Informazioni aggiuntive sulla distribuzione dell'aggiornamento della sicurezza 2638420, come descritto in MS11-100

Informazioni aggiuntive sulla distribuzione

A causa della modifica del comportamento del ticket, gli amministratori le cui applicazioni utilizzano un'autenticazione basata su form devono eseguire una procedura specifica durante la distribuzione dell'aggiornamento della sicurezza 2638420 per assicurarsi che tutti i server attivino contemporaneamente il nuovo comportamento.

Per determinare se l'applicazione utilizza l'autenticazione basata su form, esaminare il file System.web. Le applicazioni basate sull'autenticazione mediante form utilizzano la seguente voce nel file System.web:

<authentication mode="Forms">Note

• La modalità di autenticazione predefinita è "Windows".

• ASP.NET utilizza l'autenticazione basata su form solo se è richiesta la configurazione in modo esplicito.

Se si utilizzano applicazioni basate sull'autenticazione mediante form, è necessario distribuire l'aggiornamento della sicurezza 2638420 utilizzando uno dei seguenti metodi per assicurarsi che i siti Web continuino a funzionare correttamente.

Metodo 1
Distribuire l'aggiornamento della sicurezza 2638420 a tutti i server attivi nella Web farm di ASP.NET contemporaneamente. Per effettuare questa operazione, attenersi alla seguente procedura:

1. Rimuovere metà dei server nella Web farm dalla rotazione del bilanciamento del carico.

2. Installare l'aggiornamento su tali server.

3. Aggiungere nuovamente i server nella rotazione e contemporaneamente mettere in modalità non in linea i rimanenti server da aggiornare.

Metodo 2
Se non è possibile distribuire l'aggiornamento della sicurezza 2638420 a tutti i server nella Web farm contemporaneamente, utilizzare questo metodo.

Nota Si sconsiglia l'utilizzo di questo metodo. Una volta impostata questa opzione, è possibile installare l'aggiornamento della sicurezza in alcuni server nella Web farm che continueranno a funzionare utilizzando il comportamento precedente. Tuttavia, i server che utilizzano questa opzione di configurazione non saranno protetti e non potranno beneficiare delle soluzioni contenute nell'aggiornamento della sicurezza. Pertanto, è necessario rimuovere l'opzione di configurazione per abilitare il nuovo comportamento sicuro quando l'aggiornamento della sicurezza 2638420 viene distribuito a tutti i server nella Web farm.

Impostare un'opzione di compatibilità nel file Web.config o Machine.config prima di installare l'aggiornamento della sicurezza 2638420 affinché venga forzato il comportamento precedente una volta installato l'aggiornamento. Per effettuare questa operazione, attenersi alla seguente procedura:

1. Aprire il file Web.config o il file Machine.config utilizzando un editor di testo, ad esempio Blocco note.

2. Aggiungere il seguente testo al file, quindi salvare il file:

   <appSettings>
   <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
   </appSettings>Dopo l'aggiornamento e il salvataggio dei file Web.config o Machine.config non è necessario riavviare il computer o i servizi. La notifica di modifica della configurazione genererà automaticamente un ciclo del pool di applicazioni.

È possibile trovare i file Web.config ai seguenti percorsi:

.NET Framework versioni da 4.0 a 4.5

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config .NET Framework versioni 2.0 – 3.5 SP1

C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config In un computer a 32 bit, sarà presente solo la cartella Framework. In un computer a 64 bit, saranno presenti le cartelle Framework e Framework64. Tuttavia, se si dispone di un pool di applicazioni a 32 bit e a 64 bit che eseguono una combinazione di CLR 2 e CLR 4, è necessario aggiungere la voce a tutti e quattro questi file.

Inoltre, se si aggiunge la voce <appSettings> a questi file di configurazione, la modifica viene applicata a livello di sistema.

Problemi noti

• Decrittografia del ticket non riuscita dopo l'installazione dell'aggiornamento della sicurezza 2638420
  
  Una volta abilitato il nuovo comportamento del ticket, tutti i ticket di autenticazione basata su form generati tramite l'utilizzo di un comportamento precedente saranno invalidati. Quando ciò si verifica, gli utenti finali vengono disconnessi ed è possibile che gli amministratori del server verifichino errori di decrittografia del ticket.
  
  Inoltre, è possibile che nel registro degli eventi sia registrato il seguente messaggio di errore:
  
  

  Nome registro: Applicazione
  ID evento: 1315
  Codice evento: 4005
  Messaggio evento: Autenticazione dei form non riuscita per la richiesta. Motivo: il ticket fornito non è valido.

  
  Questi errori possono dare luogo a un comportamento imprevisto. Ad esempio, è possibile che si verifichino errori "HTTP 401" o "HTTP 302" se le pagine Web sono protette da un elemento di <autorizzazione>.
  
  Una volta installato l'aggiornamento della sicurezza 2638420, è possibile che l'amministratore visualizzi diversi errori di decrittografia del ticket poiché i ticket precedentemente generati sono scaduti. Il numero e la frequenza di errori diminuiscono ogni volta che ne vengono generati di nuovi. Se gli errori di decrittografia dovessero continuare per un determinato periodo di tempo in seguito all'installazione dell'aggiornamento della sicurezza, è possibile che alcuni server nel Web farm siano ancora in uso nel precedente comportamento del ticket. Ad esempio, questo problema può verificarsi in presenza delle seguenti condizioni:
  

  • Uno o più server non vengono aggiornati con l'aggiornamento della sicurezza 2638420.

  • Uno o più server hanno impostata l'opzione di compatibilità menzionata. In questo articolo è stata precedentemente descritta l'opzione di compatibilità.