Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

IIS kí nhập cho xác thực tích hợp Windows

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

969060
GIỚI THIỆU
Bài viết này thảo luận về các yêu cầu và phản ứng giao tiếp giữa một khách hàng HTTP và một máy chủ Internet Information Services (IIS) khi xác thực tích hợp Windows được cấu hình. Bài viết này cũng minh hoạ cách IIS Nhật ký này quá trình xác thực trong IIS Nhật ký.
THÔNG TIN THÊM
Xác thực tích hợp Windows sử dụng cả Kerberos v5 xác thực và NTLM xác thực. Kerberos là một giao thức xác thực ngành công nghiệp-tiêu chuẩn được sử dụng để xác minh danh tính người dùng hay máy tính. Nếu Thư mục Họat động được cài đặt chuyên biệt trên một bộ bộ kiểm soát miền đang chạy Windows 2000 Server, Windows Server 2003 hoặc Windows Server 2008, và trình duyệt Web khách hàng hỗ trợ giao thức xác thực Kerberos v5, khách hàng và IIS server sử dụng Kerberos v5 xác thực. Nếu không, khách hàng và IIS server sử dụng NTLM xác thực.

Lưu ý Để biết thông tin chi tiết về xác thực tích hợp Windows, ghé thăm Web site sau của Microsoft:Cách IIS Nhật ký NTLM và Xác thực Kerberos trong IIS các kí nhập tập tin là khác nhau, tùy thuộc vào giao thức những gì đang được sử dụng.

Nếu máy chủ IIS và khách hàng HTTP mà làm cho các web site yêu cầu cả hai hỗ trợ giao thức Kerberos, và IIS được cấu hình để sử dụng Kerberos, kí nhập mục mà trông giống như dưới đây xuất hiện trong IIS kí nhập cho các khách hàng yêu cầu và hệ phục vụ phản ứng:

# Phần mềm: Microsoft Internet Information Services 6.0
# Phiên bản: 1.0# Ngày: 2009-01-01 02: 48: 20
# Các lĩnh vực: ngày thời gian s-sitename s-ip cs-phương pháp thân cây cs-uri cs-uri truy vấn s-cảng cs-username c-ip cs(User-Agent) sc-tình trạng sc-substatus sc-win32-tình trạng
2009-01-01 02: 48: 20 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 48: 21 W3SVC1 <serverIP>nhận được / - 80 Domain\User <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP>

Nếu máy chủ IIS hoặc khách hàng HTTP không hỗ trợ giao thức Kerberos, hoặc nếu máy chủ IIS được cấu hình để sử dụng chỉ NTLM, các loại sau đây của kí nhập mục xuất hiện trong IIS kí nhập cho các khách hàng yêu cầu và hệ phục vụ phản ứng:

# Phần mềm: Microsoft Internet Information Services 6.0
# Phiên bản: 1.0
# Ngày: 2009-01-05 02: 29: 47
# Các lĩnh vực: ngày thời gian s-sitename s-ip cs-phương pháp thân cây cs-uri cs-uri truy vấn s-cảng cs-username c-ip cs(User-Agent) sc-tình trạng sc-substatus sc-win32-tình trạng
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254
2009-01-01 02: 29: 47 W3SVC1 <serverIP>GET / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0
2009-01-01 02: 29: 47 W3SVC1 <serverIP>nhận được / - 80 Domain\User <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP></clientIP></serverIP></clientIP></serverIP>

Xác thực tích hợp Windows

IIS có thể được cấu hình để hỗ trợ các giao thức Negotiate, giao thức NTLM, hoặc cả hai. IIS 6.0 và phiên bản trước, điều này được thực hiện bằng cách cấu hình phím NTAuthenticationProviders metabase. Trong IIS 7.0, điều này được thực hiện bằng cách thiết lập thích hợp <Provider></Provider> nguyên tố theo các <windowsAuthentication></windowsAuthentication> yếu tố trong các tập tin ApplicationHost.config hoặc trong web.config file.

Cho biết thêm informationabout làm thế nào để Windows cấu hình tích hợp xác thực trong IIS 6.0 và phiên bản trước đó, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
215383Làm thế nào để cấu hình IIS hỗ trợ cả giao thức Kerberos và giao thức NTLM cho mạng xác thực
Để biết thêm chi tiết về làm thế nào để cấu hình Windows tích hợp xác thực trong IIS 7.0, ghé thăm Web site sau của Microsoft:

Xác thực Kerberos

Sau đây là hai ví dụ kịch bản dựa trên. Trong trường hợp đầu tiên, IIS được cấu hình để hỗ trợ cả giao thức Negotiate và giao thức NTLM. Trong trường hợp thứ hai, chỉ Negotiate giao thức được hỗ trợ.

Kịch bản 1-Negotiate giao thức và giao thức NTLM

Trong ví dụ này, IIS được cấu hình để hỗ trợ cả giao thức Negotiate và giao thức NTLM. IIS 6.0 và phiên bản trước, điều này được thực hiện bằng cách thiết lập phím NTAuthenticationProviders metabase để "Negotiate, NTLM". IIS 7.0 và phiên bản mới nhất, cả hai giao thức Negotiate và giao thức NTLM phải được liệt kê như là nhà cung cấp trong phần <windowsAuthentication>.

Lưu ý Trong ví dụ sau đây, tiêu đề yêu cầu và phản ứng tiêu đề đang chiếm được bằng cách sử dụng công cụ Microsoft Network Monitor 3.2. Tải về phiên bản mới nhất của các công cụ giám sát mạng, ghé thăm Web site sau:</windowsAuthentication> Khi Microsoft Internet Explorer làm cho một yêu cầu, Internet Explorer luôn luôn xem xét yêu cầu đầu tiên của một kết nối mới sẽ được vô danh. Vì vậy, Internet Explorer không gửi bất kỳ ủy nhiệm như một phần của yêu cầu. Đây là một ví dụ về các tiêu đề yêu cầu Internet Explorer sẽ gửi trong yêu cầu đầu tiên cho một nguồn tài nguyên:

HTTP: Yêu cầu, GET /
Lệnh: nhận được
ProtocolVersion: HTTP/1.1
Chấp nhận: hình ảnh/gif, hình ảnh/x-xbitmap, hình ảnh/jpeg, hình ảnh/pjpeg * / *
Chấp nhận ngôn ngữ: en-us
Chấp nhận-Encoding: gzip, thâu bớt
UserAgent: Mozilla/4.0 (tương thích; MSIE 6.0; Windows NT 5.1)
Máy chủ: www.kerberos.com
Kết nối: Giữ-sống

Nếu máy chủ IIS không được cấu hình để hỗ trợ vô danh xác thực, máy chủ IIS trả về một tình trạng 401.2 cho khách hàng mà khách hàng không được phép. Cùng với trạm đậu lỗi, máy chủ cũng sẽ gửi một danh sách các giao thức xác thực máy chủ hỗ trợ. Các tiêu đề phản ứng IIS trở về trong kịch bản này trông giống như sau:

HTTP: Phản ứng, HTTP/1.1, mã trạm đậu = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, trái phép
Lý do: không được phép
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: thương lượng
WWWAuthenticate: NTLM

Sau khi các IIS máy chủ gửi phản ứng này, IIS viết các mục liên kết sau đây để kí nhập IIS:

<Date> <Time>W3SVC<ID> <serverIP> nhận được / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Lưu ý Tình trạng win32 của "2148074254" (cũng được định nghĩa như là-2146893042 / 0x8009030E / SEC_E_NO_CREDENTIALS) có nghĩa là "không có chứng chỉ có sẵn trong các gói phần mềm bảo mật." Nói cách khác, các khách hàng đã không gửi bất kỳ ủy nhiệm.

Sau khi khách hàng nhận được phản ứng 401.2 từ hệ phục vụ IIS, khách hàng hiểu rằng IIS được cấu hình để sử dụng xác thực tích hợp Windows thay vì vô danh xác thực. Do đó, khách hàng phải cung cấp thông tin xác thực thích hợp trong yêu cầu của mình.

Khách hàng sau đó làm cho một yêu cầu tương tự với những điều sau đây:

HTTP: Yêu cầu, GET /
Lệnh: nhận được
URI: /
ProtocolVersion: HTTP/1.1
Chấp nhận: hình ảnh/gif, hình ảnh/x-xbitmap, hình ảnh/jpeg, hình ảnh/pjpeg * / *
Chấp nhận ngôn ngữ: en-us
Chấp nhận-Encoding: gzip, thâu bớt
UserAgent: Mozilla/4.0 (tương thích; MSIE 6.0; Windows NT 5.1)
Máy chủ: www.kerberos.com
Kết nối: Giữ-sống
Giấy phép: thương lượng
YIIJ5wYGKwYBBQUCoIIJ2zCCCdegJDAiBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICCqKCCa0EggmpYIIJpQYJKoZIhvcSAQICAQBugggtygmUMIIJkKADAgEFoQMCAQ6iBwMFACAAAACjggPMYYIDyDCCA8SgAwIBBaENGwtWQU5EQU5BLkNPTaIjMCGgAwIBAqEaMBgbBEhUVFAbEHd3dy5rZXJiZXJvc

Lưu ý Trong bài này, các Kerberos vé trong ủy quyền: thương lượng tiêu đề đã được cắt ngắn.

IIS server yeâu caàu. IIS server thấy rằng khách hàng đã bao gồm thông tin xác thực bằng cách thêm ủy quyền: thương lượng tiêu đề và giá trị. Nếu các khách hàng đã gửi thông tin ủy nhiệm hợp lệ, xác thực là thành công. IIS sau đó gửi các phản ứng sau:

HTTP: Phản ứng, HTTP/1.1, mã trạm đậu = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, Ok
Lý do: OK
Ngày: xxx, <Date> <Time>GMT
Server: Microsoft-IIS/6.0
ContentLength: 19
ContentType: text/html
WWWAuthenticate: Thương lượng =</Time> </Date>

Lưu ý Các bước chi tiết về cách Xác thực Kerberos diễn ra được không bao gồm ở đây. Để biết thêm chi tiết về cách thức hoạt động Xác thực Kerberos, ghé thăm Web site sau của Microsoft:IIS sau đó viết các mục sau đây để kí nhập IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET /time.asp - 80 Domain\user <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

Kịch bản 2 - đàm phán nghị định thư

Trong kịch bản mà IIS được cấu hình để hỗ trợ chỉ giao thức Negotiate thay vì giao thức Negotiate và giao thức NTLM, yêu cầu và phản ứng dòng chảy là như nhau. kí nhập vào IIS Nhật ký cũng là như nhau. Sự khác biệt là trong các phản ứng ban đầu IIS làm cho yêu cầu vô danh từ trình duyệt. Trong trường hợp này, IIS gửi chỉ tiêu đề Negotiate:

HTTP: Hồi đáp, HTTP/1.1,
Mã trạm đậu = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, trái phép
Lý do: không được phép
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: thương lượng

Xác thực NLTM

Đây là một kịch bản dựa trên ví dụ trong đó IIS được cấu hình để hỗ trợ chỉ NTLM giao thức. IIS 6.0 và phiên bản trước, điều này được thực hiện bởi có chìa khóa NTAuthenticationProviders metabase được thiết lập để "NTLM". IIS 7.0 và phiên bản mới nhất, chỉ NTLM giao thức phải được liệt kê như là một nhà cung cấp trong phần <windowsAuthentication>.

Một lần nữa, Internet Explorer không bao gồm bất kỳ thông tin xác thực trong yêu cầu đầu tiên trên một kết nối mới:</windowsAuthentication>

HTTP: Yêu cầu, GET /
Lệnh: nhận đượcProtocolVersion: HTTP/1.1
Chấp nhận: hình ảnh/gif, hình ảnh/x-xbitmap, hình ảnh/jpeg, hình ảnh/pjpeg * / *
Chấp nhận ngôn ngữ: en-us
Chấp nhận-Encoding: gzip, thâu bớt
UserAgent: Mozilla/4.0 (tương thích; MSIE 6.0; Windows NT 5.1)
Máy chủ: www.kerberos.com
Kết nối: Giữ-sống

Nếu máy chủ IIS không được cấu hình để hỗ trợ vô danh xác thực, máy chủ trả về một tình trạng 401.2 cho khách hàng mà khách hàng không được phép. Cùng với trạm đậu lỗi, máy chủ cũng sẽ gửi một danh sách các giao thức xác thực máy chủ hỗ trợ. Các tiêu đề phản ứng IIS trở lại trong trường hợp này chỉ có NTLM trông giống như sau:

HTTP: Phản ứng, HTTP/1.1, mã trạm đậu = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, trái phép
Lý do: không được phép
ContentLength: 1656
ContentType: text/html
Server: Microsoft-IIS/6.0
WWWAuthenticate: NTLM

IIS sau đó viết một mục nhập tương tự với phần sau đây để kí nhập IIS:

<Date> <Time>W3SVC<ID> <serverIP> nhận được / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 2 2148074254</clientIP> </serverIP> </ID></Time></Date>

Khi khách hàng nhận được thông báo của máy chủ máy chủ hỗ trợ giao thức NTLM, khách hàng re-sends yêu cầu. Khách hàng bao gồm thông tin xác thực trong một tiêu đề cho phép:

HTTP: Yêu cầu, GET /
Lệnh: nhận được
URI: /
ProtocolVersion: HTTP/1.1
Chấp nhận: hình ảnh/gif, hình ảnh/x-xbitmap, hình ảnh/jpeg, hình ảnh/pjpeg * / *
Chấp nhận ngôn ngữ: en-us
Chấp nhận-Encoding: gzip, thâu bớt
UserAgent: Mozilla/4.0 (tương thích; MSIE 6.0; Windows NT 5.1)
Máy chủ: www.kerberos.com
Kết nối: Giữ-sống
Giấy phép: NTLM TlRMTVNTUAABAAAAB7IIoAcABwssAoAAAACAAIACAAAABWQU5XSU5YUFZBTkRBTkE =

Là một phần của bắt tay NTLM, máy chủ thừa nhận rằng các khách hàng đã gửi thông tin xác thực. Tuy nhiên, hệ phục vụ nhu cầu của khách hàng để gửi thêm thông tin. Do đó, các máy chủ trả về một phản ứng 401 tương tự với những điều sau đây:

HTTP: Phản ứng, HTTP/1.1, mã trạm đậu = 401
ProtocolVersion: HTTP/1.1
StatusCode: 401, trái phép
Lý do: không được phép
ContentLength: 1539
ContentType: text/html
Server: Microsoft-IIS/6.0
NTLMAuthorization: NTLM
TlRMTVNTUAACAAAADgAOADgAAAAFgomiRCfS+kdwvJ0MAAAAAAAAAAJYAlgBGAAAABQLODgAAAA9WAEEATgBEAEEATgBBAAIADgBWAEEATgBEAEEATgBBAAEAFgBXAEkATgBEAEss8AVwBTADIAMAAwADMABAAWAHYAYQBuAGQAYQBuAGEALgBjAG8AbQADAC4AVwBpAG4AZABvAHcAcwAyADAAMAAzAC4AdgBhAG4AZA

IIS sau đó viết một mục nhập vào IIS Nhật ký giống như sau:

<Date> <Time>W3SVC<ID> <serverIP> nhận được / - 80 - <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 401 1 0</clientIP> </serverIP> </ID></Time></Date>

Tình trạng 401.1 IIS sẽ gửi cho các khách hàng mà khách hàng phải cung cấp cho phần còn lại của thông tin xác thực hợp lệ. Khách hàng nhận được thử thách này. Khách hàng sau đó sẽ gửi một yêu cầu thêm tương tự với những điều sau đây:

HTTP: Yêu cầu, GET /
Lệnh: nhận được
URI: /
ProtocolVersion: HTTP/1.1
Chấp nhận: hình ảnh/gif, hình ảnh/x-xbitmap, hình ảnh/jpeg, hình ảnh/pjpeg * / *
Chấp nhận ngôn ngữ: en-us
Chấp nhận-Encoding: gzip, thâu bớt
UserAgent: Mozilla/4.0 (tương thích; MSIE 6.0; Windows NT 5.1)
Máy chủ: www.kerberos.com
Kết nối: Giữ-sống
NTLMAuthorization: NTLM
TlRMTVNTUAADAAAAGAAYAHgAAAAYABgAkAAAAA4ADgBAAAAAGgAaAE4AAAAQABAAaAAAAAAAAACoAAAABYKIoFYAQQBOAEQAQQBOAEEAQQBkAG0AaQBuAGkAcwB0AwwHIAYQB0AG8AcgBWAEEATgBXAEkATgBYAFAAo53RVbJ / EucAAAAAAAAAAAAAAAAAAAAAcWyNNNlQLNMC3EVd + aoZCA9lkh8dVY/M

Khi máy chủ IIS nhận được yêu cầu này, các máy chủ IIS liên lạc với bộ bộ kiểm soát miền để hoàn thành yêu cầu xác thực. Khi yêu cầu xác thực của khách hàng được xác nhận, IIS sẽ gửi một phản ứng tương tự với những điều sau đây:

HTTP: Phản ứng, HTTP/1.1, mã trạm đậu = 200
ProtocolVersion: HTTP/1.1
StatusCode: 200, Ok
Lý do: OK
Server: Microsoft-IIS/6.0
X-cung cấp-bởi: ASP.NET
ContentLength: 19
ContentType: text/html
Cache-control: tư nhân

Lưu ý Các bước chi tiết về cách NTLM xác thực diễn ra được không bao gồm ở đây. Để biết thêm chi tiết về cách thức hoạt động NTLM xác thực, ghé thăm Web site sau của Microsoft:Sau khi IIS gửi phản ứng này, IIS viết các mục liên kết sau đây để kí nhập IIS:

<Date> <Time>W3SVC<ID> <serverIP> GET /time.asp - 80 Domain\User <clientIP>Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1) 200 0 0</clientIP> </serverIP> </ID></Time></Date>

THAM KHẢO
Cho biết thêm informationabout làm IIS authenticates trình duyệt khách hàng, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
264921Làm thế nào IIS authenticates trình duyệt khách hàng
Cho biết thêm informationabout làm thế nào để khắc phục các vấn đề liên quan đến Kerberos trong IIS, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
326985Làm thế nào để khắc phục các vấn đề liên quan đến Kerberos trong IIS
Cho biết thêm informationabout làm thế nào để sửa đổi các tài sản AuthPersistence Metabase để xác thực điều khiển, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
318863Làm thế nào để sửa đổi các tài sản AuthPersistence Metabase để điều khiển xác thực
Cho nhiều informationabout một vấn đề hiệu suất chậm xảy ra khi bạn sử dụng xác thực tích hợp Windows IIS 6.0, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
917557Khắc phục: Bạn có thể gặp chậm hiệu suất khi bạn sử dụng xác thực tích hợp Windows cùng với giao thức Xác thực Kerberos trong IIS 6.0
Để biết thêm chi tiết về Microsoft NTLM, ghé thăm Web site sau của Microsoft: Để biết thêm chi tiết về Microsoft Kerberos, ghé thăm Web site sau của Microsoft:Để biết thêm chi tiết về xác thực IIS tích hợp Windows, ghé thăm Web site sau của Microsoft: Để biết thêm chi tiết về tài sản NTAuthenticationProviders metabase trong IIS 6.0, ghé thăm Web site sau của Microsoft:Để biết thêm thông tin về các <windowsAuthentication>tài sản cấu hình IIS 7.0, ghé thăm Web site sau:</windowsAuthentication>

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 969060 - Xem lại Lần cuối: 07/06/2012 18:02:00 - Bản sửa đổi: 1.0

  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
  • Microsoft Internet Information Services 6.0
  • kbexpertiseinter kbexpertiseadvanced kbhowto kbsurveynew kbmt KB969060 KbMtvi
Phản hồi