A autenticação falha quando os computadores cliente utilizam o Internet Explorer 7 para se autenticar junto de um computador com o ISA Server a montante através de um computador com o ISA Server a jusante que não requer autenticação

Considere o seguinte cenário:

• Configura um computador com o ISA Server (Microsoft Internet Security and Acceleration) a montante que requer autenticação.
• Configura um computador com o ISA Server a jusante que não requer autenticação.
• Os computadores cliente ligados ao computador com o ISA Server a jusante executam o Windows Internet Explorer 7.

Neste cenário, os computadores cliente não se conseguem autenticar junto do computador com o ISA Server a montante.

Os computadores cliente com o Internet Explorer 7 obtêm uma permissão Kerberos válida para autenticação junto do servidor a jusante. Contudo, a autenticação desta permissão Kerberos não é validada junto do computador com o ISA Server a montante.

Especificamente, quando o computador com o ISA Server a montante solicita a autenticação, o computador cliente obtém uma permissão Kerberos para o servidor a jusante. Esta permissão Kerberos é válida para autenticação junto do computador com o ISA Server a jusante. Esta permissão não pode ser utilizada para autenticação junto do computador com o ISA Server a montante. Quando a permissão Kerberos é apresentada ao computador com o ISA Server a montante, este não consegue validar a permissão. Por conseguinte, a autenticação falha.

Notas

• O computador com o ISA Server a jusante é o servidor proxy com o qual o computador cliente está a comunicar.
• O Internet Explorer 7 inclui suporte para a autenticação Kerberos junto de servidores proxy.

A autenticação NTLM é o método de autenticação alternativo para circunstâncias em que a autenticação Kerberos falha. Contudo, o computador cliente não utiliza a autenticação NTLM porque obteve uma permissão Kerberos com êxito do servidor proxy.

Informações sobre a correcção

A Microsoft tem disponível uma correcção suportada para este problema. Contudo, esta correcção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico. Esta correcção poderá ser submetida a testes adicionais. Como tal, se não estiver a ser gravemente afectado por este problema, a Microsoft recomenda que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção estiver disponível para transferência, existirá uma secção denominada "Transferência de correcção disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correcção.

Nota: caso ocorram problemas adicionais ou seja necessário efectuar algum procedimento para resolução de problemas, poderá ter de criar um pedido de suporte separado. Os custos normais do suporte serão aplicados a problemas e questões de suporte adicionais, não incluídos nesta correcção específica. Para obter uma lista completa dos números de telefone do Suporte ao Cliente da Microsoft ou para criar um pedido de serviço separado, visite o seguinte Web site da Microsoft: Nota: o formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, tal deve-se ao facto de a correcção não estar disponível para esse idioma.

Pré-requisitos

O computador tem de estar a executar o ISA Server 2004 Service Pack 2 (SP2) para aplicar a versão do ISA Server 2004 desta correcção.

Necessidade de reinício

Após aplicar esta correcção, esta irá reiniciar os serviços do ISA Server.

Informações sobre a substituição de correcções

Esta correcção não substitui quaisquer outras.

Informações sobre os ficheiros

A versão em inglês desta correcção possui os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na tabela a seguir. As datas e horas destes ficheiros são indicadas no formato de Hora Universal Coordenada (UTC). Ao visualizar as informações dos ficheiros, estas serão convertidas para a hora local. Para determinar a diferença entre a hora UTC e a hora local, utilize o separador Fuso horário do item Data e Hora do Painel de controlo.

ISA Server 2006

ISA Server 2004, Enterprise Edition

ISA Server 2004, Standard Edition

Informações pós-instalação da correcção

Após aplicar esta correcção, será necessário configurar o computador com o ISA Server a montante para apenas devolver os cabeçalhos de autenticação NTLM quando a Autenticação integrada do Windows for utilizada.

Nota: isto é uma definição global do ISA Server. Este script modificará os cabeçalhos de autenticação devolvidos pelos pedidos de proxy reencaminhados e recebidos (proxy Web e agentes de escuta de publicação Web).

Para nos solicitar a configuração do computador com o ISA Server a montante para devolver cabeçalhos de autenticação NTLM quando a Autenticação integrada do Windows for utilizada, consulte a secção "Corrigir por mim". Se preferir corrigir este problema sozinho, consulte a secção "Deixar-me corrigir o problema".

Corrigir por mim

Para resolver este problema automaticamente, clique na hiperligação Corrigir este problema, clique em Executar na caixa de diálogo Transferência de Ficheiros e siga as instruções indicadas pelo assistente.


Nota: embora este assistente possa estar apenas em inglês, a correcção automática também funciona em versões do Windows noutros idiomas.

Nota: se não estiver a trabalhar no computador que tem o problema, pode guardar a correcção automática numa unidade Flash ou num CD. Em seguida, pode executar esta correcção no computador que tem o problema.

Deixar-me corrigir o problema

Para configurar o computador com o ISA Server a montante para devolver cabeçalhos de autenticação NTLM quando a Autenticação integrada do Windows for utilizada, execute o seguinte script do Microsoft Visual Basic seguindo estes passos:

1. Clique em Iniciar, aponte para Programas, aponte para Acessórios e clique em Bloco de notas.
2. Copie o seguinte código e cole-o no Bloco de notas.
   

   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   '
   ' Copyright (c) Microsoft Corporation. Todos os direitos reservados.
   ' ESTE CÓDIGO É DISPONIBILIZADO TAL COMO ESTÁ, SEM QUALQUER TIPO DE GARANTIA. TODOS OS
   ' RISCOS OU RESULTADOS DECORRENTES DA UTILIZAÇÃO DESTE CÓDIGO SERÃO DA RESPONSABILIDADE DO
   ' UTILIZADOR. A UTILIZAÇÃO E REDISTRIBUIÇÃO DESTE CÓDIGO, COM OU SEM MODIFICAÇÕES, É
   ' AUTORIZADA PELO PRESENTE.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' Este script define esquemas de autenticação que serão devolvidos pelo ISA para a Autenticação integrada.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_default = 0 ' Use Negotiate and Kerberos, too.
   const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_Always  = 1
   
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOnlyNTLMForWindowsAuth"
   Const SE_VPS_VALUE = 1
   
   Sub SetValue()
   
       ' Create the root object.
       Dim root  ' The FPCLib.FPC root object
       Set root = CreateObject("FPC.Root")
   
       'Declare the other objects that are needed.
       Dim array       ' An FPCArray object
       Dim VendorSets  ' An FPCVendorParametersSets collection
       Dim VendorSet   ' An FPCVendorParametersSet object
   
       ' Get references to the array object
       ' and to the network rules collection.
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
   
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
   
       If Err.Number <> 0 Then
           Err.Clear
   
           ' Add the item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
   
       Else
           WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
       End If
   
       if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
   
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
   
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
   
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   
   End Sub
   
   Sub CheckError()
   
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   
   End Sub
   
   SetValue
   

3. Guarde este ficheiro do Bloco de notas como UseOnlyNTLMforWindowsAuth.vbs.
4. Faça duplo clique no ficheiro .vbs para executar o script.

Nota: para reverter a definição de autenticação predefinida, altere o valor SE_VPS_VALUE para 0 e volte a executar o script.

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

É possível que ocorra outro problema depois de activar esta correcção no servidor a montante. Para obter mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

Para obter mais informações sobre a terminologia de actualizações de software, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft: