IIS服務器有很多值得學習的地方，這里我們主要介紹IIS服務器中的驗證器。希望對大家對IIS服務器的學習有所幫助。這種驗證方式只把客戶端訪問IIS的驗證票發送到IIS服務器，IIS收到這個票據就能確定客戶端的身份，不需要傳送用戶的密碼。需要kerberos驗證的用戶一定是域用戶。

如果用戶***次訪問IIS服務器，工作站的kinit查看本機上沒有訪問IIS服務器的驗證票，于是kinit會向驗證服務器發出請求，請求訪問IIS服務的驗證票。Kinit先要生成一個驗證器，驗證器是這樣的：{用戶名：工作站地址}用跟驗證服務器間的Session key加密。

Kinit將驗證器、票據授權票、你的名字、你的工作站地址、IIS服務名字發送的驗證服務器，驗證服務器驗證驗證授權票真實有效，然后用跟你共享的Session key解開驗證器，獲取其中的用戶名和地址，與發送這個請求的用戶和地址比較，如果相符，說明驗證通過，這個請求合法。

驗證服務器先生成這個用戶跟IIS服務器之間的Session key會話口令，之后根據用戶請求生成IIS服務器的驗證票，是這個樣子的：｛會話口令：用戶名：用戶機器地址：服務名：有效期：時間戳｝，這個驗證票用IIS服務器的密碼（驗證服務器知道所有授權服務的密碼）進行加密形成最終的驗證票。

***，驗證服務器{會話口令＋加好密的驗證票}用用戶口令加密后發送給用戶。

工作站收到驗證服務器返回的數據包，用自己的口令解密，獲得跟IIS服務器的Session key和IIS服務器的驗證票。

工作站kinit同樣要生成一個驗證器，驗證器是這樣的：{用戶名：工作站地址}用跟IIS服務器間的Session key加密。將驗證器和IIS驗證票一起發送到IIS服務器。

IIS服務器先用自己的服務器密碼解開IIS驗證票，如果解密成功，說明此驗證票真實有效，然后查看此驗證票是否在有效期內，在有效期內，用驗證票中帶的會話口令去解密驗證器，獲得其中的用戶名和工作站地址，如果跟驗證票中的用戶名和地址相符則說明發送此驗證票的用戶就是驗證票的所有者，從而驗證本次請求有效。

【編輯推薦】

1. 看IIS FTP也玩起了虛擬目錄
2. 有效管理IIS FTP的資源和用戶
3. 討論如何檢測IIS FTP工作狀態知識
4. 研究學習建立IIS FTP服務器的方法
5. 準備工作安裝IIS組件的知識