Sintomi
Si consideri lo scenario seguente:
-
Potete pubblicare un server web e autenticare tutte le richieste in un ambiente di Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Impostare la delega di autenticazione alla delega vincolata Kerberos (KCD).
-
Utilizzare l'aggiornamento 960146 per modificare il nome e il dominio formato del nome di utente che viene utilizzato il ticket Kerberos per KCD.
-
Impostare l'impostazione Const SE_VPS_VALUE 2 per ottenere il nome di dominio completo (FQDN). Ad esempio, si utilizza la seguente impostazione:
Utente: Area di autenticazione FirstName.LastName: MyCompany.EMEA.INTRA
In questo scenario, il KCD ha esito negativo se la parte del dominio del nome principale utente (UPN) non corrisponde a un dominio reale. Ad esempio se l'utente è utente: FirstName.LastName dal dominio EMEA ma l'utente UPN FirstName.LastName@MyCompanye se il dominio MyCompany non esiste, la delega di KCD ha esito negativo. In questo modo TMG tenta di contattare il dominio MyCompany.
Causa
Questo problema si verifica a causa del modo in cui il modulo di delega TMG gestisce il dominio e informazioni sul nome utente che viene recuperati durante l'autenticazione per creare la richiesta di delega.
Risoluzione
Per risolvere questo problema, installare cumulativo 5 per Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Questo aggiornamento aggiunge una nuova opzione (Const SE_VPS_VALUE = 3) per l'aggiornamento 960146.
Per applicare questo aggiornamento, attenersi alla seguente procedura:
-
Download del pacchetto cumulativo 5 menzionato nella sezione "Risoluzione".
-
Installare il pacchetto cumulativo di hotfix su tutti i computer Server TMG.
-
Avviare Blocco note di Windows.
-
Copiare lo script di aggiornamento di 960146 e quindi incollare lo script nel blocco note.
-
Nella riga 3 (Const SE_VPS_VALUE = 2), modificare il valore da 2 a 3.
-
Salvare il file a uno dei server TMG 2010 utilizzando l'estensione vbs. Ad esempio, denominare il file come segue:
TMG2010UseFQDNInKerberosTicket.vbs
-
Per eseguire lo script, fare doppio clic sul file vbs che è stato salvato.
Note
-
Lo script in questa procedura utilizza il valore predefinito di 2 per la proprietà SE_VPS_VALUE Const . È possibile modificare questo valore le seguenti opzioni:
-
Se si imposta Const SE_VPS_VALUE = 0, il nome di dominio NETBIOS viene utilizzato per il nome di dominio. Per esempio:
Utente: FirstName.LastName
Area di autenticazione: MyCompany -
Se si imposta Const SE_VPS_VALUE = 1, viene utilizzato il nome principale utente (UPN) per il nome utente e il nome FQDN viene utilizzato per il nome di dominio. Per esempio:
Utente: FirstName.LastName@MyCompany.EMEA.INTRA
Area di autenticazione: MyCompany.EMEA.INTRA -
Se si imposta Const SE_VPS_VALUE = 2, viene utilizzato il nome FQDN per il nome di dominio. Per esempio:
Utente: FirstName.LastName
Area di autenticazione: MyCompany.EMEA.INTRA -
Se si imposta Const SE_VPS_VALUE = 3, viene utilizzato il nome FQDN per il nome di dominio. Per esempio:
Utente: FirstName.LastName
Area di autenticazione: MyCompany.EMEA.INTRA
-
-
Questa nuova opzione che viene aggiunto da questo aggiornamento produce lo stesso output dell'opzione seconda elenco, ma utilizza "DS_CANONICAL_NAME" anziché il formato UPN dell'utente per recuperare le informazioni di dominio.
Riferimenti
Informazioni sulla terminologia utilizzata da Microsoft per descrivere gli aggiornamenti software.