Pokyny pro nasazení aktualizace zabezpečení 2638420 popsané v bulletinu MS11-100

Překlady článku Překlady článku
ID článku: 2659968 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

SHRNUTÍ

Aktualizace zabezpečení 2638420 (popsaná v bulletinu zabezpečení MS11-100) mění způsob, jakým technologie ASP.NET vytváří lístky ověřování pomocí formulářů. Toto nové chování je nekompatibilní s původním chováním. Lístky vytvořené pomocí tohoto nového chování nelze načíst servery, které využívají staré chování, a naopak. Proto pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba použít při nasazení aktualizace zabezpečení 2638420 speciální postup a zajistit tak, že všechny servery přepnou na nové chování současně.

Pokyny pro nasazení

Vzhledem ke změně v chování lístků musí správci, jejichž aplikace využívají ověřování pomocí formulářů, použít speciální postup při nasazení aktualizace zabezpečení 2638420, aby zajistili, že všechny servery přepnou na nové chování současně.

Chcete-li určit, zda aplikace využívají ověřování pomocí fomulářů, prohlédněte soubor System.web. Aplikace využívající ověřování pomocí formulářů používají následující položku v souboru System.web:
<authentication mode="Forms">
Poznámky:
  • Výchozím režimem ověřování je režim Windows.
  • Technologie ASP.NET využívá ověřování pomocí formulářů pouze v případě, že je k tomu explicitně nakonfigurována.
Pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba nasadit aktualizaci zabezpečení 2638420 pomocí jedné z následujících metod a zajistit tak, aby weby i nadále správně fungovaly.

Metoda 1
Nasaďte aktualizaci zabezpečení 2638420 ve všech serverech webové farmy ASP.NET současně. Postupujte takto:
  1. Odeberte polovinu serverů webové farmy z rotace nástroje pro vyrovnávání zatížení.
  2. Nainstalujte aktualizace na tyto servery.
  3. Vraťte servery zpět do rotace a současně převeďte zbývající servery do režimu offline, aby je bylo možné aktualizovat.
Metoda 2
Pokud nelze nasadit aktualizaci zabezpečení 2638420 na všechny servery webové farmy současně, použijte tuto metodu.

Poznámka: Tuto metodu nedoporučujeme. Když nastavíte tento přepínač, můžete nainstalovat tuto aktualizaci zabezpečení na některých serverech webové farmy a nadále využívat původní chování. Servery využívající tento konfigurační přepínač budou v nezabezpečeném stavu a nebudou využívat všechny opravy poskytované touto aktualizací zabezpečení. Proto by konfigurační přepínač měl být odebrán, aby tak povolil nové bezpečné chování, jakmile bude aktualizace zabezpečení 2638420 nasazena ve všech serverech webové farmy.

Před zahájením instalace aktualizace zabezpečení 2638420 nastavte přepínač kompatibility v souboru Web.config nebo Machine.config, a vynuťte tak staré chování po dokončení instalace této aktualizace. Postupujte takto:
  1. Otevřete soubor Web.config nebo Machine.config v textovém editoru, např. v Poznámkovém bloku.
  2. Přidejte do tohoto souboru následující text a pak tento soubor uložte:
    <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
    </appSettings>
    Po provedení aktualizace a následném uložení souboru Web.config nebo Machine.config není třeba restartovat počítač ani žádné služby. Upozornění na změnu konfigurace bude automaticky předáváno v rámci fondu aplikací.
Soubory Web.config naleznete v následujícím umístění:

Rozhraní .NET Framework, verze 4.0 až 4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config
Rozhraní .NET Framework, verze 2.0 – 3.5 SP1
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config
V 32bitovém počítači bude existovat pouze složka Framework. V 64bitovém počítači bude existovat složka Framework i složka Framework64. Proto pokud máte k dispozici fondy 32bitových a 64bitových aplikací s kombinací CLR 2 + CLR 4, je třeba přidat příslušnou položku do všech čtyř těchto souborů.

