Symptômes
Considérez le scénario suivant :
-
Vous publiez un serveur web et authentifier toutes les demandes dans un environnement Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Vous définissez la délégation de l’authentification à la délégation contrainte Kerberos (KCD).
-
La mise à jour de 960146 vous permet de modifier le nom et le domaine format nom utilisateur qui est utilisé dans le ticket Kerberos pour KCD.
-
Vous définissez le paramètre Const SE_VPS_VALUE 2 pour obtenir le nom de domaine pleinement qualifié (FQDN). Par exemple, vous utilisez le paramètre suivant :
Utilisateur : En guise domaine : MyCompany.EMEA.INTRA
Dans ce scénario, la KCD échoue si la partie domaine du nom d’utilisateur principal (UPN) ne correspond pas à un domaine réel. Par exemple, si l’utilisateur est utilisateur : en guise à partir du domaine de la zone EMEA, mais l’utilisateur UPN est FirstName.LastName@MyCompanyet si le domaine de la société n’existe pas, la délégation de KCD échoue. C’est parce que TMG tente de contacter le domaine MyCompany.
Cause
Ce problème se produit en raison de la manière dont le module de délégation TMG gère le domaine et le nom qui est récupéré au cours de l’authentification pour créer la demande de délégation.
Résolution
Pour résoudre ce problème, installez le correctif cumulatif 5 pour Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
Plus d'informations
Cette mise à jour ajoute une nouvelle option (Const SE_VPS_VALUE = 3) pour mettre à jour les 960146.
Pour appliquer cette mise à jour, procédez comme suit :
-
Télécharger le package de correctif cumulatif 5 qui est mentionné dans la section « Résolution ».
-
Installez le correctif logiciel cumulatif sur tous les ordinateurs du serveur de TMG.
-
Démarrez le bloc-notes de Windows.
-
Copiez le script de la mise à jour 960146, puis collez le script dans le bloc-notes.
-
À la ligne 3 (Const SE_VPS_VALUE = 2), changez la valeur de 2 à 3.
-
Enregistrer le fichier dans l’un des serveurs TMG 2010 à l’aide de l’extension de nom de fichier .vbs. Par exemple, nommez le fichier comme suit :
TMG2010UseFQDNInKerberosTicket.vbs
-
Pour exécuter le script, double-cliquez sur le fichier .vbs que vous avez enregistré.
Remarques
-
Le script dans cette procédure utilise la valeur 2 par défaut pour la propriété SE_VPS_VALUE de Const . Vous pouvez modifier cette valeur en fonction des options suivantes :
-
Si vous définissez Const SE_VPS_VALUE = 0, le nom de domaine NETBIOS est utilisé pour le nom de domaine. Par exemple :
Utilisateur : en guise
Domaine : MyCompany -
Si vous définissez Const SE_VPS_VALUE = 1, le nom d’utilisateur principal (UPN) est utilisé pour le nom d’utilisateur et le nom de domaine complet est utilisé pour le nom de domaine. Par exemple :
Utilisateur : FirstName.LastName@MyCompany.EMEA.INTRA
Domaine : MyCompany.EMEA.INTRA -
Si vous définissez Const SE_VPS_VALUE = 2, le nom de domaine complet est utilisé pour le nom de domaine. Par exemple :
Utilisateur : en guise
Domaine : MyCompany.EMEA.INTRA -
Si vous définissez Const SE_VPS_VALUE = 3, le nom de domaine complet est utilisé pour le nom de domaine. Par exemple :
Utilisateur : en guise
Domaine : MyCompany.EMEA.INTRA
-
-
Cette nouvelle option est ajoutée par cette mise à jour produit le même résultat que celui de la seconde option de la liste, mais utilise « DS_CANONICAL_NAME » et non le format UPN utilisateur pour récupérer les informations de domaine.
Références
Obtenir des informations sur la terminologie que Microsoft utilise pour décrire les mises à jour logicielles.