SHRNUTÍ
Aktualizace zabezpečení 2638420 (popsaná v bulletinu zabezpečení MS11-100) mění způsob, jakým technologie ASP.NET vytváří lístky ověřování pomocí formulářů. Toto nové chování je nekompatibilní s původním chováním. Lístky vytvořené pomocí tohoto nového chování nelze načíst servery, které využívají staré chování, a naopak. Proto pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba použít při nasazení aktualizace zabezpečení 2638420 speciální postup a zajistit tak, že všechny servery přepnou na nové chování současně.
Pokyny pro nasazení
Vzhledem ke změně v chování lístků musí správci, jejichž aplikace využívají ověřování pomocí formulářů, použít speciální postup při nasazení aktualizace zabezpečení 2638420, aby zajistili, že všechny servery přepnou na nové chování současně.
Chcete-li určit, zda aplikace využívají ověřování pomocí fomulářů, prohlédněte soubor System.web. Aplikace využívající ověřování pomocí formulářů používají následující položku v souboru System.web:
<authentication mode="Forms">Poznámky:
-
Výchozím režimem ověřování je režim Windows.
-
Technologie ASP.NET využívá ověřování pomocí formulářů pouze v případě, že je k tomu explicitně nakonfigurována.
Pokud používáte aplikace využívající ověřování pomocí formulářů, je třeba nasadit aktualizaci zabezpečení 2638420 pomocí jedné z následujících metod a zajistit tak, aby weby i nadále správně fungovaly.
Metoda 1
Nasaďte aktualizaci zabezpečení 2638420 ve všech serverech webové farmy ASP.NET současně. Postupujte takto:
-
Odeberte polovinu serverů webové farmy z rotace nástroje pro vyrovnávání zatížení.
-
Nainstalujte aktualizace na tyto servery.
-
Vraťte servery zpět do rotace a současně převeďte zbývající servery do režimu offline, aby je bylo možné aktualizovat.
Metoda 2
Pokud nelze nasadit aktualizaci zabezpečení 2638420 na všechny servery webové farmy současně, použijte tuto metodu.
Poznámka: Tuto metodu nedoporučujeme. Když nastavíte tento přepínač, můžete nainstalovat tuto aktualizaci zabezpečení na některých serverech webové farmy a nadále využívat původní chování. Servery využívající tento konfigurační přepínač budou v nezabezpečeném stavu a nebudou využívat všechny opravy poskytované touto aktualizací zabezpečení. Proto by konfigurační přepínač měl být odebrán, aby tak povolil nové bezpečné chování, jakmile bude aktualizace zabezpečení 2638420 nasazena ve všech serverech webové farmy.
Před zahájením instalace aktualizace zabezpečení 2638420 nastavte přepínač kompatibility v souboru Web.config nebo Machine.config, a vynuťte tak staré chování po dokončení instalace této aktualizace. Postupujte takto:
-
Otevřete soubor Web.config nebo Machine.config v textovém editoru, např. v Poznámkovém bloku.
-
Přidejte do tohoto souboru následující text a pak tento soubor uložte:
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>Po provedení aktualizace a následném uložení souboru Web.config nebo Machine.config není třeba restartovat počítač ani žádné služby. Upozornění na změnu konfigurace bude automaticky předáváno v rámci fondu aplikací.
Soubory Web.config naleznete v následujícím umístění:
Rozhraní .NET Framework, verze 4.0 až 4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config Rozhraní .NET Framework, verze 2.0 – 3.5 SP1
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config V 32bitovém počítači bude existovat pouze složka Framework. V 64bitovém počítači bude existovat složka Framework i složka Framework64. Proto pokud máte k dispozici fondy 32bitových a 64bitových aplikací s kombinací CLR 2 + CLR 4, je třeba přidat příslušnou položku do všech čtyř těchto souborů.
Pokud do těchto konfiguračních souborů přidáte rovněž položku <appSettings>, změna se uplatní v rámci celého systému.
Známé problémy
-
Po dokončení instalace aktualizace zabezpečení 2638420 dochází k chybě dešifrování lístků
Jakmile je povoleno nové chování lístků, budou zneplatněny všechny lístky ověřování pomocí formulářů, které byly vytvořeny s využitím původního chování. Pokud dojde k těmto potížím, jsou koncoví uživatelé odhlášeni a správci serverů se mohou setkávat s chybami dešifrování lístků.
Do protokolu událostí je rovněž zaznamenána následující chybová zpráva:Název protokolu: Aplikace
ID události: 1315
Kód události: 4005
Zpráva o události: Ověření formulářů se pro požadavek nezdařilo. Důvod: Dodaný lístek byl neplatný.
Tyto chyby mohou způsobit neočekávané chování. Příklad: K chybám HTTP 401 a HTTP 302 může dojít, jsou-li webové stránky chráněny elementem <authorization>.
Po dokončení instalace aktualizace zabezpečení 2638420 mohou správci očekávat několik těchto chyb šifrování lístků, protože platnost těchto dříve generovaných lístků vypršela. Počet a četnost těchto chyb by se měly průběžně snižovat tak, jak jsou generovány nové lístky. Pokud chyby dešifrování přetrvávají i po uplynutí delšího období od dokončení instalace této aktualizace zabezpečení, může to indikovat, že některé servery ve webové farmě i nadále používají původní chování lístků. Tento problém může například nastat, pokud platí některá z následujících podmínek:-
Nejméně jeden server není aktualizován pomocí aktualizace zabezpečení 2638420.
-
Nejméně u jednoho serveru je nastaven zmíněný přepínač kompatibility. Přepínač kompatibility je popsán v tomto článku výše.
-
Další informace
Konfigurační přepínač TicketCompatibilityMode již není podporován
Protože aktualizace zabezpečení 2638420 mění formát lístků ověřování pomocí formulářů, není konfigurační přepínač <forms/ticketCompatibilityMode> nadále podporován, je-li aktualizace zabezpečení 2638420 nainstalována a povolena.
Další informace o konfiguračním přepínači <forms/ticketCompatibilityMode> naleznete na následujícím webu MSDN:
