Platí pro.NET Framework 3.5 Service Pack 1 Windows 7 Service Pack 1 Windows 7 Enterprise Windows 7 Professional Windows 7 Ultimate Windows 7 Home Premium Windows 7 Home Basic Windows 7 Enterprise Windows 7 Professional Windows 7 Ultimate Windows 7 Home Premium Windows 7 Home Basic Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Standard Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Datacenter Windows Server 2008 Service Pack 2 Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Datacenter Windows Server 2008 Enterprise Windows Server 2008 Standard Windows Server 2008 Web Edition Windows Vista Service Pack 2 Windows Vista Business Windows Vista Enterprise Windows Vista Home Basic Windows Vista Home Premium Windows Vista Starter Windows Vista Ultimate Windows Vista Enterprise 64-bit Edition Windows Vista Home Basic 64-bit Edition Windows Vista Home Premium 64-bit Edition Windows Vista Ultimate 64-bit Edition Windows Vista Business 64-bit Edition Microsoft Windows Server 2003 Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows XP Service Pack 3 Microsoft Windows XP Home Edition Microsoft Windows XP Professional

SHRNUTÍ

Aktualizace zabezpečení 2638420 (popsaná v bulletinu zabezpečení MS11-100) mění způsob, jakým technologie ASP.NET vytváří lístky ověřování pomocí formulářů. Toto nové chování je nekompatibilní s původním chováním. Lístky vytvořené pomocí tohoto nového chování nelze načíst servery, které využívají staré chování, a naopak. Proto pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba použít při nasazení aktualizace zabezpečení 2638420 speciální postup a zajistit tak, že všechny servery přepnou na nové chování současně.

Pokyny pro nasazení

Vzhledem ke změně v chování lístků musí správci, jejichž aplikace využívají ověřování pomocí formulářů, použít speciální postup při nasazení aktualizace zabezpečení 2638420, aby zajistili, že všechny servery přepnou na nové chování současně. Chcete-li určit, zda aplikace využívají ověřování pomocí fomulářů, prohlédněte soubor System.web. Aplikace využívající ověřování pomocí formulářů používají následující položku v souboru System.web:

<authentication mode="Forms">Poznámky:

  • Výchozím režimem ověřování je režim Windows.

  • Technologie ASP.NET využívá ověřování pomocí formulářů pouze v případě, že je k tomu explicitně nakonfigurována.

Pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba nasadit aktualizaci zabezpečení 2638420 pomocí jedné z následujících metod a zajistit tak, aby weby i nadále správně fungovaly. Metoda 1Nasaďte aktualizaci zabezpečení 2638420 ve všech serverech webové farmy ASP.NET současně. Postupujte takto:

  1. Odeberte polovinu serverů webové farmy z rotace nástroje pro vyrovnávání zatížení.

  2. Nainstalujte aktualizace na tyto servery.

  3. Vraťte servery zpět do rotace a současně převeďte zbývající servery do režimu offline, aby je bylo možné aktualizovat.

Metoda 2Pokud nelze nasadit aktualizaci zabezpečení 2638420 na všechny servery webové farmy současně, použijte tuto metodu. Poznámka: Tuto metodu nedoporučujeme. Když nastavíte tento přepínač, můžete nainstalovat tuto aktualizaci zabezpečení na některých serverech webové farmy a nadále využívat původní chování. Servery využívající tento konfigurační přepínač budou v nezabezpečeném stavu a nebudou využívat všechny opravy poskytované touto aktualizací zabezpečení. Proto by konfigurační přepínač měl být odebrán, aby tak povolil nové bezpečné chování, jakmile bude aktualizace zabezpečení 2638420 nasazena ve všech serverech webové farmy. Před zahájením instalace aktualizace zabezpečení 2638420 nastavte přepínač kompatibility v souboru Web.config nebo Machine.config, a vynuťte tak staré chování po dokončení instalace této aktualizace. Postupujte takto:

  1. Otevřete soubor Web.config nebo Machine.config v textovém editoru, např. v Poznámkovém bloku.

  2. Přidejte do tohoto souboru následující text a pak tento soubor uložte:

    <appSettings><add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" /></appSettings>Po provedení aktualizace a následném uložení souboru Web.config nebo Machine.config není třeba restartovat počítač ani žádné služby. Upozornění na změnu konfigurace bude automaticky předáváno v rámci fondu aplikací.

Soubory Web.config naleznete v následujícím umístění: Rozhraní .NET Framework, verze 4.0 až 4.5

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.configC:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config Rozhraní .NET Framework, verze 2.0 – 3.5 SP1

C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.configC:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config V 32bitovém počítači bude existovat pouze složka Framework. V 64bitovém počítači bude existovat složka Framework i složka Framework64. Proto pokud máte k dispozici fondy 32bitových a 64bitových aplikací s kombinací CLR 2 + CLR 4, je třeba přidat příslušnou položku do všech čtyř těchto souborů. Pokud do těchto konfiguračních souborů přidáte rovněž položku <appSettings>, změna se uplatní v rámci celého systému.

Známé problémy

  • Po dokončení instalace aktualizace zabezpečení 2638420 dochází k chybě dešifrování lístkůJakmile je povoleno nové chování lístků, budou zneplatněny všechny lístky ověřování pomocí formulářů, které byly vytvořeny s využitím původního chování. Pokud dojde k těmto potížím, jsou koncoví uživatelé odhlášeni a správci serverů se mohou setkávat s chybami dešifrování lístků. Do protokolu událostí je rovněž zaznamenána následující chybová zpráva:

    Název protokolu: AplikaceID události: 1315Kód události: 4005Zpráva o události: Ověření formulářů se pro požadavek nezdařilo. Důvod: Dodaný lístek byl neplatný.

    Tyto chyby mohou způsobit neočekávané chování. Příklad: K chybám HTTP 401 a HTTP 302 může dojít, jsou-li webové stránky chráněny elementem <authorization>. Po dokončení instalace aktualizace zabezpečení 2638420 mohou správci očekávat několik těchto chyb šifrování lístků, protože platnost těchto dříve generovaných lístků vypršela. Počet a četnost těchto chyb by se měly průběžně snižovat tak, jak jsou generovány nové lístky. Pokud chyby dešifrování přetrvávají i po uplynutí delšího období od dokončení instalace této aktualizace zabezpečení, může to indikovat, že některé servery ve webové farmě i nadále používají původní chování lístků. Tento problém může například nastat, pokud platí některá z následujících podmínek:

    • Nejméně jeden server není aktualizován pomocí aktualizace zabezpečení 2638420.

    • Nejméně u jednoho serveru je nastaven zmíněný přepínač kompatibility. Přepínač kompatibility je popsán v tomto článku výše.

Další informace

Konfigurační přepínač TicketCompatibilityMode již není podporován Protože aktualizace zabezpečení 2638420 mění formát lístků ověřování pomocí formulářů, není konfigurační přepínač <forms/ticketCompatibilityMode> nadále podporován, je-li aktualizace zabezpečení 2638420 nainstalována a povolena. Další informace o konfiguračním přepínači <forms/ticketCompatibilityMode> naleznete na následujícím webu MSDN:

Obecné informace o konfiguračním přepínači

Potřebujete další pomoc?

Chcete další možnosti?

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.