Authentifizierungsfehler beim Clientcomputer vorgeschalteten ISA Server-Computers durch nachgeschaltete ISA Server-Computer authentifiziert, die keine Authentifizierung erfordert Internet Explorer 7 verwenden

Problembeschreibung

Betrachten Sie das folgende Szenario:
  • Sie konfigurieren einen Microsoft Internet Security and Acceleration (ISA) Server-Upstreamcomputer, die Authentifizierung erfordert.
  • Konfigurieren einen nachgelagerten ISA Server-Computer, der keine Authentifizierung erforderlich ist.
  • Clientcomputer, die an downstream-ISA Server-Computer sind Windows Internet Explorer 7 ausgeführt.
In diesem Szenario können nicht die Client-Computern mit upstream-ISA Server-Computer authentifizieren.

Ursache

Clientcomputern mit Internet Explorer 7 erhalten eine Kerberos-Ticket für die Authentifizierung mit dem downstream-Server gültig ist. Allerdings ist das Kerberos-Ticket vom authentifizierenden upstream-ISA Server-Computer nicht validiert.

Upstream-ISA Server-Computer eine Authentifizierung anfordert, erhält der Client-Computer, ein Kerberos-Ticket für die untergeordneten Server. Das Kerberos-Ticket ist gültig für die Authentifizierung der downstream-ISA Server-Computer. Dieses Ticket kann Authentifizierung mit upstream-ISA Server-Computer verwendet werden. Wenn das Kerberos-Ticket zum upstream-ISA Server-Computer angezeigt wird, kann upstream-ISA Server-Computer das Ticket nicht überprüfen. Daher schlägt die Authentifizierung fehl.

Hinweise
  • Der downstream-ISA Server-Computer ist der Proxyserver mit dem Client-Computer kommuniziert.
  • Internet Explorer 7 bietet Unterstützung für Kerberos-Authentifizierung auf dem Proxyserver.
NTLM-Authentifizierung ist die alternative Authentifizierungsmethode für Instanzen, wenn Kerberos-Authentifizierung fehlschlägt. Allerdings wird der Clientcomputer NTLM-Authentifizierung nicht verwendet, da der Clientcomputer ein Kerberos-Ticket für den Proxyserver erfolgreich erlangt hat.

Problemlösung

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Der Computer muss ISA Server 2004 Service Pack 2 (SP2) die ISA Server 2004-Version dieses Hotfix anwenden ausgeführt.

Neustartanforderung

Nach Installation dieses Hotfixes wird der Hotfix ISA Server-Dienste neu gestartet.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.
ISA Server 2006
DateinameDateiversionDateigrößeDatumZeitPlattform
Linktranslation.dll5.0.5720.154247,13625-Oct-200609:24x86
Msfpc.dll5.0.5720.154549,21625-Oct-200609:24x86
Msfpccom.dll5.0.5720.1546,409,56825-Oct-200609:24x86
W3filter.dll5.0.5720.154890,20825-Oct-200609:24x86
ISA Server 2004 Enterprise Edition
DateinameDateiversionDateigrößeDatumZeitPlattform
Comphp.dll4.0.3443.628167,78427-Oct-200614:45x86
Complp.dll4.0.3443.62863,33627-Oct-200614:45x86
Cookieauthfilter.dll4.0.3443.628159,59227-Oct-200614:45x86
Linktranslation.dll4.0.3443.628123,75227-Oct-200614:45x86
Msfpc.dll4.0.3443.628377,19227-Oct-200614:45x86
Msfpccom.dll4.0.3443.6285,024,10427-Oct-200614:45x86
Msfpcsnp.dll4.0.3443.6284,656,48827-Oct-200614:45x86
Msfpcui.dll4.0.3443.6282,420,58427-Oct-200614:45x86
Mspadmin.exe4.0.3443.628282,98427-Oct-200614:45x86
Msphlpr.dll4.0.3443.628405,35227-Oct-200614:45x86
Mspmon.dll4.0.3443.62852,58427-Oct-200614:45x86
Mspmsg.dll4.0.3443.628254,31227-Oct-200614:45x86
Ratlib.dll4.0.3443.62840,80827-Oct-200614:45x86
Rpcfltr.dll4.0.3443.628130,92027-Oct-200614:45x86
Socksflt.dll4.0.3443.62895,59227-Oct-200614:45x86
W3filter.dll4.0.3443.628752,48827-Oct-200614:45x86
Wspsrv.exe4.0.3443.6281,067,36827-Oct-200614:45x86
ISA Server 2004 Standard Edition
DateinameDateiversionDateigrößeDatumZeitPlattform
Comphp.dll4.0.2165.628167,27227-Oct-200614:35x86
Complp.dll4.0.2165.62863,84827-Oct-200614:35x86
Cookieauthfilter.dll4.0.2165.628161,12827-Oct-200614:35x86
Msfpc.dll4.0.2165.628330,08827-Oct-200614:35x86
Msfpccom.dll4.0.2165.6283,543,40027-Oct-200614:35x86
Msfpcui.dll4.0.2165.6282,142,56827-Oct-200614:35x86
Ratlib.dll4.0.2165.62839,27227-Oct-200614:35x86
Msfpcsnp.dll4.0.2165.6283,574,63227-Oct-200614:35x86
Mspadmin.exe4.0.2165.628233,32027-Oct-200614:35x86
Msphlpr.dll4.0.2165.628375,65627-Oct-200614:35x86
Mspmon.dll4.0.2165.62852,58427-Oct-200614:35x86
Mspmsg.dll4.0.2165.628230,76027-Oct-200614:35x86
Rpcfltr.dll4.0.2165.628135,52827-Oct-200614:35x86
Socksflt.dll4.0.2165.628100,20027-Oct-200614:35x86
W3filter.dll4.0.2165.628736,61627-Oct-200614:35x86
Wspsrv.exe4.0.2165.628945,51227-Oct-200614:35x86
Linktranslation.dll4.0.2165.628124,77627-Oct-200614:35x86
Radiusauth.dll4.0.2165.62866,40827-Oct-200614:35x86

