Niepowodzenie uwierzytelniania podczas uwierzytelniania komputerów klienckich przy u¿yciu programu Internet Explorer 7 na komputerze nadrzêdnym z progr. ISA Server za poœrednictwem komputera podrzêdnego z progr. ISA Server niewymagaj¹cego uwierzyt...

Przyk³adowy scenariusz:

• U¿ytkownik konfiguruje komputer nadrzêdny z programem Microsoft Internet Security and Acceleration (ISA) Server, który wymaga uwierzytelniania.
• U¿ytkownik konfiguruje komputer podrzêdny z programem ISA Server, który nie wymaga uwierzytelniania.
• Na komputerach klienckich po³¹czonych z komputerem podrzêdnym z programem ISA Server jest uruchomiony program Windows Internet Explorer 7.

W tym scenariuszu nie mo¿na uwierzytelniæ komputerów klienckich na komputerze nadrzêdnym z programem ISA Server.

Komputery klienckie z programem Internet Explorer 7 uzyskuj¹ bilet protoko³u Kerberos, który umo¿liwia uwierzytelnianie na serwerze podrzêdnym. Jednak ten bilet protoko³u Kerberos nie jest zatwierdzony przez komputer nadrzêdny z programem ISA Server, na którym odbywa siê uwierzytelnianie.

Kiedy komputer nadrzêdny z programem ISA Server ¿¹da uwierzytelnienia, komputer kliencki uzyskuje bilet protoko³u Kerberos dla serwera podrzêdnego. Bilet protoko³u Kerberos umo¿liwia uwierzytelnianie na komputerze podrzêdnym z programem ISA Server. Ten bilet nie umo¿liwia uwierzytelniania na komputerze nadrzêdnym z programem ISA Server. Kiedy bilet protoko³u Kerberos jest przedstawiany na komputerze nadrzêdnym z programem ISA Server, nie mo¿e zostaæ zatwierdzony. Dlatego uwierzytelnianie koñczy siê niepowodzeniem.

Uwagi

• Komputer podrzêdny z programem ISA Server to serwer proxy, z którym komputer kliencki nawi¹zuje komunikacjê.
• Program Internet Explorer 7 obs³uguje uwierzytelnianie Kerberos na serwerach proxy.

W sytuacji, gdy uwierzytelnianie Kerberos koñczy siê niepowodzeniem, alternatywnym rozwi¹zaniem jest uwierzytelnianie NTLM. Jednak komputer kliencki nie korzysta z uwierzytelniania NTLM, poniewa¿ pomyœlnie uzyska³ bilet Kerberos dla serwera proxy.

Informacje o poprawce

Firma Microsoft udostêpni³a obs³ugiwan¹ poprawkê. Jednak jest ona przeznaczona tylko do usuniêcia problemu opisanego w tym artykule. Tê poprawkê nale¿y stosowaæ tylko w tych systemach, w których wystêpuje opisany problem. Poprawka mo¿e byæ nadal w fazie testowania. Jeœli dany system nie jest powa¿nie nara¿ony na ten problem, firma Microsoft zaleca, aby poczekaæ na nastêpn¹ aktualizacjê oprogramowania zawieraj¹c¹ tê poprawkê.

Jeœli poprawka jest dostêpna do pobrania, na pocz¹tku tego artyku³u z bazy wiedzy Knowledge Base jest umieszczona sekcja „Poprawka dostêpna do pobrania”. Jeœli nie ma tej sekcji, nale¿y skontaktowaæ siê z dzia³em pomocy technicznej firmy Microsoft w celu uzyskania poprawki.

Uwaga W przypadku wyst¹pienia dodatkowych problemów lub koniecznoœci rozwi¹zania problemu mo¿e byæ wymagane utworzenie osobnego zlecenia us³ugi. Typowe op³aty za korzystanie z pomocy technicznej bêd¹ pobierane tylko w przypadku dodatkowych pytañ i problemów, których nie mo¿na rozwi¹zaæ przy u¿yciu tej poprawki. Aby uzyskaæ pe³n¹ listê numerów telefonów dzia³u pomocy technicznej firmy Microsoft lub utworzyæ osobne zlecenie us³ugi, odwiedŸ nastêpuj¹c¹ witrynê firmy Microsoft w sieci Web: Uwaga Sekcja „Poprawka dostêpna do pobrania” zawiera listê jêzyków, dla których ta poprawka jest dostêpna. Jeœli odpowiedni jêzyk nie jest widoczny, oznacza to, ¿e ta poprawka nie jest dostêpna dla tego jêzyka.

Wymagania wstêpne

Aby mo¿na by³o zastosowaæ poprawkê dla programu ISA Server 2004, na komputerze musi byæ uruchomiony program ISA Server 2004 z dodatkiem Service Pack 2 (SP2).

Wymaganie dotycz¹ce ponownego uruchomienia

Gdy ta poprawka zostanie zastosowana, nast¹pi ponowne uruchomienie us³ug programu ISA Server.

Informacje dotycz¹ce zastêpowania poprawek

Ta poprawka nie zastêpuje ¿adnych innych poprawek.

Informacje o plikach

Wersja anglojêzyczna tej poprawki ma atrybuty plików pokazane w poni¿szej tabeli (lub nowsze). Daty i godziny odpowiadaj¹ce tym plikom zosta³y podane w formacie uniwersalnego czasu koordynowanego (UTC). Podczas wyœwietlania przez u¿ytkownika informacji o plikach daty i godziny s¹ konwertowane na czas lokalny. Aby zobaczyæ ró¿nicê miêdzy czasem UTC a czasem lokalnym, nale¿y skorzystaæ z karty Strefa czasowa apletu Data i godzina w Panelu sterowania.

ISA Server 2006

ISA Server 2004 Enterprise Edition

ISA Server 2004 Standard Edition

Informacje dotycz¹ce czynnoœci po zainstalowaniu poprawki

Po zastosowaniu tej poprawki nale¿y skonfigurowaæ komputer nadrzêdny z programem ISA Server tak, aby nag³ówki uwierzytelniania NTLM by³y zwracane tylko w przypadku korzystania ze zintegrowanego uwierzytelniania systemu Windows.

Uwaga Jest to ustawienie globalne programu ISA Server. Ten skrypt zmieni nag³ówki uwierzytelniania zwracane dla ¿¹dañ podstawowych i zwrotnych serwera proxy (serwera proxy w sieci Web i obiektów nas³uchuj¹cych publikowania w sieci Web).

Aby automatycznie skonfigurowaæ komputer nadrzêdny z programem ISA Server tak, aby nag³ówki uwierzytelniania NTLM by³y zwracane w przypadku korzystania ze zintegrowanego uwierzytelniania systemu Windows, przejdŸ do sekcji Automatyczne rozwi¹zywanie problemu. Aby samodzielnie rozwi¹zaæ ten problem, przejdŸ do sekcji Samodzielne rozwi¹zywanie problemu.

Automatyczne rozwi¹zywanie problemu

Aby automatycznie rozwi¹zaæ ten problem, nale¿y klikn¹æ ³¹cze Rozwi¹¿ ten problem, klikn¹æ przycisk Uruchom w oknie dialogowym Pobieranie pliku, a nastêpnie postêpowaæ zgodnie z instrukcjami przedstawionymi w kreatorze.


Uwaga Ten kreator mo¿e byæ dostêpny tylko w jêzyku angielskim. Jednak ta poprawka automatyczna dzia³a równie¿ w innych wersjach jêzykowych systemu Windows.

Uwaga Jeœli u¿ytkownik nie korzysta z komputera, którego dotyczy problem, mo¿na zapisaæ poprawkê automatyczn¹ na dysku flash lub dysku CD. Nastêpnie mo¿na uruchomiæ tê poprawkê na komputerze, którego dotyczy problem.

Samodzielne rozwi¹zywanie problemu

Aby samodzielnie skonfigurowaæ komputer nadrzêdny z programem ISA Server tak, aby nag³ówki uwierzytelniania NTLM by³y zwracane w przypadku korzystania ze zintegrowanego uwierzytelniania systemu Windows, nale¿y uruchomiæ nastêpuj¹cy skrypt jêzyka Microsoft Visual Basic, wykonuj¹c nastêpuj¹ce czynnoœci:

1. Kliknij przycisk Start, wska¿ polecenie Programy, wska¿ polecenie Akcesoria, a nastêpnie kliknij polecenie Notatnik.
2. Skopiuj poni¿szy kod i wklej go do Notatnika.
   

   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   '
   ' Copyright (c) Microsoft Corporation. Wszelkie prawa zastrze¿one.
   ' TEN KOD JEST UDOSTÊPNIANY TAKI, JAKI JEST, BEZ JAKIEJKOLWIEK GWARANCJI. CA£E RYZYKO
   ' ZWI¥ZANE Z U¯YCIEM TEGO KODU I JEGO KONSEKWENCJAMI PONOSI
   ' U¯YTKOWNIK. NINIEJSZYM ZEZWALA SIÊ NA U¯YWANIE I ROZPOWSZECHNIANIE TEGO KODU W FORMIE NIEZMIENIONEJ
   ' LUB ZMIENIONEJ.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' Ten skrypt ustawia schematy uwierzytelniania, które bêd¹ zwracane przez program ISA w przypadku korzystania z uwierzytelniania zintegrowanego.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_default = 0 ' Mo¿na równie¿ u¿yæ wartoœci dotycz¹cych negocjacji i protoko³u Kerberos.
   const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_Always  = 1
   
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOnlyNTLMForWindowsAuth"
   Const SE_VPS_VALUE = 1
   
   Sub SetValue()
   
       ' Nale¿y utworzyæ obiekt g³ówny.
       Dim root  ' Obiekt g³ówny FPCLib.FPC
       Set root = CreateObject("FPC.Root")
   
       ' Nale¿y zadeklarowaæ inne wymagane obiekty.
       Dim array       ' Obiekt FPCArray
       Dim VendorSets  ' Zbiór FPCVendorParametersSets
       Dim VendorSet   ' Obiekt FPCVendorParametersSet
   
       ' Nale¿y uzyskaæ odwo³ania do obiektu tablicy
       ' i zbioru regu³ sieciowych.
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
   
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
   
       If Err.Number <> 0 Then
           Err.Clear
   
           ' Nale¿y dodaæ element.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
   
       Else
           WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
       End If
   
       if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
   
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
   
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
   
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   
   End Sub
   
   Sub CheckError()
   
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   
   End Sub
   
   SetValue
   

3. Zapisz ten plik Notatnika, u¿ywaj¹c nazwy UseOnlyNTLMforWindowsAuth.vbs.
4. Kliknij dwukrotnie plik vbs, aby uruchomiæ skrypt.

Uwaga Aby przywróciæ domyœlne ustawienie uwierzytelniania, nale¿y zmieniæ ustawienie SE_VPS_VALUE na wartoœæ 0, a nastêpnie ponownie uruchomiæ skrypt.

Firma Microsoft potwierdzi³a, ¿e jest to problem wystêpuj¹cy w produktach firmy Microsoft wymienionych w sekcji „Informacje zawarte w tym artykule dotycz¹”.

Po w³¹czeniu tej poprawki na serwerze nadrzêdnym mo¿e wyst¹piæ inny problem. Aby uzyskaæ wiêcej informacji, kliknij nastêpuj¹cy numer artyku³u w celu wyœwietlenia tego artyku³u z bazy wiedzy Microsoft Knowledge Base:

Aby uzyskaæ wiêcej informacji dotycz¹cych terminologii aktualizacji oprogramowania, kliknij nastêpuj¹cy numer artyku³u w celu wyœwietlenia tego artyku³u z bazy wiedzy Microsoft Knowledge Base: