Artigo: 942637 - Última revisão: sexta-feira, 20 de Junho de 2008 - Revisão: 2.0

Um utilizador não é possível aceder a um Web site que está publicado no ISA Server 2006 utilizando delegação Kerberos limitadas se o utilizador não está no mesmo domínio que o computador do ISA Server

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Expandir tudo | Reduzir tudo

Sintomas

Considere o seguinte cenário:
  • Publicar um Web site no Microsoft Internet Security and Acceleration (ISA) Server 2006.
  • Na regra de publicação Web, configurar o ISA Server para utilizar a delegação Kerberos limitadas (KCD) para delegar credenciais de utilizador para o Web site.
  • Autentica um utilizador com o ISA Server, especificando um nome principal de utilizador (UPN) nas credenciais.
  • O utilizador não está no mesmo domínio que o computador do ISA Server.
Neste cenário, quando o utilizador tenta aceder ao Web site publicado, o utilizador receberá a seguinte mensagem de erro:
Não é possível apresentar a página
Código de erro: 403 Proibido. O servidor negou o URL (Uniform Resource Locator) especificado. Contacte o administrador do servidor. (12202)
Nota Este problema não ocorre se o utilizador Especifica um Gestor de contas segurança (SAM)-nome de utilizador compatível na credencial.
Voltar ao topo

Causa

ISA Server não analisa correctamente o nome de domínio de credenciais UPN. Em vez disso, ISA Server utiliza seu próprio nome de domínio no serviço de concessão de permissão (TGS) pedido para pedido uma permissão Kerberos em nome do utilizador. Se o utilizador pertencer a um domínio diferente, o serviço de directório do Active Directory não sabe o nome do serviço. Por conseguinte, o serviço de directório do Active Directory não lhe dá ISA Server uma permissão para autenticação.
Voltar ao topo

Resolução

Para resolver este problema, aplique o pacote de correcções descrito no artigo seguinte na base de dados de conhecimento da Microsoft: Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
942639  (http://support.microsoft.com/kb/942639/ ) Descrição do pacote correcção do ISA Server 2006: 24 de Setembro de 2007
Voltar ao topo

Como contornar

Para contornar este problema, um utilizador pode especificar um nome de utilizador SAM, Security Accounts Manager compatível na credencial de quando autentica o utilizador com o ISA Server. É um nome de utilizador SAM, Security Accounts Manager compatível semelhante ao seguinte:
DomainName\ Username
Nota Esta solução alternativa ainda poderá falhar se a conta de utilizador for membro de um domínio numa floresta fidedigna. Para obter mais informações sobre esta limitação, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
949015  (http://support.microsoft.com/kb/949015/ ) Aplicações que executam KCD delegação não poderão concluir o processo de S4U num computador com o Windows Server 2008 ou Windows Server 2003
Voltar ao topo

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Security and Acceleration Server 2006 Enterprise Edition
  • Microsoft Internet Security and Acceleration Server 2006 Standard Edition
Voltar ao topo
Palavras-chave: 
kbmt kbexpertiseinter kbqfe KB942637 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 942637  (http://support.microsoft.com/kb/942637/en-us/ )
Voltar ao topo