Симптоми
Да разгледаме следния сценарий:
-
Публикуване на уеб сървър и удостоверяване на всички заявки в среда на Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Задавате делегиране на удостоверяване на Kerberos ограничени делегиране (KCD).
-
Използвате 960146 актуализацията да промените името и домейна формат на потребителско име, който се използва в билет от Kerberos за KCD.
-
Зададете настройката на Const SE_VPS_VALUE 2 , за да получите пълното домейн име (FQDN). Например използвате Използвай следните настройки:
Потребител: FirstName.LastName област: MyCompany.EMEA.INTRA
В този случай KCD е неуспешно, ако частта за домейна на основно потребителско име (UPN) не съвпада с истински домейн. Например, ако потребителят е потребител: FirstName.LastName от EMEA домейн, но потребителят UPN е FirstName.LastName@MyCompany, и ако MyCompany домейна не съществува, не KCD делегиране. Това е защото TMG се опитва да се свърже с домейн MyCompany.
Причина
Този проблем възниква поради начина, по който TMG делегиране Модулът обработва домейна и информацията за потребителското име, който е извлечен удостоверяване за създаване на делегиране.
Решение
За да разрешите този проблем, инсталирайте Сборен пакет за актуализация 5 за Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Допълнителна информация
Тази актуализация добавя нова опция (Const SE_VPS_VALUE = 3) да актуализира 960146.
За да приложите тази актуализация, изпълнете следните стъпки:
-
Изтеглете Сборен пакет за актуализация 5, описан в раздела "Решение".
-
Инсталиране на пакет с актуални корекции на всички компютри с TMG сървър.
-
Стартирайте Windows Notepad.
-
Копирайте скрипт от 960146 актуализация и поставите скрипт в Notepad.
-
Ред 3 (Const SE_VPS_VALUE = 2), променете стойността от 2 до 3.
-
Запишете файла на един от сървърите на TMG 2010 чрез .vbs файлово разширение. Например името на файла, както следва:
TMG2010UseFQDNInKerberosTicket.vbs
-
За да изпълните скрипта, щракнете двукратно върху .vbs файла, който сте записали.
Бележки
-
Скрипт в тази процедура използва стойността по подразбиране на 2 Const SE_VPS_VALUE свойство. Можете да промените тази стойност според следните опции:
-
Ако сте задали Const SE_VPS_VALUE = 0, NETBIOS име на домейн се използва за името на домейна. Например:
Потребител: FirstName.LastName
Област: MyCompany -
Ако сте задали Const SE_VPS_VALUE = 1основно потребителско име (UPN) се използва за потребителско име и FQDN се използва за името на домейна. Например:
Потребител: FirstName.LastName@MyCompany.EMEA.INTRA
Област: MyCompany.EMEA.INTRA -
Ако сте задали Const SE_VPS_VALUE = 2, FQDN се използва за името на домейна. Например:
Потребител: FirstName.LastName
Област: MyCompany.EMEA.INTRA -
Ако сте задали Const SE_VPS_VALUE = 3, FQDN се използва за името на домейна. Например:
Потребител: FirstName.LastName
Област: MyCompany.EMEA.INTRA
-
-
Тази нова опция, която е добавена тази актуализация филмите са същите като на втората опция, но използва "DS_CANONICAL_NAME" вместо потребителски UPN формат за извличане на информация за домейна.
Препратки
Научете повече за терминологията , използвана за описание на софтуерните актуализации от Microsoft.