Ocorre falha na autenticação quando computadores cliente usam o Internet Explorer 7 para se autenticarem com um computador do ISA Server upstream por meio de um computador do ISA Server downstream que não exige autenticação

Considere o seguinte cenário:

• Você configura um computador do Microsoft Internet Security and Acceleration (ISA) upstream que exige autenticação.
• Você configura um computador do ISA Server downstream que não exige autenticação.
• Os computadores cliente que estão conectados ao computador do ISA Server downstream estão executando o Windows Internet Explorer 7.

Nesse cenário, os computadores cliente não podem autenticar-se com o computador do ISA Server upstream.

Os computadores cliente que estão executando o Internet Explorer 7 obtêm um tíquete Kerberos válido para autenticação com o servidor downstream. No entanto, esse tíquete Kerberos não é validado pelo computador do ISA Server upstream de autenticação.

Mais especificamente, quando o computador do ISA Server upstream exige autenticação, o computador cliente obtém um tíquete Kerberos para o servidor downstream. O tíquete é válido para autenticação com o computador do ISA Server downstream. Não é possível usá-lo para autenticação com o computador do ISA Server upstream. Quando o tíquete Kerberos é apresentado para o computador do ISA Server upstream, o computador não consegue validá-lo. Por isso, a autenticação apresenta falhas.

Observações

• O computador do ISA Server é o servidor proxy com o qual o computador cliente está se comunicando.
• O Internet Explorer 7 inclui suporte à autenticação Kerberos em servidores proxy.

A autenticação NTLM é o método de autenticação alternativo para instâncias nas quais há falha na autenticação Kerberos. No entanto, o computador cliente não usa a autenticação NTLM porque ele obteve com êxito um tíquete Kerberos para o servidor proxy.

Informações sobre o hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique-o somente nos sistemas que apresentarem esse problema específico. Testes adicionais podem ser realizados nesse hotfix. Portanto, se o problema não prejudicar você, é aconselhável aguardar a próxima atualização de software que contenha esse hotfix.

Se o hotfix estiver disponível para download, existirá uma seção "Download de hotfix disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se essa seção não for exibida, contate o Suporte e Atendimento ao Cliente Microsoft para obter o hotfix.

Observação Caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, pode ser necessário criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões e problemas de suporte que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento ao Cliente da Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft: Observação O formulário "Download de hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se seu idioma não for exibido, não haverá hotfixes disponíveis para ele.

Pré requisitos

O computador deverá executar o ISA Server 2004 Service Pack 2 (SP2) para aplicar a versão do ISA Server 2004 deste hotfix.

Requisito de reinicialização

Depois de aplicado, este hotfix reiniciará os serviços do ISA Server.

Informações de substituição de hotfix

Este hotfix não substitui nenhum outro.

Informações sobre o arquivo

A versão em inglês desse hotfix tem os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e as horas desses arquivos estão listadas em formato UTC (Tempo Universal Coordenado). Quando você exibe as informações do arquivo, elas são convertidas para a hora local. Para localizar a diferença entre o UTC e a hora local, use a guia Fuso Horário na ferramenta Data e Hora do Painel de Controle.

ISA Server 2006

ISA Server 2004, Enterprise Edition

ISA Server 2004, Standard Edition

Informações de pós-instalação de hotfix

Após a aplicação deste hotfix, será necessário configurar o computador do ISA Server upstream para retornar cabeçalhos de autenticação NTLM somente quando a Autenticação Integrada do Windows for usada.

Observação Esta é uma configuração global para o ISA Server. Este script alterará os cabeçalhos de autenticação retornados para solicitações de proxy reverso e direto (ouvintes de publicação na Web e proxy da Web).

Para que possamos configurar o computador do ISA Server upstream para retornar cabeçalhos de autenticação NTLM quando a Autenticação Integrada do Windows for usada, vá para a seção "Corrigir para mim". Se você deseja corrigir esse problema sozinho, vá para a seção "Desejo corrigir sozinho".

Corrigir para mim

Para resolver esse problema automaticamente, clique no link Corrigir este problema, clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no assistente.


Observação Esse assistente pode estar apenas em inglês, mas a correção automática também funciona para versões do Windows em outros idiomas.

Observação Se não estiver usando o computador que apresenta o problema, você poderá salvar a correção automática em uma unidade flash ou em um CD. Em seguida, você poderá executar essa correção no computador que apresenta o problema.

Desejo corrigir sozinho

Para configurar o computador do ISA Server upstream para retornar cabeçalhos de autenticação NTLM quando a Autenticação Integrada do Windows for usada, execute o seguinte script do Microsoft Visual Basic e siga estas etapas:

1. Clique em Iniciar, aponte para Programas, aponte para Acessórios e clique em Bloco de Notas.
2. Copie o código a seguir e cole-o no Bloco de Notas.
   

   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   '
   ' Copyright (c) Microsoft Corporation. Todos os direitos reservados.
   ' ESTE CÓDIGO É DISPONIBILIZADO COMO ESTÁ, SEM GARANTIAS DE QUALQUER TIPO. TODOS OS
   ' RISCOS DO USO OU OS RESULTADOS DECORRENTES DO USO DESTE CÓDIGO SÃO ASSUMIDOS PELO
   ' USUÁRIO. O USO E A REDISTRIBUIÇÃO DESTE CÓDIGO, COM OU SEM MODIFICAÇÃO, SÃO
   ' PERMITIDOS.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' Este script define esquemas de autenticação que o ISA retornará para a autenticação integrada.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   
   const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_default = 0 ' Use o Negotiate e o Kerberos também.
   const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_Always  = 1
   
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOnlyNTLMForWindowsAuth"
   Const SE_VPS_VALUE = 1
   
   Sub SetValue()
   
       ' Crie o objeto raiz.
       Dim root  ' O objeto raiz FPCLib.FPC
       Set root = CreateObject("FPC.Root")
   
       'Declare os outros objetos necessários.
       Dim array       ' Um objeto FPCArray
       Dim VendorSets  ' Uma coleção FPCVendorParametersSets
       Dim VendorSet   ' Um objeto FPCVendorParametersSet
   
       ' Obtenha referências ao objeto da matriz
       ' e a coleção de regras da rede.
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
   
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
   
       If Err.Number <> 0 Then
           Err.Clear
   
           ' Adicione o item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "Novo VendorSet adicionado... " & VendorSet.Name
   
       Else
           WScript.Echo "VendorSet existente encontrado... valor- " &  VendorSet.Value(SE_VPS_NAME)
       End If
   
       if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
   
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
   
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
   
               If Err.Number = 0 Then
                   WScript.Echo "Concluído " & SE_VPS_NAME & ", salvo"
               End If
           End If
       Else
           WScript.Echo "Concluído " & SE_VPS_NAME & ", sem alterações"
       End If
   
   End Sub
   
   Sub CheckError()
   
       If Err.Number <> 0 Then
           WScript.Echo "Ocorreu um erro: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   
   End Sub
   
   SetValue
   

3. Salve este arquivo do bloco de notas como UseOnlyNTLMforWindowsAuth.vbs.
4. Clique duas vezes no arquivo .vbs para executar o script.

Observação Para reverter para a configuração de autenticação padrão, altere o SE_VPS_VALUE para 0 e, em seguida, execute o script novamente.

A Microsoft confirmou que esse problema ocorre nos produtos que estão listados na seção "Aplica-se a".

Poderá ocorrer um problema adicional após a habilitação desse hotfix no servidor upstream. Para obter mais informações, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):

Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo da Base de Dados de Conhecimento Microsoft :