Problembeschreibung
Betrachten Sie das folgende Szenario:
-
Sie einen Webserver veröffentlichen und alle Anfragen in einer Umgebung mit Microsoft Forefront Threat Management Gateway (TMG) 2010 zu authentifizieren.
-
Authentifizierung festgelegt auf eingeschränkte Kerberos-Delegierung (KCD).
-
Verwenden Sie das 960146 Update wechseln in das Kerberos-Ticket für KCD verwendet wird und das Format des Benutzernamens.
-
Sie stellen die Const SE_VPS_VALUE auf 2 zu den vollqualifizierten Domänennamen (FQDN). Angenommen, Sie verwenden die folgende Einstellung:
Benutzer: Vorname.Nachname Bereich: MyCompany.EMEA.INTRA
In diesem Szenario schlägt die KCD Domänenteil der Benutzerprinzipalname (UPN) nicht mit eine reale Domäne übereinstimmt. Wenn beispielsweise der Benutzer Benutzer: Vorname.Nachname Benutzer aus der Domäne EMEA Benutzerprinzipalname ist FirstName.LastName@MyCompanyund MyCompany Domäne nicht vorhanden ist, Fehler KCD Delegierung. Deswegen TMG versucht der MyCompany-Domäne an.
Ursache
Dieses Problem tritt aufgrund der Art in dem Modul Delegierung TMG Bereich behandelt und Benutzernamens während der Authentifizierung erstellt die Delegierungsanfrage abgerufen.
Problemlösung
Um dieses Problem zu beheben, installieren Sie Updaterollup 5 für Forefront Threat Management Gateway (TMG) 2010 Servicepack 2.
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.
Weitere Informationen
Dieses Update Fügt eine neue Option (Const SE_VPS_VALUE = 3) 960146 aktualisiert.
Gehen Sie folgendermaßen vor, um dieses Update zu installieren:
-
Downloaden Sie im Abschnitt "Lösung" genannten Updaterollup 5-Paket.
-
Installieren Sie Hotfix Rollup-Paket für alle TMG Servercomputer.
-
Starten Sie den Windows-Editor.
-
Kopieren Sie das Skript 960146 Update, und fügen Sie das Skript in Editor.
-
In Zeile 3 (Const SE_VPS_VALUE = 2), ändern Sie den Wert von 2 auf 3.
-
Speichern Sie die Datei mit der Erweiterung VBS zu TMG 2010-Server. Benennen Sie die Datei z. B. wie folgt:
TMG2010UseFQDNInKerberosTicket.vbs
-
Um das Skript auszuführen, doppelklicken Sie auf die VBS-Datei.
Hinweise
-
Das Skript in diesem Verfahren verwendet den Standardwert 2 Const SE_VPS_VALUE -Eigenschaft. Sie können diesen Wert nach folgenden Optionen ändern:
-
Setzen Sie Const SE_VPS_VALUE = 0, NetBIOS-Domänennamen für die Domäne verwendet. Beispiel:
Benutzer: Vorname.Nachname
Bereich: MyCompany -
Setzen Sie Const SE_VPS_VALUE = 1dient der Benutzerprinzipalname (UPN) für den Benutzernamen und der vollqualifizierten Domänennamen für den Domänennamen verwendet. Beispiel:
Benutzer: FirstName.LastName@MyCompany.EMEA.INTRA
Bereich: MyCompany.EMEA.INTRA -
Setzen Sie Const SE_VPS_VALUE = 2, der vollqualifizierten Domänennamen für den Domänennamen verwendet. Beispiel:
Benutzer: Vorname.Nachname
Bereich: MyCompany.EMEA.INTRA -
Setzen Sie Const SE_VPS_VALUE = 3, der vollqualifizierten Domänennamen für den Domänennamen verwendet. Beispiel:
Benutzer: Vorname.Nachname
Bereich: MyCompany.EMEA.INTRA
-
-
Diese neue Option, die durch dieses Update hinzugefügt erzeugt dieselbe Ausgabe wie der zweiten Option der Liste, verwendet jedoch "DS_CANONICAL_NAME" statt Benutzer-UPN-Format die Domäneninformationen abgerufen.
Referenzen
Informationen Sie zur Terminologie , die Microsoft-Softwareupdates verwendet.