Síntomas
Imagine el siguiente escenario:
-
Publicar un servidor web y autenticar todas las solicitudes en un entorno de Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Delegación de autenticación se establece en la delegación restringida de Kerberos (KCD).
-
Utilice la actualización 960146 para cambiar el formato de nombre de dominio y de nombre de usuario que se usa en el vale de Kerberos para KCD.
-
Establezca el valor Const SE_VPS_VALUE 2 para obtener el nombre de dominio completo (FQDN). Por ejemplo, debe utilizar la siguiente configuración:
Usuario: Nombre.apellido territorio: MyCompany.EMEA.INTRA
En este escenario, la KCD falla si la parte del dominio del nombre principal de usuario (UPN) no coincide con un dominio real. Por ejemplo, si el usuario es usuario: nombre.apellido desde el dominio EMEA, pero el usuario UPN es FirstName.LastName@MyCompany, y si no existe el dominio MyCompany, se produce un error en la delegación de KCD. Esto es porque TMG intenta ponerse en contacto con el dominio de MyCompany.
Causa
Este problema se produce debido a la manera en que el módulo de delegación de TMG trata el dominio y la información de nombre de usuario que se recupera durante la autenticación para crear la solicitud de delegación.
Solución
Para resolver este problema, instale el paquete acumulativo de actualizaciones 5 para Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Esta actualización agrega una nueva opción (Const SE_VPS_VALUE = 3) para actualizar 960146.
Para aplicar esta actualización, siga estos pasos:-
Descargue el paquete de paquete acumulativo de actualizaciones 5 que se menciona en la sección "Solución".
-
Instale el paquete acumulativo de revisiones en todos los equipos de servidor de TMG.
-
Inicie el Bloc de notas de Windows.
-
Copiar la secuencia de comandos de actualización de 960146 y, a continuación, pegue la secuencia de comandos en el Bloc de notas.
-
En la línea 3 (Const SE_VPS_VALUE = 2), cambie el valor de 2 a 3.
-
Mediante el uso de la extensión de nombre de archivo .vbs, guarde el archivo en uno de los servidores de TMG 2010. Por ejemplo, el nombre del archivo como sigue:
TMG2010UseFQDNInKerberosTicket.vbs
-
Para ejecutar el script, haga doble clic en el archivo .vbs que guardó.
Notas:
-
La secuencia de comandos en este procedimiento utiliza el valor predeterminado de 2 para la propiedad Const SE_VPS_VALUE . Puede cambiar este valor según las siguientes opciones:
-
Si se establece Const SE_VPS_VALUE = 0, el nombre de dominio NETBIOS se utiliza para el nombre de dominio. Por ejemplo:
Usuario: nombre.apellido
Territorio: MyCompany -
Si se establece Const SE_VPS_VALUE = 1, el nombre principal de usuario (UPN) se utiliza para el nombre de usuario y se utiliza el FQDN para el nombre de dominio. Por ejemplo:
Usuario: FirstName.LastName@MyCompany.EMEA.INTRA
Territorio: MyCompany.EMEA.INTRA -
Si se establece Const SE_VPS_VALUE = 2, se utiliza el FQDN para el nombre de dominio. Por ejemplo:
Usuario: nombre.apellido
Territorio: MyCompany.EMEA.INTRA -
Si se establece Const SE_VPS_VALUE = 3, se utiliza el FQDN para el nombre de dominio. Por ejemplo:
Usuario: nombre.apellido
Territorio: MyCompany.EMEA.INTRA
-
-
Esta nueva opción que esta actualización agrega produce el mismo resultado que el de la segunda opción de la lista, pero utiliza "DS_CANONICAL_NAME" en lugar del formato UPN de usuario para recuperar la información del dominio.
Referencias
Obtenga información acerca de la terminología que utiliza Microsoft para describir las actualizaciones de software.