現象
次のような状況を考えます。
-
Web サーバーを公開し、Microsoft Forefront 脅威管理ゲートウェイ (TMG) 2010 環境でのすべての要求を認証します。
-
Kerberos の制約付き委任 (KCD) には、認証の委任を設定します。
-
960146の更新プログラムを使用するには、ユーザー名とドメイン名の形式では、KCD、Kerberos チケットで使用されているを変更します。
-
Const の SE_VPS_VALUE設定を設定するには、完全修飾ドメイン名 (FQDN) を取得するのには2にします。使用を使用するたとえば、次の設定。
ユーザー: FirstName.LastName 領域: MyCompany.EMEA.INTRA
このシナリオでは、ユーザー プリンシパル名 (UPN) のドメイン部分が、実際のドメインと一致しない場合、KCD が失敗します。たとえば、ユーザーがのユーザー: FirstName.LastName EMEA ドメインが、ユーザーからをクリックし、[UPN は、 FirstName.LastName@MyCompanyでは、KCD 委任が失敗すると、MyCompany のドメインが存在しない場合。TMG MyCompany ドメインに接続しようとするためです。
原因
この問題は、TMG の委任のモジュールがドメインを処理する方法とは、委任の依頼を作成するのには認証中に取得されたユーザー名の情報のために発生します。
解決策
この問題を解決するには、Forefront 脅威管理ゲートウェイ (TMG) 2010 Service Pack 2 のプログラムのロールアップ 5をインストールします。
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
この更新プログラムは、新しいオプションを追加 (Const の SE_VPS_VALUE = 3) 960146 を更新します。
この更新プログラムを適用するには、次の手順に従います。
-
「解決方法」に記載されているプログラムのロールアップ 5 のパッケージををダウンロードします。
-
TMG サーバーのすべてのコンピューターに修正プログラムのロールアップ パッケージをインストールします。
-
Windows のメモ帳を起動します。
-
960146 の更新プログラムでは、スクリプトをコピーし、スクリプトをメモ帳に貼り付けます。
-
3 行 (Const の SE_VPS_VALUE = 2)、値を2から3に変更します。
-
.Vbs ファイル名の拡張子を使用して、TMG 2010 サーバーのいずれかのファイルを保存します。たとえば、次のようにファイルを名前します。
TMG2010UseFQDNInKerberosTicket.vbs
-
スクリプトを実行するには、保存した .vbs ファイルをダブルクリックします。
注:
-
この手順のスクリプトは、定数 SE_VPS_VALUEプロパティの2の既定値を使用します。次のオプションに従って、この値を変更することができます。
-
設定する場合は、定数の SE_VPS_VALUE = 0、ドメイン名のドメインの NETBIOS 名が使用されます。次に例を示します。
ユーザー: FirstName.LastName
領域: MyCompany -
設定する場合は、定数の SE_VPS_VALUE = 1、ユーザー名、ユーザー プリンシパル名 (UPN) が使用され、ドメイン名の FQDN を使用します。次に例を示します。
ユーザー: FirstName.LastName@MyCompany.EMEA.INTRA
領域: MyCompany.EMEA.INTRA -
設定する場合は、定数の SE_VPS_VALUE = 2、ドメイン名の FQDN を使用します。次に例を示します。
ユーザー: FirstName.LastName
領域: MyCompany.EMEA.INTRA -
設定する場合は、定数の SE_VPS_VALUE = 3、ドメイン名の FQDN を使用します。次に例を示します。
ユーザー: FirstName.LastName
領域: MyCompany.EMEA.INTRA
-
-
この新しいオプションは、この更新プログラムによって追加されるは 2 つ目の [リスト] オプションと同じ出力が生成されますが、ユーザーの UPN 形式ではなく"DS_CANONICAL_NAME"を使用して、ドメイン情報を取得します。
関連情報
Microsoft がソフトウェア更新プログラムを説明するために使用される用語について説明します。
