Problembeschreibung
Hinweis Diese Punkte gelten auch für Microsoft Forefront Threat Management Gateway 2010.
Problem 1:
Stellen Sie sich folgendes Szenario vor:
-
Sie haben einen Server mit Microsoft Internet Security and Acceleration (ISA) 2006.
-
Listener Forms Authentifizierung (FBA) konfiguriert durch Auswählen von HTML-Formularauthentifizierung auf der Registerkarte Authentifizierung .
-
Listener ist so konfiguriert, dass Benutzer ihre Kennwörter ändern können.
-
Sie verwendet die Funktionalität, die im Microsoft Knowledge Base-Artikel 952675 ermöglichen ISA 2006 zu suchende Benutzer in mehreren Domänen beschrieben. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
952675 Sie können ein lokales Intranet-Website anmelden, die mithilfe von ISA Server 2006 gibt es mehrere Benutzerkonten mit dem gleichen Kontonamen in verschiedenen Domänen veröffentlichen
-
In einer Domäne in einer vertrauenswürdigen Gesamtstruktur befindet sich das Konto des Benutzers, der versucht, sich anzumelden.
In diesem Szenario können Benutzer anmelden, wenn ihr Kennwort abgelaufen ist oder wenn das Konto auf Benutzer muss Kennwort bei der nächsten Anmeldung ändernfestgelegt ist. Der Web Proxy-Protokoll Fehler 1907 (ERROR_PASSWORD_MUST_CHANGE) angemeldet.
Problem 2:
Stellen Sie sich folgendes Szenario vor:
-
Sie haben einen Server mit Microsoft Internet Security and Acceleration (ISA) 2006.
-
Listener Forms Authentifizierung (FBA) konfiguriert durch Auswählen von HTML-Formularauthentifizierung auf der Registerkarte Authentifizierung .
-
Listener ist so konfiguriert, dass Benutzer Kennwörter ändern können.
-
Sie haben eine Webveröffentlichungsregel, die Listener zum Veröffentlichen einer Website verwendet.
-
Sie verwendet die Funktionalität, die im Microsoft Knowledge Base-Artikel 952675 ermöglichen ISA 2006 zu suchende Benutzer in mehreren Domänen beschrieben. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
952675 Sie können ein lokales Intranet-Website anmelden, die mithilfe von ISA Server 2006 gibt es mehrere Benutzerkonten mit dem gleichen Kontonamen in verschiedenen Domänen veröffentlichen
-
Die ISA Server 2006 auf dem globalen Katalogserver geöffnet Verbindung wurde unerwartet geschlossen, z. B. durch eine Firewall zwischen den beiden Servern.
-
Benutzer anmeldet hat den Benutzernamen in einem NT4, SAM-basierte Namensformat angegeben.
-
Das neue Kennwort vom Benutzer angegebenen entspricht Komplexität.
In diesem Szenario können nicht alle Domänen Benutzer ihre Kennwörter ändern. Wenn sie versuchen, ein Kennwort zu ändern, erhalten sie folgende Fehlermeldung:
Der Benutzername oder das Kennwort ist ungültig, oder das neue Kennwort erfüllt nicht die Mindestanforderungen an die Komplexität Vorschriften. Bitte versuchen Sie es erneut.
Wenn der Benutzer einen Benutzernamen angibt, der einem UPN-Format verwendet, kann der Benutzer das Kennwort ändern. Wenn ISA Server 2006-Firewall-Dienst neu gestartet wird, Benutzer auch möglicherweise ein Kennwort zu ändern, bis die Verbindung zum Server für den globalen Katalog beschädigt ist.
Ursache
Problem 1:
Dieses Problem tritt auf, wenn der Benutzer auf der Seite Kennwort ändern nicht umgeleitet wird, da ISA Server 2006 den Status für Konten in den entfernten Gesamtstrukturen nicht überprüft. Aus diesem Grund versucht die Anmeldeinformationen verwenden, die der Benutzer zum Anmelden des Benutzers bereitgestellt. Das Kennwort ist nicht mehr gültig. Daher schlägt der Versuch fehl, und Fehler 1907 (ERROR_PASSWORD_MUST_CHANGE) zurückgegeben.
Problem 2:
Dieses Problem tritt auf, wenn das Handle für das Senden von Nachrichten an den globalen Katalogserver wiederverwendet wird. Wenn das Handle nicht verhindert dies ISA Server 2006 überprüft den Status des Benutzerkontos.
Lösung
Microsoft Internet Security and Acceleration (ISA) 2006
Installieren Sie zum Beheben dieses Problems beschrieben wird ISA Server 2006-Hotfixrolluppaket im folgenden Artikel der Microsoft Knowledge Base:
2616326 Beschreibung des Hotfix-Pakets von ISA Server 2006: September 2011
Microsoft Forefront Threat Management Gateway 2010
Um dieses Problem zu beheben, installieren Sie das Servicepack, das beschrieben wird im folgenden Artikel der Microsoft Knowledge Base:
2555840 Microsoft Forefront Threat Management Gateway 2010 Servicepack 2
Dieses Update aktivieren
Microsoft bietet Programmierbeispiele lediglich zur Veranschaulichung, ohne ausdrückliche oder konkludente Gewährleistung. Dies beinhaltet, ist jedoch nicht beschränkt auf, konkludente Gewährleistungen der Tauglichkeit oder Eignung für einen bestimmten Zweck. Dieser Artikel setzt voraus, dass Sie mit der von Beispielen verwendeten Programmiersprache und den Tools, die zum Erstellen und Debuggen von Prozeduren verwendet werden, vertraut sind. Microsoft-Supporttechniker helfen der Erläuterung der Funktionalität bestimmter Prozeduren. Allerdings werden sie diese Beispiele nicht ändern, um zusätzliche Funktionalität bereitzustellen oder Prozeduren erstellen, die Ihren spezifischen Bedürfnisse erfüllen. Um dieses Update für ISA Server 2006 oder Forefront Threat Management Gateway 2010 aktiviert das Skript EnableMultipleFlatUserName.vbs um die Funktionalität zu aktivieren, die dieses Update zur Verfügung. Gehen Sie hierzu folgendermaßen vor:
-
Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Editor ein, und klicken Sie auf OK.
-
Kopieren Sie das folgende Skript in eine Editor-Datei, und speichern Sie die Datei als Microsoft Visual Basic-Datei mit der Erweiterung VBS.
Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "EnableMultipleFlatUserName"Const SE_VPS_VALUE = trueSub SetValue() ' Create the root obect. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") 'Declare the other objects needed. Dim array ' An FPCArray object Dim VendorSets ' An FPCVendorParametersSets collection Dim VendorSet ' An FPCVendorParametersSet object ' Get references to the array object ' and the network rules collection. Set array = root.GetContainingArray Set VendorSets = array.VendorParametersSets On Error Resume Next Set VendorSet = VendorSets.Item( SE_VPS_GUID ) If Err.Number <> 0 Then Err.Clear ' Add the item Set VendorSet = VendorSets.Add( SE_VPS_GUID ) CheckError WScript.Echo "New VendorSet added... " & VendorSet.Name Else WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME) End If if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then Err.Clear VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE If Err.Number <> 0 Then CheckError Else VendorSets.Save false, true CheckError If Err.Number = 0 Then WScript.Echo "Done with " & SE_VPS_NAME & ", saved!" End If End If Else WScript.Echo "Done with " & SE_VPS_NAME & ", no change!" End IfEnd SubSub CheckError() If Err.Number <> 0 Then WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description Err.Clear End IfEnd SubSetValue
-
Speichern Sie die Datei in einen temporären Ordner. Speichern Sie die Datei z. B. als EnableMultipleFlatUserName.vbs in den Ordner C:\EnableMultipleFlatUserName .
-
Befehlszeile wechseln Sie zum Speicherort, in dem Sie in Schritt 3 die VBS-Datei gespeichert, und führen Sie die VBS-Datei. Führen Sie beispielsweise folgende Befehle:
CD C:\EnableMultipleFlatUserNameCscript EnableMultipleFlatUserName.vbs
Hinweis Neustart der ISA Server-Dienste oder die Forefront Threat Management Gateway Server-Dienste nach diesem Update zu aktivieren.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.
Informationsquellen
Weitere Informationen zur Terminologie für Softwareupdates von Microsoft finden Sie im folgenden Artikel der Microsoft Knowledge Base:
824684 Beschreibung der Standardterminologie, die zum Beschreiben von Microsoft-Softwareupdates verwendet wird