修正: 到 web 伺服器執行 Forefront 威脅管理閘道 2010 POST 要求可能會失敗

文章翻譯 文章翻譯
文章編號: 2596444 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

請考慮下列案例:
  • 您必須執行 Microsoft Forefront 威脅管理閘道 (TMG) 2010年的伺服器。
  • TMG 伺服器已經設立成網頁伺服器。
  • TMG 網頁接聽程式會使用表單驗證搭配 NTLM 委派至已發佈的 web 伺服器。
  • 有 TMG 的 web 伺服器的 POST 要求。
在這個案例中,POST 要求可能會失敗。這可能會造成失敗的 POST 要求的類型而定的各種應用程式問題。

發生的原因

如果下列情況成立,就會發生這個問題:
  • 正在使用 TMG 表單型驗證。
  • NTLM 委派給代理人,驗證已發佈的網頁伺服器的 TMG 發佈規則中設定。
  • ISA 會將要求傳送到 web 伺服器上已驗證連線。
  • Web 伺服器會以 401 回應。
當使用 NTLM 委派時,TMG 會驗證該連線的 web 伺服器的第一個要求的 web 伺服器的連線。驗證會接著被保存在連線] 中,以便稍後的要求不需要有重新驗證。

如果要求傳送至 web 伺服器上已驗證連線時,web 伺服器可能回應與非預期的 401 驗證要求。會發生這個問題可以要求服務的不同的應用程式集區,在 web 伺服器上,因為 IIS 不會保留在應用程式集區之間的驗證。

使用表單型驗證時,TMG 會處理未預期的 401 要求,在使用者重新導向回到原來要求的資源,並新增 AuthResend 標記的 url。當用戶端進行第二個要求時,TMG 會判斷要求由 AuthResend 標籤需要重新驗證,並要求傳送到 web 伺服器之前,則會移除 [AuthResend] 標籤。

不過,重新導向,不包括 HTTP 方法,而且用戶端會重新導向後讓 GET 要求。因此,不會傳送的 POST 要求和張貼內容至 web 伺服器。

例如 Strace、 HTTPWatch 或 Fiddler 的工具可以用於在用戶端判斷 TMG 是否正在傳送回應 POST 要求有 AuthResend 標記的重新導向。例如,URL http://domain/test.asp 的要求重新導向會如下所示: http://domain/test.asp&authResendNNN

TMG 網頁 proxy 記錄不會顯示 [AuthResend] 標籤,因為 URL 傳送到 web 伺服器,並會因此也不會記錄之前,將會移除從 URL 的標記。

GET 要求,可能也會出現這個問題。然而,行為不會發生問題,因為重新導向將 GET 要求,以重新送出,這不會造成相同的問題。

解決方案

沒有可以告訴自動重新驗證非 GET 要求中的 TMG 的發佈規則設定的內部設定。這可以避免未預期的 401 要求從 web 伺服器。

根據預設,TMG Service Pack 2 中啟用此設定是在網頁發佈的規則上的網頁接聽程式具有表單架構驗證,且使用 NTLM 委派上。

若要解決這個問題,請安裝下列 「 Microsoft 知識庫 」 文件的 service pack 所述:
2555840 Microsoft Forefront 威脅管理閘道 2010年服務套件 2 的描述

狀況說明

Microsoft 已確認這是 「 套用 」 一節所列的 Microsoft 產品中的問題。

其他相關資訊

若要解決這個問題,或沒有 Service Pack 2 的 TMG 上 ISA 2006,您可以使用下列指令碼,指定的網頁發佈規則上設定的內部的參數。根據預設,這是 TMG Service Pack 2 的設定。

若要使用的指令碼,將它複製到 「 記事本 」 中,並將其儲存為一個陣列成員的.vbs 檔案。

編輯指令碼,在下的面這一行取代 ReplaceRuleNameHere 相關的網頁發佈規則名稱:
argRuleName = "ReplaceRuleNameHere"
其中一個陣列中的陣列成員上,然後執行下列指令碼:
argRuleName = "ReplaceRuleNameHere"
argParamName = "SendLogonOn401"
argVal = "true"

Set rule = CreateObject("FPC.Root").GetContainingArray.ArrayPolicy.PolicyRules.Item(argRuleName)
Set VendorSets = rule.VendorParametersSets

On Error Resume Next
Set VendorSet = VendorSets.Item( "{5e302ed5-f5d5-4fad-9b8a-01c72e1569f3}" )
If Err.Number <> 0 Then
Err.Clear
Set VendorSet = VendorSets.Add( "{5e302ed5-f5d5-4fad-9b8a-01c72e1569f3}" )
CheckError
WScript.Echo "No existing VendorSet."
Else
WScript.Echo "Existing VendorSet found. Values in it:"
for each name in VendorSet.allNames
WScript.Echo " ", name, "=", VendorSet.Value(name)
next
WScript.Echo "-------------------------------------"
End If

On Error GoTo 0

On Error Resume Next
valType = "Int" : Val = CInt(argVal)
If Err.Number <> 0 Then
Err.Clear
valType = "Boolean" : Val = CBool(argVal)
If Err.Number <> 0 Then
Err.Clear
valType = "String" : Val = CStr(argVal)
End If
End If

WScript.Echo "Setting", argParamName, "=", Val, "(type=" & valType & ")"
VendorSet.Value(argParamName) = Val

VendorSet.Save

Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub

?考

如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
編號 824684 用來描述 Microsoft 軟體更新標準術語的說明

屬性

文章編號: 2596444 - 上次校閱: 2011年10月17日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Microsoft Forefront Threat Management Gateway 2010 Enterprise
  • Microsoft Forefront Threat Management Gateway 2010 Standard
  • Microsoft Forefront Threat Management Gateway 2010 Service Pack 1
關鍵字:?
kbfix kbbug kbexpertiseinter kbsurveynew kbmt KB2596444 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:2596444
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com