Sintomi
Nota: Questi problemi si riferiscono anche a Microsoft Forefront Threat Management Gateway 2010.
Problema 1:
Considerare lo scenario descritto di seguito:
-
Si dispone di un server che esegue Microsoft Internet Security and Acceleration (ISA) 2006.
-
Selezionando l'Autenticazione basata su Form HTML nella scheda autenticazione è stato configurato un listener di autenticazione basata su form (FBA).
-
Il listener è configurato per consentire agli utenti di modificare le proprie password.
-
È stata utilizzata la funzionalità descritta nell'articolo della Microsoft Knowledge Base 952675 per abilitare ISA 2006 per cercare l'utente in più domini. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
952675 Impossibile accedere a un sito intranet locale che si pubblica utilizzando ISA Server 2006 quando sono presenti più account utente con lo stesso nome di account in domini diversi
-
L'account dell'utente che ha tentato l'accesso si trova in un dominio in un insieme di strutture trusted remoto.
In questo scenario, gli utenti non possono accedere se la password è scaduta o se l'account è impostato su Cambiamento obbligatorio password all'accesso successivo. Errore 1907 (ERROR_PASSWORD_MUST_CHANGE) viene registrato nel log del proxy web.
Problema 2:
Considerare lo scenario descritto di seguito:
-
Si dispone di un server che esegue Microsoft Internet Security and Acceleration (ISA) 2006.
-
Selezionando l'Autenticazione basata su Form HTML nella scheda autenticazione è stato configurato un listener di autenticazione basata su form (FBA).
-
Il listener è configurato per consentire agli utenti di modificare le password.
-
Si dispone di una regola di pubblicazione web che utilizza questo listener per pubblicare un sito Web.
-
È stata utilizzata la funzionalità descritta nell'articolo della Microsoft Knowledge Base 952675 per abilitare ISA 2006 per cercare l'utente in più domini. Per ulteriori informazioni, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
952675 Impossibile accedere a un sito intranet locale che si pubblica utilizzando ISA Server 2006 quando sono presenti più account utente con lo stesso nome di account in domini diversi
-
Chiusura della connessione che ISA Server 2006 aperta al server di catalogo globale in modo imprevisto, ad esempio, da un firewall tra i due server.
-
L'utente che ha effettuato l'accesso è specificato il nome utente in un formato di denominazione basata su NT4/SAM.
-
La nuova password specificata dall'utente soddisfi i requisiti di complessità.
In questo scenario, gli utenti di tutti i domini non possono cambiare le password. Quando si tenta di modificare una password, ricevono il messaggio di errore seguente:
Il nome utente o la vecchia password non è valida o la nuova password non soddisfa i requisiti minimi di complessità. Riprova in seguito.
Se l'utente specifica un nome utente che utilizza un formato UPN, l'utente può modificare la password. Se viene riavviato il servizio Firewall di ISA Server 2006, potrebbe inoltre sarà possibile modificare la password fino a quando la connessione al server di catalogo globale viene interrotta nuovamente.
Causa
Problema 1:
Questo problema si verifica quando l'utente non viene reindirizzato alla pagina di modifica della password poiché ISA Server 2006 non controlla lo stato dell'account per gli account di foreste remote. Pertanto, il tentativo di utilizzare le credenziali utente fornita per l'accesso dell'utente. La password non è valida. Pertanto, il tentativo non riesce e viene restituito l'errore 1907 (ERROR_PASSWORD_MUST_CHANGE).
Problema 2:
Questo problema si verifica quando viene riutilizzato l'handle per l'invio di messaggi al server di catalogo globale. Quando l'handle non riesce, ciò impedisce a ISA Server 2006 verifica lo stato dell'account utente.
Risoluzione
Microsoft Internet Security and Acceleration (ISA) 2006
Per risolvere questo problema, installare il pacchetto cumulativo di hotfix di ISA Server 2006 descritto nel seguente articolo della Microsoft Knowledge Base:
2616326 descrizione del pacchetto hotfix di ISA Server 2006: settembre 2011
Microsoft Forefront Threat Management Gateway 2010
Per risolvere questo problema, installare il service pack che è descritta nel seguente articolo della Microsoft Knowledge Base:
2555840 Microsoft Forefront Threat Management Gateway 2010 Service Pack 2
Come attivare questa correzione
Microsoft fornisce esempi di programmazione a scopo puramente illustrativo, senza alcuna garanzia espressa o implicita. Ciò include, ma non limitato a, le garanzie implicite di commerciabilità o idoneità per uno scopo particolare. In questo articolo si presuppone che si abbia familiarità con il linguaggio di programmazione in questione e gli strumenti utilizzati per creare ed eseguire la procedura di debug. Tecnici del supporto Microsoft consentono di spiegare la funzionalità di una particolare procedura. Tuttavia, essi non modificherà questi esempi per fornire funzionalità aggiuntive o creare procedure atte a soddisfare specifiche esigenze. Per attivare questa correzione per ISA Server 2006 o per Forefront Threat Management Gateway 2010, eseguire lo script EnableMultipleFlatUserName.vbs per attivare la funzionalità fornita da questa correzione. A tale scopo, attenersi alla seguente procedura:
-
Fare clic su Start, scegliere Esegui, digitare notepad e quindi fare clic su OK.
-
Copiare lo script seguente in un file di blocco note e quindi salvare il file di testo come un file di Microsoft Visual Basic utilizzando l'estensione vbs.
Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "EnableMultipleFlatUserName"Const SE_VPS_VALUE = trueSub SetValue() ' Create the root obect. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") 'Declare the other objects needed. Dim array ' An FPCArray object Dim VendorSets ' An FPCVendorParametersSets collection Dim VendorSet ' An FPCVendorParametersSet object ' Get references to the array object ' and the network rules collection. Set array = root.GetContainingArray Set VendorSets = array.VendorParametersSets On Error Resume Next Set VendorSet = VendorSets.Item( SE_VPS_GUID ) If Err.Number <> 0 Then Err.Clear ' Add the item Set VendorSet = VendorSets.Add( SE_VPS_GUID ) CheckError WScript.Echo "New VendorSet added... " & VendorSet.Name Else WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME) End If if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then Err.Clear VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE If Err.Number <> 0 Then CheckError Else VendorSets.Save false, true CheckError If Err.Number = 0 Then WScript.Echo "Done with " & SE_VPS_NAME & ", saved!" End If End If Else WScript.Echo "Done with " & SE_VPS_NAME & ", no change!" End IfEnd SubSub CheckError() If Err.Number <> 0 Then WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description Err.Clear End IfEnd SubSetValue
-
Salvare il file in una cartella temporanea. Ad esempio, salvare il file come EnableMultipleFlatUserName.vbs nella cartella C:\EnableMultipleFlatUserName .
-
Al prompt dei comandi, passare al percorso in cui avete salvato il file con estensione vbs nel passaggio 3 e quindi eseguire il file con estensione vbs. Ad esempio, eseguire i seguenti comandi:
CD C:\EnableMultipleFlatUserNamecscript EnableMultipleFlatUserName.vbs
Nota: Dopo aver attivato questa correzione, è necessario riavviare i servizi di ISA Server o i servizi correlati a server Forefront Threat Management Gateway.
Stato
Microsoft ha confermato che questo problema si verifica nei prodotti elencati nella sezione "Si applica a".
Riferimenti
Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
824684 Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft