CORRECTIF : Les utilisateurs dans des forêts à distance ne peuvent pas modifier leurs mots de passe via ISA Server 2006 ou de Forefront Threat Management Gateway 2010

S’applique à : Forefront Threat Management Gateway 2010 EnterpriseForefront Threat Management Gateway 2010 Standard

Symptômes


Remarque Ces considérations s’appliquent également à Microsoft Forefront Threat Management Gateway 2010.

Problème 1 :

Prenons l’exemple du scénario suivant :
  • Vous disposez d’un serveur qui exécute Microsoft Internet Security and Acceleration (ISA) 2006.
  • Vous avez configuré un port d’écoute d’authentification en fonction des formulaires (FBA) en sélectionnant L’authentification par formulaire HTML sur l’onglet authentification .
  • Le port d’écoute est configuré pour permettre aux utilisateurs de modifier leurs mots de passe.
  • Vous avez utilisé la fonctionnalité qui est décrite dans l’article de la Base de connaissances Microsoft 952675 pour activer ISA 2006 pour rechercher l’utilisateur dans plusieurs domaines. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    952675 Impossible de vous connecter à un site intranet local que vous publiez en utilisant ISA Server 2006, lorsqu’il y a plusieurs comptes d’utilisateurs qui ont le même nom de compte dans des domaines différents
  • Le compte de l’utilisateur qui essaie de se connecter se trouve dans un domaine dans une forêt approuvée à distance.
Dans ce scénario, les utilisateurs ne peuvent pas ouvrir une session si leur mot de passe a expiré ou si le compte est défini sur l’utilisateur doit changer de mot de passe à la prochaine ouverture de session. Erreur 1907 (ERROR_PASSWORD_MUST_CHANGE) est enregistré dans le journal du proxy web.

Problème 2 :

Prenons l’exemple du scénario suivant :
  • Vous disposez d’un serveur qui exécute Microsoft Internet Security and Acceleration (ISA) 2006.
  • Vous avez configuré un port d’écoute d’authentification en fonction des formulaires (FBA) en sélectionnant L’authentification par formulaire HTML sur l’onglet authentification .
  • Le port d’écoute est configuré pour permettre aux utilisateurs de modifier les mots de passe.
  • Vous avez une règle de publication web qui utilise ce port d’écoute pour publier un site Web.
  • Vous avez utilisé la fonctionnalité qui est décrite dans l’article de la Base de connaissances Microsoft 952675 pour activer ISA 2006 pour rechercher l’utilisateur dans plusieurs domaines. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    952675 Impossible de vous connecter à un site intranet local que vous publiez en utilisant ISA Server 2006, lorsqu’il y a plusieurs comptes d’utilisateurs qui ont le même nom de compte dans des domaines différents
  • La connexion ISA Server 2006 est ouvert sur le serveur de catalogue global a été inopinément fermée, par exemple, par un pare-feu entre les deux serveurs.
  • L’utilisateur qui se connecte a spécifié le nom d’utilisateur dans un format de dénomination basé sur NT4/SAM.
  • Le nouveau mot de passe spécifié par l’utilisateur répond aux exigences de complexité.
Dans ce scénario, les utilisateurs de tous les domaines ne peuvent pas modifier leurs mots de passe. Lorsqu’ils tentent de modifier un mot de passe, le message d’erreur suivant s’affiche :
Le nom de l’utilisateur ou l’ancien mot de passe n’est pas valide, soit le nouveau mot de passe ne répond pas aux exigences de complexité minimales. Essayez à nouveau.
Si l’utilisateur spécifie un nom d’utilisateur qui utilise un format UPN, l’utilisateur peut modifier le mot de passe. Si le Service de pare-feu ISA Server 2006 est redémarré, les utilisateurs peuvent également être en mesure de modifier un mot de passe jusqu'à ce que la connexion au serveur de catalogue global est de nouveau interrompue.

Cause


Problème 1 :

Ce problème se produit lorsque l’utilisateur n’est pas redirigé vers la page de modification du mot de passe car ISA Server 2006 ne vérifie pas l’état du compte pour les comptes dans les forêts à distance. Par conséquent, il tente d’utiliser les informations d’identification fournies par l’utilisateur pour la session de l’utilisateur. Le mot de passe n’est plus valide. Par conséquent, la tentative échoue et 1907 (ERROR_PASSWORD_MUST_CHANGE) est renvoyée.

Problème 2 :

Ce problème se produit lorsque la poignée pour envoyer des messages sur le serveur de catalogue global est réutilisée. En cas d’échec de la poignée, ainsi, ISA Server 2006 à partir de la vérification de l’état de compte d’utilisateur.

Résolution


Microsoft Internet Security and Acceleration (ISA) 2006

Pour résoudre ce problème, installez le package global de correctifs ISA Server 2006 qui est décrite dans l’article suivant de la Base de connaissances Microsoft :
Description de 2616326 du package de correctifs ISA Server 2006 : septembre 2011

Microsoft Forefront Threat Management Gateway 2010

Pour résoudre ce problème, installez le service pack qui est décrit dans l’article suivant de la Base de connaissances Microsoft :
2555840 Microsoft Forefront Threat Management Gateway 2010 Service Pack 2

Comment faire pour activer ce correctif

Microsoft fournit des exemples de programmation à titre d'illustration uniquement, sans garantie expresse ou implicite. Ceci inclut, mais n'est pas limité à, les garanties implicites de qualité marchande ou d'adéquation à un usage particulier. Cet article suppose que vous êtes familiarisé avec le langage de programmation présenté et les outils utilisés pour créer et déboguer des procédures. Les ingénieurs du support technique Microsoft peuvent aider à expliquer la fonctionnalité d'une procédure particulière. Toutefois, ils ne modifieront pas ces exemples pour fournir des fonctionnalités supplémentaires ou créer des procédures répondant à vos besoins spécifiques. Pour activer ce correctif pour ISA Server 2006 ou de Forefront Threat Management Gateway 2010, exécutez le script EnableMultipleFlatUserName.vbs pour activer la fonctionnalité qui est fournie par ce correctif. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, sur Exécuter, tapez notepad, puis cliquez sur OK.
  2. Copiez le script suivant dans un fichier Bloc-notes, puis enregistrez le fichier texte sous la forme d’un fichier Microsoft Visual Basic à l’aide de l’extension de nom de fichier .vbs.
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "EnableMultipleFlatUserName"Const SE_VPS_VALUE = trueSub SetValue()    ' Create the root obect.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  3. Enregistrez le fichier dans un dossier temporaire. Par exemple, enregistrez le fichier sous EnableMultipleFlatUserName.vbs dans le dossier C:\EnableMultipleFlatUserName .
  4. À une invite de commandes, accédez à l’emplacement dans lequel vous avez enregistré le fichier .vbs à l’étape 3, puis exécutez le fichier .vbs. Par exemple, exécutez les commandes suivantes :
    CD C:\EnableMultipleFlatUserNamecscript EnableMultipleFlatUserName.vbs
Remarque : Après l’activation de ce correctif, vous devez redémarrer les services ISA Server ou les services serveur Forefront Threat Management Gateway.

Statut


Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Références


Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
824684 Terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft