REVISIÓN: Los usuarios en los bosques remotos no pueden cambiar sus contraseñas a través de ISA Server 2006 o Forefront Threat Management Gateway 2010

Síntomas

Nota: Estos problemas también se aplican a Microsoft Forefront Threat Management Gateway 2010.

Problema 1:

Imagine la siguiente situación:

  • Dispone de un servidor que ejecuta Microsoft Internet Security and Acceleration (ISA) 2006.

  • Configurar un agente de escucha de autenticación basada en formularios (FBA), seleccione Autenticación de formularios HTML en la ficha autenticación .

  • El agente de escucha está configurado para permitir a los usuarios cambiar sus contraseñas.

  • Utiliza la funcionalidad que se describe en artículo de Microsoft Knowledge Base 952675 para habilitar ISA 2006 buscar el usuario en varios dominios. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    952675 no puede iniciar sesión en un sitio de intranet local que se publica mediante ISA Server 2006 cuando hay varias cuentas de usuario que tienen el mismo nombre de cuenta en dominios diferentes

  • Se encuentra la cuenta del usuario que intenta iniciar sesión en un dominio en un bosque de confianza remoto.

En este escenario, los usuarios no pueden iniciar sesión si su contraseña ha caducado o si la cuenta está configurada para el usuario debe cambiar la contraseña en el siguiente inicio de sesión. Error 1907 (ERROR_PASSWORD_MUST_CHANGE) se registra en el registro del proxy web.

Problema 2:

Imagine la siguiente situación:

  • Dispone de un servidor que ejecuta Microsoft Internet Security and Acceleration (ISA) 2006.

  • Configurar un agente de escucha de autenticación basada en formularios (FBA), seleccione Autenticación de formularios HTML en la ficha autenticación .

  • El agente de escucha está configurado para permitir a los usuarios cambiar las contraseñas.

  • Tiene una regla de publicación de web que utiliza este agente de escucha para publicar un sitio Web.

  • Utiliza la funcionalidad que se describe en artículo de Microsoft Knowledge Base 952675 para habilitar ISA 2006 buscar el usuario en varios dominios. Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    952675 no puede iniciar sesión en un sitio de intranet local que se publica mediante ISA Server 2006 cuando hay varias cuentas de usuario que tienen el mismo nombre de cuenta en dominios diferentes

  • Que ISA Server 2006 abiertas en el servidor de catálogo global se cerró la conexión inesperadamente, por ejemplo, un servidor de seguridad entre los dos servidores.

  • El usuario que está iniciando sesión ha especificado el nombre de usuario en un formato de nomenclatura basada en SAM/NT4.

  • La nueva contraseña especificada por el usuario cumple los requisitos de complejidad.

En este escenario, los usuarios de todos los dominios no pueden cambiar sus contraseñas. Al intentar cambiar la contraseña, que reciben el mensaje de error siguiente:

El nombre de usuario o la contraseña anterior no es válida o la nueva contraseña no cumple los requisitos mínimos de complejidad. Vuelva a intentarlo.

Si el usuario especifica un nombre de usuario que utiliza un formato UPN, el usuario puede cambiar la contraseña. Si se reinicia el servicio de Firewall de ISA Server 2006, los usuarios también podrán cambiar la contraseña hasta que se rompe la conexión al servidor de catálogo global nuevo.

Causa

Problema 1:

Este problema se produce cuando el usuario no se redirige a la página de cambio de contraseña porque ISA Server 2006 no comprueba el estado de cuenta para las cuentas en los bosques remotos. Por lo tanto, intenta utilizar las credenciales que proporcionó el usuario para iniciar sesión el usuario. La contraseña ya no es válida. Por lo tanto, el intento falla y se devuelve el error 1907 (ERROR_PASSWORD_MUST_CHANGE).

Problema 2:

Este problema se produce cuando se vuelve a utilizar el identificador para el envío de mensajes en el servidor de catálogo global. Cuando se produce un error en el controlador, esto evita que ISA Server 2006 comprobando el estado de cuenta de usuario.

Solución

Microsoft Internet Security and Acceleration (ISA) 2006

Para resolver este problema, instale el paquete acumulativo de revisiones de ISA Server 2006 que se describe en el siguiente artículo de Microsoft Knowledge Base:

2616326 descripción del paquete de revisiones de ISA Server 2006: septiembre de 2011

Microsoft Forefront Threat Management Gateway 2010

Para resolver este problema, instale el service pack que se describe en el siguiente artículo de Microsoft Knowledge Base:

2555840 Microsoft Forefront Threat Management Gateway 2010 Service Pack 2

Cómo habilitar esta corrección

Microsoft proporciona ejemplos de programación únicamente con fines ilustrativos, sin ninguna garantía expresa o implícita. Esto incluye, pero no se limita, a las garantías implícitas de comerciabilidad o idoneidad para un propósito particular. Este artículo asume que está familiarizado con el lenguaje de programación que se muestra y con las herramientas que se utilizan para crear y depurar procedimientos. Los ingenieros de soporte técnico de Microsoft pueden explicarle la funcionalidad de un determinado procedimiento. Sin embargo, no modificarán estos ejemplos para ofrecer mayor funcionalidad ni crearán procedimientos que cumplan sus requisitos específicos. Para habilitar esta revisión para ISA Server 2006 o Forefront Threat Management Gateway 2010, ejecute la secuencia de comandos EnableMultipleFlatUserName.vbs para habilitar la funcionalidad proporcionada por esta revisión. Para ello, siga estos pasos:

  1. Haga clic en Inicio, seleccione Ejecutar, escriba bloc de notas y, por último, seleccione Aceptar.

  2. Copie la siguiente secuencia de comandos en un archivo de Bloc de notas y, a continuación, guarde el archivo de texto como un archivo de Microsoft Visual Basic utilizando la extensión de nombre de archivo .vbs.

    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "EnableMultipleFlatUserName"Const SE_VPS_VALUE = trueSub SetValue()    ' Create the root obect.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  3. Guarde el archivo en una carpeta temporal. Por ejemplo, guarde el archivo como EnableMultipleFlatUserName.vbs en la carpeta C:\EnableMultipleFlatUserName .

  4. En el símbolo del sistema, vaya a la ubicación en la que guardó el archivo .vbs en el paso 3 y, a continuación, ejecute el archivo .vbs. Por ejemplo, ejecute los comandos siguientes:

    CD C:\EnableMultipleFlatUserNamecscript EnableMultipleFlatUserName.vbs

Nota: Debe reiniciar los servicios relacionados con ISA Server o los servicios relacionados con el servidor de Forefront Threat Management Gateway después de habilitar esta corrección.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "Se aplica a".

Referencias

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824684 Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×