EINFÜHRUNG
In Microsoft Internet Security and Acceleration (ISA) Server 2006 veröffentlichen Sie eine Website mithilfe der Kerberos Constrained Delegation. Je nach Website können Sie ändern, wie ISA Server das Kerberos-Ticket eines authentifizierten Benutzers anfordert. Standardmäßig verwendet ISA Server 2006 das Format "Domain NETBIOS name-User", wenn das Kerberos-Ticket anfordert. Daher ähneln der Domänenname und der Benutzername im Kerberos-Ticket wie folgt:
Benutzer: FirstName.LastNameRealm: MyCompanyEinige Websites erfordern jedoch den vollqualifizierten Domänennamen (FQDN) im Kerberos-Ticket. In diesem Szenario sollten der Domänenname und der Benutzername im Kerberos-Ticket wie folgt aussehen:
Benutzer: FirstName.LastnameRealm: MyCompany.EMEA.INTRA
Weitere Informationen
Es ist jetzt ein Update verfügbar, mit dem Sie den Domänennamen und das Benutzernamenformat in Kerberos Constrained Delegation-Szenarien steuern können. Führen Sie die folgenden Schritte aus, um dieses Update anzuwenden:
-
Laden Sie das Hotfix-Rolluppaket herunter, das im Microsoft Knowledge Base-Artikel 960148 erwähnt wird.
960148 Beschreibung des ISA Server 2006-Hotfixpakets: 19. November 2008
-
Installieren Sie das Hotfix-Rolluppaket auf allen ISA Server-Computern.
-
Starten Sie Notepad.
-
Fügen Sie das folgende Skript in die Notepad-Datei ein.
Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "UseFQDNinKerberosTicket"Const SE_VPS_VALUE = 2Sub SetValue() ' Create the root obect. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") 'Declare the other objects needed. Dim array ' An FPCArray object Dim VendorSets ' An FPCVendorParametersSets collection Dim VendorSet ' An FPCVendorParametersSet object ' Get references to the array object ' and the network rules collection. Set array = root.GetContainingArray Set VendorSets = array.VendorParametersSets On Error Resume Next Set VendorSet = VendorSets.Item( SE_VPS_GUID ) If Err.Number <> 0 Then Err.Clear ' Add the item Set VendorSet = VendorSets.Add( SE_VPS_GUID ) CheckError WScript.Echo "New VendorSet added... " & VendorSet.Name Else WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME) End If if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then Err.Clear VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE If Err.Number <> 0 Then CheckError Else VendorSets.Save false, true CheckError If Err.Number = 0 Then WScript.Echo "Done with " & SE_VPS_NAME & ", saved!" End If End If Else WScript.Echo "Done with " & SE_VPS_NAME & ", no change!" End IfEnd SubSub CheckError() If Err.Number <> 0 Then WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description Err.Clear End IfEnd SubSetValue -
Speichern Sie diese Datei auf einem der ISA Server 2006-Computer. Verwenden Sie die Dateinamenerweiterung .vbs. Benennen Sie beispielsweise die Datei ISA2006UseFQDNInKerberosTicket.vbs.
-
Doppelklicken Sie auf die VBS-Datei, um das Skript auszuführen.
Hinweis Das Skript in dieser Prozedur verwendet den Standardwert für die Const SE_VPS_VALUE-Eigenschaft (Const SE_VPS_VALUE = 2). Sie können diesen Wert gemäß der folgenden Liste ändern:
-
Wenn Sie Const SE_VPS_VALUE = 0 festlegen, wird der Domain-NETBIOS-Name für den Domänennamen verwendet. Beispiel:Benutzer: FirstName.LastNameRealm: MyCompany
-
Wenn Sie Const SE_VPS_VALUE = 1 festlegen, wird der Benutzerprinzipalname (User Principal Name, UPN) für den Benutzernamen und der FQDN für den Domänennamen verwendet. Beispiel:Benutzer: FirstName.LastName@MyCompany.EMEA.INTRARealm: MyCompany.EMEA.INTRA
-
Wenn Sie Const SE_VPS_VALUE = 2 festlegen, wird der FQDN für den Domänennamen verwendet. Beispiel:Benutzer: FirstName.LastNameRealm: MyCompany.EMEA.INTRA