Hotfix nach Installationsinformationen

Nachdem Sie diesen Hotfix anwenden, müssen Sie vorgeschalteten ISA Server-Computer um NTLM Authentication Header nur zurückzugeben, wenn die integrierte Windows-Authentifizierung konfigurieren.

Hinweis Dies ist eine globale Einstellung für ISA Server. Dieses Skript ändert den Authentifizierungsheader, die sowohl Forward- und reverse-Proxy-Anfragen (Webproxy und publishing Weblistener) zurückgegeben werden.

Um uns konfigurieren vorgeschalteten ISA Server-Computer um NTLM Authentication Header zurückzugeben, wenn Sie integrierte Windows-Authentifizierung verwendet wird, gehen Sie zum Abschnitt "Fix it für mich". Wenn Sie das Problem lieber manuell beheben möchten, lesen Sie den Abschnitt "Problem manuell beheben".

Automatisch mit Fix it beheben lassen

Zur automatischen Behebung des Problems klicken Sie dieses Problem beheben , Sie Führen Sie im Dialogfeld Dateidownload und folgen Sie den Schritten im Assistenten.




Hinweis möglicherweise gibt es diesen Assistenten nur in Englisch; Die automatische Korrektur funktioniert aber trotzdem auch für andere Sprachversionen von Windows.



Hinweis Wenn Sie nicht auf dem Computer, die das Problem verursacht sind, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern. Dann können Sie dieses Update auf dem Computer ausführen, die das Problem.

Lassen Sie mich das Problem manuell beheben

Schritte zum Konfigurieren des vorgeschalteten ISA Servercomputer Authentifizierungsheader NTLM ist die integrierte Windows-Authentifizierung selbst führen das folgende Microsoft Visual Basic-Skript verwendet:
  1. Klicken Sie auf Start, zeigen Sie auf Programme, Zubehörund klicken Sie dann auf Editor.
  2. Kopieren Sie folgenden Code und fügen Sie ihn in Editor.
    '''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' Copyright (c) Microsoft Corporation. All rights reserved.
    ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
    ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
    ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
    ' HEREBY PERMITTED.
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' This script sets authentication schemes that ISA will return for Integrated authentication.
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

    const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_default = 0 ' Use Negotiate and Kerberos, too.
    const USE_ONLY_NTLM_FOR_WINDOWS_AUTH_Always = 1

    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "UseOnlyNTLMForWindowsAuth"
    Const SE_VPS_VALUE = 1

    Sub SetValue()

    ' Create the root object.
    Dim root ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")

    'Declare the other objects that are needed.
    Dim array ' An FPCArray object
    Dim VendorSets ' An FPCVendorParametersSets collection
    Dim VendorSet ' An FPCVendorParametersSet object

    ' Get references to the array object
    ' and to the network rules collection.
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets

    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )

    If Err.Number <> 0 Then
    Err.Clear

    ' Add the item.
    Set VendorSet = VendorSets.Add( SE_VPS_GUID )
    CheckError
    WScript.Echo "New VendorSet added... " & VendorSet.Name

    Else
    WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME)
    End If

    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then

    Err.Clear
    VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE

    If Err.Number <> 0 Then
    CheckError
    Else
    VendorSets.Save false, true
    CheckError

    If Err.Number = 0 Then
    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
    End If
    End If
    Else
    WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If

    End Sub

    Sub CheckError()

    If Err.Number <> 0 Then
    WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
    Err.Clear
    End If

    End Sub

    SetValue

  3. Speichern dieser Datei als UseOnlyNTLMforWindowsAuthvbs.
  4. Doppelklicken Sie auf die VBS-Datei, um das Skript auszuführen.
Hinweis Um Authentifizierung Standardeinstellung wiederherzustellen, ändern Sie die SE_VPS_VALUE auf 0, und führen Sie das Skript erneut aus.

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Ein Problem kann auftreten, nachdem Sie diesen Hotfix auf dem Upstreamserver aktiviert. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

938465 -Fehlermeldung beim Websites über downstream-Server zugreifen, nachdem Sie Hotfix 927265 auf einem Upstreamserver aktivieren, ISA Server 2004 ausgeführt wird: "502 Proxy Error"



Um weitere Informationen zur Terminologie für Softwareupdates zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
824684 Beschreibung der Standardterminologie, die zum Beschreiben von Microsoft-Softwareupdates verwendet wird.
Eigenschaften

Artikelnummer: 927265 – Letzte Überarbeitung: 14.01.2017 – Revision: 2

Feedback