Pokud do těchto konfiguračních souborů přidáte rovněž položku <appSettings>, změna se uplatní v rámci celého systému.

Známé problémy

  • Po dokončení instalace aktualizace zabezpečení 2638420 dochází k chybě dešifrování lístků

    Jakmile je povoleno nové chování lístků, budou zneplatněny všechny lístky ověřování pomocí formulářů, které byly vytvořeny s využitím původního chování. Pokud dojde k těmto potížím, jsou koncoví uživatelé odhlášeni a správci serverů se mohou setkávat s chybami dešifrování lístků.

    Do protokolu událostí je rovněž zaznamenána následující chybová zpráva:

    Název protokolu: Aplikace
    ID události: 1315
    Kód události: 4005
    Zpráva o události: Ověření formulářů se pro požadavek nezdařilo. Důvod: Dodaný lístek byl neplatný.

    Tyto chyby mohou způsobit neočekávané chování. Příklad: K chybám HTTP 401 a HTTP 302 může dojít, jsou-li webové stránky chráněny elementem <authorization>.

    Po dokončení instalace aktualizace zabezpečení 2638420 mohou správci očekávat několik těchto chyb šifrování lístků, protože platnost těchto dříve generovaných lístků vypršela. Počet a četnost těchto chyb by se měly průběžně snižovat tak, jak jsou generovány nové lístky. Pokud chyby dešifrování přetrvávají i po uplynutí delšího období od dokončení instalace této aktualizace zabezpečení, může to indikovat, že některé servery ve webové farmě i nadále používají původní chování lístků. Tento problém může například nastat, pokud platí některá z následujících podmínek:
    • Nejméně jeden server není aktualizován pomocí aktualizace zabezpečení 2638420.
    • Nejméně u jednoho serveru je nastaven zmíněný přepínač kompatibility. Přepínač kompatibility je popsán v tomto článku výše.

Další informace

Konfigurační přepínač TicketCompatibilityMode již není podporován

Protože aktualizace zabezpečení 2638420 mění formát lístků ověřování pomocí formulářů, není konfigurační přepínač <forms/ticketCompatibilityMode> nadále podporován, je-li aktualizace zabezpečení 2638420 nainstalována a povolena.

Další informace o konfiguračním přepínači <forms/ticketCompatibilityMode> naleznete na následujícím webu MSDN:
Obecné informace o konfiguračním přepínači <forms/ticketCompatibilityMode>
Poznámka: Toto je článek určený k rychlému zveřejnění, který vydala přímo služba podpory společnosti Microsoft. Uvedené informace jsou poskytovány jako odpověď na vzniklé problémy. Vzhledem k požadavku na rychlé zveřejnění je možné, že zpráva obsahuje typografické chyby, a může být kdykoli bez ohlášení revidována. Další pokyny naleznete v dokumentu Podmínky užití.

Vlastnosti

ID článku: 2659968 - Poslední aktualizace: 5. ledna 2012 - Revize: 1.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft .NET Framework 4.0
  • Microsoft .NET Framework 3.5 Service Pack 1
  • Microsoft .NET Framework 3.5
  • Microsoft .NET Framework 2.0 Service Pack 2
  • Microsoft .NET Framework 2.0 Service Pack 1 (x86)
  • Microsoft .NET Framework 2.0
  • Microsoft .NET Framework 1.1 Service Pack 1
  • Microsoft .NET Framework 1.1
  • Microsoft .NET Framework 1.0 Service Pack 3
  • Microsoft .NET Framework 1.0
  • Windows 7 Service Pack 1 na těchto platformách
    • Windows 7 Enterprise
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows 7 Home Premium
    • Windows 7 Home Basic
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1 na těchto platformách
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2 na těchto platformách
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Aktualizace SP2 pro Windows Vista na těchto platformách
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3 na těchto platformách
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Klíčová slova: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB2659968

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com