Wie Sie das Standardverhalten für Zuordnung von Clientzertifikaten ändern, wenn Sie formularbasierte Authentifizierung mit Active Directory in Service Pack 1 für ISA Server 2006 verwenden

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 953684 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

EINFÜHRUNG

Bevor Sie Microsoft Internet Security und Acceleration Server (ISA) 2006 Service Pack 1 (SP1) konnte Sie nur ein Clientzertifikat benötigen, wenn formularbasierte Authentifizierung der Domänenbenutzer mithilfe von Active Directory-Verzeichnisdienst (FBA mit Active Directory) Verwenden der Weblistener konfiguriert wurde. Diese Authentifizierungsmethode verwendet den folgenden Prozess:
  • Der Client stellt ein Clientzertifikat.
  • ISA Server überprüft, dass das Zertifikat gültig, nicht abgelaufen ist und dass es von einer vertrauenswürdigen Zertifizierungsstelle ausgegeben wurde, ist.
  • ISA Server überprüft das Zertifikat anhand der ISA Server-Client Zertifikat Einschränkungen.
  • ISA Server sendet das Formular Authentifizierung an den Client. Der Benutzer gibt seinen oder seine Anmeldeinformationen und bucht diese.
  • ISA Server überprüft die Anmeldeinformationen des Benutzers.
  • ISA Server ordnet das Clientzertifikat zu Active Directory-Benutzer und überprüft, ob es dem Benutzer mithilfe der Anmeldeinformationen.
In ISA Server 2006 SP1 können Sie ein Clientzertifikat vorschreiben, wenn der Weblistener für die formularbasierte Authentifizierung mit anderen Authentifizierungsmethoden Validierung, z. B. LDAP (Active Directory), RADIUS, RADIUS OTP oder SecurID verwenden konfiguriert ist. Wenn Sie andere Authentifizierungsmethoden als formularbasierte Authentifizierung mit Active Directory verwenden, führt ISA Server den gleichen Prozess, außer dass er nicht versucht, das Clientzertifikat zu einem Benutzer zugeordnet. Dies bedeutet, dass der Computer nicht Mitglied einer Domäne sein verfügt ISA Server. Oder wenn der Computer Mitglied einer Domäne ist, es bedeutet, dass die Clientzertifikate nicht für Benutzerkonten in Active Directory zugeordnet werden.

Dieser Artikel beschreibt das Standardverhalten in ISA Server 2006 SP1, wenn Sie formularbasierte Authentifizierung der Domänenbenutzer mit Active Directory verwenden. Darüber hinaus wird beschrieben, wie Sie dieses Standardverhalten zu ändern.

Weitere Informationen

Wenn Sie formularbasierte Authentifizierung mit Active Directory ausführen, versucht ISA Server das Clientzertifikat zu einem Benutzer in Active Directory zuzuordnen. Beabsichtigt dieses Verhalten ist die zweistufige Authentifizierung Verhalten und erfordert, dass der Client des Benutzers Zertifikat mit einem Benutzerkonto zugeordnet werden, die Anmeldeinformationen bereitstellt.

ISA Server 2006 SP1 fügt auch ein Feature, das Ihnen in Active Directory-Zertifikatszuordnung deaktivieren, wenn Sie die formularbasierte Authentifizierung verwenden. Wenn Sie formularbasierte Authentifizierung mit Active Directory, verwenden um Client-Anmeldeinformationen überprüfen, ist jedoch das Standardverhalten noch ein Benutzer das Zertifikat zuweisen.

Gehen Sie nach dem Anwenden von Service Pack 1 für ISA Server 2006 folgendermaßen vor um in Active Directory-Zertifikatszuordnung deaktivieren
  1. Starten Sie den Editor.
  2. Das folgende Skript in ein neues Dokument einfügen.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "DisableCertMappingForFBAwithAD"
    Const SE_VPS_VALUE = true
    
    Sub SetValue()
    
        ' Create the root obect.
        Dim root  ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
    
        'Declare the other objects needed.
        Dim array       ' An FPCArray object
        Dim VendorSets  ' An FPCVendorParametersSets collection
        Dim VendorSet   ' An FPCVendorParametersSet object
    
        ' Get references to the array object
        ' and the network rules collection.
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
    
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    
        If Err.Number <> 0 Then
            Err.Clear
    
            ' Add the item
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
    
        Else
            WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)
        End If
    
        if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
    
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    
    End Sub
    
    Sub CheckError()
    
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    
    End Sub
    
    SetValue
    
  3. Im Menü Datei klicken Sie auf Speichern unter , und speichern Sie die Datei als DisableCertMappingForFBAwithAD.vbs .
  4. Geben Sie in der Eingabeaufforderung den folgenden Befehl ein und drücken Sie dann die [Eingabetaste]:
    Cscript DisableCertMappingForFBAwithAD.vbs
Gehen Sie folgendermaßen vor um das Standardverhalten in ISA Server 2006 SP1 wieder und Zuordnung von Clientzertifikaten zu Active Directory aktivieren, wenn Sie die formularbasierte Authentifizierung verwenden:
  1. Starten Sie Editor, und öffnen Sie das DisableCertMappingForFBAwithAD.vbs-Skript.
  2. Suchen Sie die folgende Codezeile im Skript.
    Const SE_VPS_VALUE = true
    
  3. Ändern Sie den Code in den folgenden
    Const SE_VPS_VALUE = false
    
  4. Klicken Sie im Menü Datei auf Speichern .
  5. Geben Sie in der Eingabeaufforderung den folgenden Befehl ein und drücken Sie dann die [Eingabetaste]:
    Cscript DisableCertMappingForFBAwithAD.vbs

Informationsquellen

Weitere Informationen zum ISA Server 2006 SP1 erhalten können finden Sie im folgenden Artikel der Microsoft Knowledge Base:
954258Wie Sie das neueste Internet Security and Acceleration (ISA) Server 2006 Servicepack erhalten

Weitere Informationen zu ISA Server 2006 SP1-Funktionen der folgenden Microsoft-Website:
http://download.microsoft.com/download/6/6/6/6662d14d-52c3-445d-b9d1-6e373171f769/SP1_Feature_Doc_RTM.doc

Eigenschaften

Artikel-ID: 953684 - Geändert am: Freitag, 27. März 2009 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
Keywords: 
kbmt kbhowto kbtshoot kbexpertiseinter kbsurveynew kbprb KB953684 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 953684
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com