base:
215383 Налаштування служб IIS для підтримки обох протоколів Kerberos та NTLM з метою автентифікації в мережі
Щоб отримати додаткові відомості про настроювання Windows інтегрованої автентифікації в IIS 7.0 відвідайте веб-сайт корпорації Майкрософт:

Автентифікація Kerberos

Нижче наведено два приклади на основі сценарію. У першому сценарії IIS налаштовані на підтримку узгоджувати протоколу і протоколу NTLM. Другий сценарій підтримується узгоджувати протоколу.

Сценарій 1-узгоджувати протоколу і протоколу NTLM

У цьому прикладі IIS налаштовані на підтримку узгоджувати протоколу і протоколу NTLM. В IIS 6.0, так і в попередніх версіях це зробити, установивши NTAuthenticationProviders метабази ключ, щоб "Узгодження NTLM". У службах IIS 7.0 та пізнішої версії узгоджувати протоколу і протоколу NTLM має бути зазначено як постачальників в розділі <windowsAuthentication>.

Примітка. У наведених нижче прикладах заголовка запит на змінення і відповідь заголовок екрана за допомогою засобу Microsoft мережний монітор 3.2. Щоб завантажити останню версію засобу мережний монітор, перейдіть на веб-сайт:</windowsAuthentication> Після того, як Microsoft Internet Explorer, робить запит, браузер Internet Explorer завжди вважає першого запит на змінення на підключення анонімні. Таким чином, браузер Internet Explorer не надсилати будь-які повноваження як частина запит. Нижче наведено приклад запит заголовки, які Internet Explorer передає в першу прохання для ресурсу:

HTTP: Запит, отримайте /
Команда: отримати
ProtocolVersion: HTTP/1.1.
Прийняття: зображення/gif, зображення, x-xbitmap, зображення або jpeg, зображення й pjpeg, * / *
Прийняти мови: uk-нас
Прийміть кодування: gzip, deflate
Агент: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
Підключення:-Ауту активності

Якщо сервера IIS не настроєно на підтримку анонімної автентифікації, сервера IIS, повертає 401.2 статус, який клієнт повідомляє, що клієнт не пройшов перевірку. Разом з помилка статус надсилаються список автентифікації протоколи, які підтримуються сервером. Відповідь заголовки, які IIS повертає цей сценарій мати такий вигляд:

HTTP: Код стану-відповідь, HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1.
StatusCode: 401, права доступу
Причина: несанкціоноване
ContentLength: 1656
ContentType: text/html
Сервер: Microsoft IIS/6.0
WWWAuthenticate: обмінюються даними
WWWAuthenticate: NTLM

Після IIS сервер надсилає цей відповідь, IIS створює такий пов'язаний запис А в журналі служб IIS:

<Date><Time>W3SVC<ID> <serverIP>отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID> </Time></Date>

Примітка. Стан win32 "2148074254" (також визначається як-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) означає, що "немає адміністратора є до пакет безпеки". Інакше кажучи, клієнт не надсилаються будь-які адміністратора.

Після того, як клієнт отримує 401.2 відповідь, від сервера IIS, клієнт розуміє, що IIS налаштовано на сценарій виконання інтегрованої автентифікації Windows, замість анонімної автентифікації. Таким чином, що клієнт має надати відповідні автентифікації інформації за запитом.

Клієнт, потім робить запит, приблизно такого вигляду:

HTTP: Запит, отримайте /
Команда: отримати
ІДЕНТИФІКАТОР URI: /
ProtocolVersion: HTTP/1.1.
Прийняття: зображення/gif, зображення, x-xbitmap, зображення або jpeg, зображення й pjpeg, * / *
Прийняти мови: uk-нас
Прийміть кодування: gzip, deflate
Агент: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
Підключення:-Ауту активності
Дозвіл: обмінюються даними
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Примітка. У цій статті, у Kerberos квиток, в авторизації: узгодити скорочено заголовка.

Сервера IIS, отримує запит. Сервера IIS бачить, що клієнт включає облікові дані, додавши авторизацію: домовитися про заголовок і значення. Якщо клієнт, було надіслано дійсний облікових відомостей, автентифікація є успішним. IIS надсилає наступним чином:

HTTP: Код стану-відповідь, HTTP/1.1 = 200
ProtocolVersion: HTTP/1.1.
StatusCode: 200 Ok
Причина: "OK"
Дата: xxx, <Date> <Time>GMT.
Сервер: Microsoft IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Negotiate oYGhMIGeoAMKAQChCwYJKoZIgvcSAQICooGJBIGGYIGDBgkqhkiG9xIBAgICAG90MHKgAwIBBaEDAgEPomYwZKADAgEXol0EWxX5VcXsWZwSk7Q6NI5uYf/pLeQ7InM61FPS/ZED4FxR6MK/MK4RjgKgty4u3g143PhRwYr40hI/RAUpvTBeCubY8dOZR0BHG8RgdX2588vAXGIcZIpyRyYHYAmaJ8=</Time></Date>

Примітка. Докладні інструкції про те, як автентифікації Kerberos приймає місце не включено тут. Щоб отримати додаткові відомості про те, як працює автентифікації Kerberos відвідайте веб-сайт корпорації Майкрософт:Служби IIS, потім записує такий запис А в журналі служб IIS:

<Date><Time>W3SVC<ID> <serverIP>GET /time.asp - 80-домен \ користувач <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID> </Time></Date>

Сценарій 2 - узгоджувати протоколу

У випадку, IIS налаштовано на підтримку тільки узгоджувати протокол замість узгоджувати протоколу і протоколу NTLM запит і відповідь потік так само. Ведення журналу, в журналі служб IIS так само. Різниця полягає в тому, в початковий відповідь, що IIS робить анонімний запит з браузера. У цьому випадку, IIS надсилає лише узгоджувати заголовка:

HTTP: HTTP/1.1 відповідь
Код стану = 401
ProtocolVersion: HTTP/1.1.
StatusCode: 401, права доступу
Причина: несанкціоноване
ContentLength: 1656
ContentType: text/html
Сервер: Microsoft IIS/6.0
WWWAuthenticate: обмінюються даними

NLTM Перевірка автентичності

Нижче наведено сценарії засновані приклад IIS налаштовано на підтримку тільки протоколу NTLM. В IIS 6.0, так і в попередніх версіях це зробити, що мають NTAuthenticationProviders метабази ключ значення "NTLM". У службах IIS 7.0 або новішої версії необхідно зазначено в розділі " <windowsAuthentication>" як тільки протоколу NTLM.

Ще раз браузер Internet Explorer не містить будь-які облікові дані в першого запит на змінення на підключення: </windowsAuthentication>

HTTP: Запит, отримайте /
Команда: GETProtocolVersion: HTTP/1.1.
Прийняття: зображення/gif, зображення, x-xbitmap, зображення або jpeg, зображення й pjpeg, * / *
Прийняти мови: uk-нас
Прийміть кодування: gzip, deflate
Агент: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
Підключення:-Ауту активності

Якщо сервера IIS не настроєно на підтримку анонімної автентифікації, сервер, повертає 401.2 статус, який клієнт повідомляє, що клієнт не пройшов перевірку. Разом з помилка статус надсилаються список автентифікації протоколи, які підтримуються сервером. Відповідь заголовки, які IIS повертає у цьому NTLM-тільки мати такий вигляд:

HTTP: Код стану-відповідь, HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1.
StatusCode: 401, права доступу
Причина: несанкціоноване
ContentLength: 1656
ContentType: text/html
Сервер: Microsoft IIS/6.0
WWWAuthenticate: NTLM

Служби IIS, потім записує запис А, подібний до IIS журналу:

<Date><Time>W3SVC<ID> <serverIP>отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID> </Time></Date>

Коли клієнт, отримує сповіщень сервера, що підтримуються сервером протоколу NTLM, клієнт повторно надсилає запит. Клієнт включає облікові відомості в заголовку, з дозволу:

HTTP: Запит, отримайте /
Команда: отримати
ІДЕНТИФІКАТОР URI: /
ProtocolVersion: HTTP/1.1.
Прийняття: зображення/gif, зображення, x-xbitmap, зображення або jpeg, зображення й pjpeg, * / *
Прийняти мови: uk-нас
Прийміть кодування: gzip, deflate
Агент: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
Підключення:-Ауту активності
Дозвіл: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

У рамках NTLM-представлення сервер визнає, що клієнт має надіслати облікові дані. Проте, сервер має клієнта, щоб надіслати додаткову інформацію. Таким чином, що сервер повертає ще 401 відповідь, приблизно такого вигляду:

HTTP: Код стану-відповідь, HTTP/1.1 = 401
ProtocolVersion: HTTP/1.1.
StatusCode: 401, права доступу
Причина: несанкціоноване
ContentLength: 1539
ContentType: text/html
Сервер: Microsoft IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

Служби IIS, потім записує запис А в журналі служб IIS, приблизно такого вигляду:

<Date><Time>W3SVC<ID> <serverIP>отримати / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID> </Time></Date>

401.1 статус, який посилає IIS клієнт повідомляє, що клієнт має надати на частину дійсні облікові дані. Клієнт отримує, цю проблему. Клієнт надсилає одне прохання, приблизно такого вигляду:

HTTP: Запит, отримайте /
Команда: отримати
ІДЕНТИФІКАТОР URI: /
ProtocolVersion: HTTP/1.1.
Прийняття: зображення/gif, зображення, x-xbitmap, зображення або jpeg, зображення й pjpeg, * / *
Прийняти мови: uk-нас
Прийміть кодування: gzip, deflate
Агент: Mozilla/4.0 (сумісний; MSIE 6.0; Windows NT 5.1)
Хост: www.kerberos.com
Підключення:-Ауту активності
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ/EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd+aoZCA9lkh8dVY/M

Коли сервера IIS, отримує запит, сервера IIS заданої контролера домену, щоб виконати запит автентифікації. Під Вільний час перевірки автентичності клієнта підтвердження, IIS відправляє відповідь, приблизно такого вигляду:

HTTP: Код стану-відповідь, HTTP/1.1 = 200
ProtocolVersion: HTTP/1.1.
StatusCode: 200 Ok
Причина: "OK"
Сервер: Microsoft IIS/6.0
X працює за: ASP.NET
ContentLength: 19
ContentType: text/html
Кеш контроль: приватна

Примітка. Докладні інструкції про те, як місце займає перевірка автентичності NTLM не включено тут. Щоб отримати додаткові відомості про те, як працює Перевірка автентичності NTLM відвідайте веб-сайт корпорації Майкрософт:Після того, як IIS, посилає цю відповідь, IIS створює такий пов'язаний запис А в журналі служб IIS:

<Date><Time>W3SVC<ID> <serverIP>GET /time.asp - 80-домен \ користувач <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID> </Time></Date>

Посилання
Щоб отримати додаткові відомості про те, як IIS засвідчує браузер клієнтів, клацніть номер статті в базі знань Microsoft Knowledge Base:
264921 Як в IIS засвідчує браузер клієнтів
Щоб отримати додаткові відомості про виправлення неполадок, пов'язаних з автентифікацією Kerberos, у службах IIS, клацніть номер статті в базі знань Microsoft Knowledge Base:
326985 Виправлення неполадок, пов'язаних з автентифікацією Kerberos у службі IIS
Щоб отримати додаткові відомості про те, як змінити властивість AuthPersistence метабази, для контролю автентифікації, клацніть номер статті в базі знань Microsoft Knowledge Base:
318863 Як змінити властивість AuthPersistence метабази, для контролю автентифікації
Щоб отримати додаткові відомості про зниження продуктивності-проблема, яка виникає, коли використовується інтегрована автентифікація Windows IIS 6.0 клацніть номер статті в базі знань Microsoft Knowledge Base:
917557 ВИПРАВЛЕННЯ: Вам може спостерігатися зниження продуктивності, коли використовується інтегрована автентифікація Windows разом із протоколу автентифікації Kerberos, у службах IIS 6.0
Щоб отримати додаткові відомості про Microsoft NTLM відвідайте веб-сайт корпорації Майкрософт: Щоб отримати додаткові відомості про Microsoft Kerberos відвідайте веб-сайт корпорації Майкрософт:Щоб отримати додаткові відомості про автентифікації IIS інтегровані Windows відвідайте веб-сайт корпорації Майкрософт: Щоб отримати додаткові відомості про роботу з метабазою NTAuthenticationProviders власність у службах IIS 6.0 відвідайте веб-сайт корпорації Майкрософт:Додаткові відомості про на <windowsAuthentication>конфігурації властивостей у службах IIS 7.0, перейдіть на веб-сайт:</windowsAuthentication>

Попередження. Цю статтю переведено автоматично

Thuộc tính

ID Bài viết: 969060 - Xem lại Lần cuối: 07/03/2016 22:27:00 - Bản sửa đổi: 2.0

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0

  • kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtuk
Phản hồi