Отнася се за
Microsoft Forefront Threat Management Gateway 2010 Service Pack 2 Microsoft Forefront Threat Management Gateway 2010 Service Pack 2 Forefront Threat Management Gateway 2010 Enterprise Forefront Threat Management Gateway 2010 Standard

Симптоми

Да разгледаме следния сценарий:

  • Публикуване на уеб сървър и удостоверяване на всички заявки в среда на Microsoft Forefront Threat Management Gateway (TMG) 2010.

  • Задавате делегиране на удостоверяване на Kerberos ограничени делегиране (KCD).

  • Използвате 960146 актуализацията да промените името и домейна формат на потребителско име, който се използва в билет от Kerberos за KCD.

  • Зададете настройката на Const SE_VPS_VALUE 2 , за да получите пълното домейн име (FQDN). Например използвате Използвай следните настройки:

    Потребител: FirstName.LastName област: MyCompany.EMEA.INTRA

В този случай KCD е неуспешно, ако частта за домейна на основно потребителско име (UPN) не съвпада с истински домейн. Например, ако потребителят е потребител: FirstName.LastName от EMEA домейн, но потребителят UPN е FirstName.LastName@MyCompany, и ако MyCompany домейна не съществува, не KCD делегиране. Това е защото TMG се опитва да се свърже с домейн MyCompany.

Причина

Този проблем възниква поради начина, по който TMG делегиране Модулът обработва домейна и информацията за потребителското име, който е извлечен удостоверяване за създаване на делегиране.

Решение

За да разрешите този проблем, инсталирайте Сборен пакет за актуализация 5 за Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.

Статус

Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".

Допълнителна информация

Тази актуализация добавя нова опция (Const SE_VPS_VALUE = 3) да актуализира 960146.За да приложите тази актуализация, изпълнете следните стъпки:

  1. Изтеглете Сборен пакет за актуализация 5, описан в раздела "Решение".

  2. Инсталиране на пакет с актуални корекции на всички компютри с TMG сървър.

  3. Стартирайте Windows Notepad.

  4. Копирайте скрипт от 960146 актуализация и поставите скрипт в Notepad.

  5. Ред 3 (Const SE_VPS_VALUE = 2), променете стойността от 2 до 3.

  6. Запишете файла на един от сървърите на TMG 2010 чрез .vbs файлово разширение. Например името на файла, както следва:

    TMG2010UseFQDNInKerberosTicket.vbs

  7. За да изпълните скрипта, щракнете двукратно върху .vbs файла, който сте записали.

Бележки

  • Скрипт в тази процедура използва стойността по подразбиране на 2 Const SE_VPS_VALUE свойство. Можете да промените тази стойност според следните опции:

    • Ако сте задали Const SE_VPS_VALUE = 0, NETBIOS име на домейн се използва за името на домейна. Например:

      Потребител: FirstName.LastNameОбласт: MyCompany

    • Ако сте задали Const SE_VPS_VALUE = 1основно потребителско име (UPN) се използва за потребителско име и FQDN се използва за името на домейна. Например:

      Потребител: FirstName.LastName@MyCompany.EMEA.INTRAОбласт: MyCompany.EMEA.INTRA

    • Ако сте задали Const SE_VPS_VALUE = 2, FQDN се използва за името на домейна. Например:

      Потребител: FirstName.LastNameОбласт: MyCompany.EMEA.INTRA

    • Ако сте задали Const SE_VPS_VALUE = 3, FQDN се използва за името на домейна. Например:

      Потребител: FirstName.LastNameОбласт: MyCompany.EMEA.INTRA

  • Тази нова опция, която е добавена тази актуализация филмите са същите като на втората опция, но използва "DS_CANONICAL_NAME" вместо потребителски UPN формат за извличане на информация за домейна.

Препратки

Научете повече за терминологията , използвана за описание на софтуерните актуализации от Microsoft.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност