Συμπτώματα
Εξετάστε το ακόλουθο σενάριο:
-
Δημοσίευσης ενός διακομιστή web και τον έλεγχο ταυτότητας σε όλες τις αιτήσεις σε ένα περιβάλλον Microsoft Forefront απειλή διαχείρισης πύλη (TMG) 2010.
-
Μπορείτε να ορίσετε αντιπροσώπευση ελέγχου ταυτότητας για αντιπροσώπευση Kerberos περιορισμό (KCD).
-
Μπορείτε να χρησιμοποιήσετε την ενημερωμένη έκδοση 960146 για να αλλάξετε το όνομα και τον τομέα μορφή ονόματος χρήστη που χρησιμοποιείται σε του δελτίου του Kerberos για KCD.
-
Μπορείτε να ορίσετε τη ρύθμιση Const SE_VPS_VALUE σε 2 για να αποκτήσετε το πλήρως αναγνωρισμένο όνομα τομέα (FQDN). Για παράδειγμα, μπορείτε να χρησιμοποιήσετε χρησιμοποιείται η παρακάτω ρύθμιση:
Χρήστης: FirstName.LastName τομέας: MyCompany.EMEA.INTRA
Σε αυτό το σενάριο, το KCD αποτυγχάνει εάν το τμήμα τομέα από το κύριο όνομα χρήστη (UPN) δεν συμφωνεί με το πραγματικό τομέα. Για παράδειγμα, εάν ο χρήστης είναι χρήστης: FirstName.LastName από τον τομέα EMEA αλλά ο χρήστης UPN είναι FirstName.LastName@MyCompanyκαι, εάν δεν υπάρχει στον τομέα του MyCompany, η ανάθεση KCD αποτυγχάνει. Αυτό συμβαίνει επειδή TMG που προσπαθεί να επικοινωνήσει με τον τομέα του MyCompany.
Αιτία
Αυτό το ζήτημα παρουσιάζεται επειδή το τρόπο που η λειτουργική μονάδα ανάθεσης TMG χειρίζεται τον τομέα και το όνομα χρήστη που ανακτάται κατά τον έλεγχο ταυτότητας, για να δημιουργήσετε την αίτηση ανάθεσης.
Προτεινόμενη αντιμετώπιση
Για να επιλύσετε αυτό το ζήτημα, εγκαταστήστε τη συλλογή ενημερωμένων εκδόσεων 5 για το Forefront απειλή διαχείρισης πύλη (TMG) 2010 Service Pack 2.
Κατάσταση
Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα των προϊόντων της Microsoft που παρατίθενται στην ενότητα "Ισχύει για".
Περισσότερες πληροφορίες
Αυτή η ενημερωμένη έκδοση προσθέτει μια νέα επιλογή (Const SE_VPS_VALUE = 3) για να ενημερώσετε το 960146.
Για να εφαρμόσετε αυτήν την ενημερωμένη έκδοση, ακολουθήστε τα εξής βήματα:
-
Άμεση λήψη του πακέτου ενημερώσεων 5 που αναφέρεται στην ενότητα "Προτεινόμενη αντιμετώπιση".
-
Εγκαταστήστε το πακέτο συλλογής επειγουσών επιδιορθώσεων σε όλους τους υπολογιστές διακομιστή TMG.
-
Ξεκινήστε το Σημειωματάριο των Windows.
-
Αντιγράψτε τη δέσμη ενεργειών από την 960146 ενημερωμένη έκδοση και, στη συνέχεια, επικολλήστε τη δέσμη ενεργειών στο Σημειωματάριο (Notepad).
-
Στη γραμμή 3 (Const SE_VPS_VALUE = 2), αλλάξτε την τιμή από 2 έως 3.
-
Αποθηκεύστε το αρχείο σε έναν από τους διακομιστές TMG 2010, χρησιμοποιώντας την επέκταση ονόματος αρχείου .vbs. Για παράδειγμα, ονομάστε το αρχείο ως εξής:
TMG2010UseFQDNInKerberosTicket.vbs
-
Για να εκτελέσετε τη δέσμη ενεργειών, κάντε διπλό κλικ στο αρχείο .vbs που αποθηκεύσατε.
Σημειώσεις
-
Η δέσμη ενεργειών σε αυτήν τη διαδικασία χρησιμοποιεί την προεπιλεγμένη τιμή των 2 για την ιδιότητα Const SE_VPS_VALUE . Μπορείτε να αλλάξετε αυτήν την τιμή σύμφωνα με τις ακόλουθες επιλογές:
-
Εάν ορίσετε Const SE_VPS_VALUE = 0, το όνομα NETBIOS του τομέα χρησιμοποιείται για το όνομα τομέα. Για παράδειγμα:
Χρήστης: FirstName.LastName
Τομέας: MyCompany -
Εάν ορίσετε Const SE_VPS_VALUE = 1, το κύριο όνομα χρήστη (UPN) χρησιμοποιείται για το όνομα χρήστη και το FQDN χρησιμοποιείται για το όνομα τομέα. Για παράδειγμα:
Χρήστης: FirstName.LastName@MyCompany.EMEA.INTRA
Τομέας: MyCompany.EMEA.INTRA -
Εάν ορίσετε Const SE_VPS_VALUE = 2, το FQDN χρησιμοποιείται για το όνομα τομέα. Για παράδειγμα:
Χρήστης: FirstName.LastName
Τομέας: MyCompany.EMEA.INTRA -
Εάν ορίσετε Const SE_VPS_VALUE = 3, το FQDN χρησιμοποιείται για το όνομα τομέα. Για παράδειγμα:
Χρήστης: FirstName.LastName
Τομέας: MyCompany.EMEA.INTRA
-
-
Αυτή η νέα επιλογή που προστίθεται από αυτήν την ενημερωμένη έκδοση παράγει το ίδιο αποτέλεσμα με τη δεύτερη επιλογή της λίστας, αλλά χρησιμοποιεί "DS_CANONICAL_NAME" αντί για τη μορφή UPN χρήστη για να ανακτήσει τις πληροφορίες τομέα.
Αναφορές
Πληροφορίες σχετικά με την ορολογία που χρησιμοποιεί η Microsoft για την περιγραφή ενημερωμένων εκδόσεων λογισμικού.
