SHRNUTÍ
Aktualizace zabezpečení 2638420 (popsaná v bulletinu zabezpečení MS11-100) mění způsob, jakým technologie ASP.NET vytváří lístky ověřování pomocí formulářů. Toto nové chování je nekompatibilní s původním chováním. Lístky vytvořené pomocí tohoto nového chování nelze načíst servery, které využívají staré chování, a naopak. Proto pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba použít při nasazení aktualizace zabezpečení 2638420 speciální postup a zajistit tak, že všechny servery přepnou na nové chování současně.
Pokyny pro nasazení
Vzhledem ke změně v chování lístků musí správci, jejichž aplikace využívají ověřování pomocí formulářů, použít speciální postup při nasazení aktualizace zabezpečení 2638420, aby zajistili, že všechny servery přepnou na nové chování současně.
Chcete-li určit, zda aplikace využívají ověřování pomocí fomulářů, prohlédněte soubor System.web. Aplikace využívající ověřování pomocí formulářů používají následující položku v souboru System.web:<authentication mode="Forms">Poznámky:
-
Výchozím režimem ověřování je režim Windows.
-
Technologie ASP.NET využívá ověřování pomocí formulářů pouze v případě, že je k tomu explicitně nakonfigurována.
Pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba nasadit aktualizaci zabezpečení 2638420 pomocí jedné z následujících metod a zajistit tak, aby weby i nadále správně fungovaly.
Metoda 1 Nasaďte aktualizaci zabezpečení 2638420 ve všech serverech webové farmy ASP.NET současně. Postupujte takto:-
Odeberte polovinu serverů webové farmy z rotace nástroje pro vyrovnávání zatížení.
-
Nainstalujte aktualizace na tyto servery.
-
Vraťte servery zpět do rotace a současně převeďte zbývající servery do režimu offline, aby je bylo možné aktualizovat.
Metoda 2
Pokud nelze nasadit aktualizaci zabezpečení 2638420 na všechny servery webové farmy současně, použijte tuto metodu. Poznámka: Tuto metodu nedoporučujeme. Když nastavíte tento přepínač, můžete nainstalovat tuto aktualizaci zabezpečení na některých serverech webové farmy a nadále využívat původní chování. Servery využívající tento konfigurační přepínač budou v nezabezpečeném stavu a nebudou využívat všechny opravy poskytované touto aktualizací zabezpečení. Proto by konfigurační přepínač měl být odebrán, aby tak povolil nové bezpečné chování, jakmile bude aktualizace zabezpečení 2638420 nasazena ve všech serverech webové farmy. Před zahájením instalace aktualizace zabezpečení 2638420 nastavte přepínač kompatibility v souboru Web.config nebo Machine.config, a vynuťte tak staré chování po dokončení instalace této aktualizace. Postupujte takto:-
Otevřete soubor Web.config nebo Machine.config v textovém editoru, např. v Poznámkovém bloku.
-
Přidejte do tohoto souboru následující text a pak tento soubor uložte:
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" /> </appSettings>Po provedení aktualizace a následném uložení souboru Web.config nebo Machine.config není třeba restartovat počítač ani žádné služby. Upozornění na změnu konfigurace bude automaticky předáváno v rámci fondu aplikací.
Soubory Web.config naleznete v následujícím umístění:
Rozhraní .NET Framework, verze 4.0 až 4.5C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config Rozhraní .NET Framework, verze 2.0 – 3.5 SP1C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config V 32bitovém počítači bude existovat pouze složka Framework. V 64bitovém počítači bude existovat složka Framework i složka Framework64. Proto pokud máte k dispozici fondy 32bitových a 64bitových aplikací s kombinací CLR 2 + CLR 4, je třeba přidat příslušnou položku do všech čtyř těchto souborů. Pokud do těchto konfiguračních souborů přidáte rovněž položku <appSettings>, změna se uplatní v rámci celého systému.Známé problémy
-
Po dokončení instalace aktualizace zabezpečení 2638420 dochází k chybě dešifrování lístků
Jakmile je povoleno nové chování lístků, budou zneplatněny všechny lístky ověřování pomocí formulářů, které byly vytvořeny s využitím původního chování. Pokud dojde k těmto potížím, jsou koncoví uživatelé odhlášeni a správci serverů se mohou setkávat s chybami dešifrování lístků. Do protokolu událostí je rovněž zaznamenána následující chybová zpráva:Název protokolu: Aplikace
ID události: 1315 Kód události: 4005 Zpráva o události: Ověření formulářů se pro požadavek nezdařilo. Důvod: Dodaný lístek byl neplatný.-
Nejméně jeden server není aktualizován pomocí aktualizace zabezpečení 2638420.
-
Nejméně u jednoho serveru je nastaven zmíněný přepínač kompatibility. Přepínač kompatibility je popsán v tomto článku výše.
-
Další informace
Konfigurační přepínač TicketCompatibilityMode již není podporován
Protože aktualizace zabezpečení 2638420 mění formát lístků ověřování pomocí formulářů, není konfigurační přepínač <forms/ticketCompatibilityMode> nadále podporován, je-li aktualizace zabezpečení 2638420 nainstalována a povolena. Další informace o konfiguračním přepínači <forms/ticketCompatibilityMode> naleznete na následujícím webu MSDN: