Gejala
Pertimbangkan skenario berikut ini:
-
Anda menerbitkan web server dan mengotentikasi semua permintaan di lingkungan Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Anda menetapkan otentikasi delegasi untuk delegasi Kerberos dibatasi (KCD).
-
Anda menggunakan Pembaruan 960146 untuk mengubah pengguna nama dan domain nama format yang digunakan dalam tiket Kerberos untuk KCD.
-
Anda menetapkan pengaturan Const SE_VPS_VALUE ke 2 untuk mendapatkan memenuhi syarat domain name (FQDN). Misalnya, Anda menggunakan menggunakan setelan berikut:
Pengguna: FirstName.LastName bidang: MyCompany.EMEA.INTRA
Dalam skenario ini, KCD gagal jika bagian domain utama (UPN nama pengguna) tidak sesuai dengan domain yang nyata. Sebagai contoh, jika pengguna pengguna: FirstName.LastName dari domain EMEA namun pengguna UPN FirstName.LastName@MyCompany, dan jika tidak ada MyCompany domain, delegasi KCD gagal. Hal ini karena TMG mencoba menghubungi MyCompany domain.
Penyebab
Masalah ini terjadi karena cara di mana modul delegasi TMG menangani domain dan informasi nama pengguna yang diperoleh selama otentikasi untuk membuat permintaan delegasi.
Pemecahan masalah
Untuk mengatasi masalah ini, instal Rollup 5 untuk Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Informasi lebih lanjut
Pemutakhiran ini menambahkan opsi baru (Const SE_VPS_VALUE = 3) untuk memperbarui 960146.
Untuk menerapkan pembaruan ini, ikuti langkah-langkah berikut:
-
Download paket Rollup 5 yang disebutkan di bagian "Resolusi".
-
Menginstal paket Batal hotfix pada semua komputer TMG Server.
-
Mulai Windows Notepad.
-
Salin skrip dari pembaruan 960146, dan kemudian tempelkan skrip ke Notepad.
-
Di baris 3 (Const SE_VPS_VALUE = 2), Ubah nilai dari 2 hingga 3.
-
Simpan file ke salah satu server TMG 2010 dengan menggunakan ekstensi nama berkas .vbs. Sebagai contoh, nama berkas sebagai berikut:
TMG2010UseFQDNInKerberosTicket.vbs
-
Untuk menjalankan skrip, klik dua kali berkas .vbs yang Anda simpan.
Catatan
-
Skrip di prosedur ini menggunakan nilai asali dari 2 Const SE_VPS_VALUE properti. Anda dapat mengubah nilai ini sesuai pilihan berikut:
-
Jika Anda menetapkan Const SE_VPS_VALUE = 0, nama NETBIOS domain yang digunakan untuk nama domain. Misalnya:
Pengguna: FirstName.LastName
Bidang: MyCompany -
Jika Anda menetapkan Const SE_VPS_VALUE = 1, pimpinan (UPN nama pengguna) yang digunakan untuk nama pengguna dan FQDN digunakan untuk nama domain. Misalnya:
Pengguna: FirstName.LastName@MyCompany.EMEA.INTRA
Bidang: MyCompany.EMEA.INTRA -
Jika Anda menetapkan Const SE_VPS_VALUE = 2, FQDN digunakan untuk nama domain. Misalnya:
Pengguna: FirstName.LastName
Bidang: MyCompany.EMEA.INTRA -
Jika Anda menetapkan Const SE_VPS_VALUE = 3, FQDN digunakan untuk nama domain. Misalnya:
Pengguna: FirstName.LastName
Bidang: MyCompany.EMEA.INTRA
-
-
Opsi ini baru yang ditambahkan oleh pembaruan ini menghasilkan output yang sama sebagai opsi Daftar kedua, tetapi menggunakan "DS_CANONICAL_NAME" bukannya format UPN pengguna untuk mendapatkan informasi domain.
Referensi
Pelajari tentang terminologi yang digunakan untuk menjelaskan pemutakhiran perangkat lunak Microsoft.
