INTRODUCTION
Dans Microsoft Internet Security and Acceleration (ISA) Server 2006, vous publiez un site Web en utilisant Kerberos Constrained Delegation. Selon le site Web, vous pouvez modifier la façon dont ISA Server demande le billet Kerberos d'un utilisateur authentifié. Par défaut, ISA Server 2006 utilise le format "Domain NETBIOS name-User" lorsqu'il demande le billet Kerberos. Par conséquent, le nom de domaine et le nom d'utilisateur dans le billet Kerberos ressembleront à ce qui suit:
Utilisateur: FirstName.LastNameRealm: MyCompanyCependant, certains sites Web exigent le nom de domaine entièrement qualifié (FQDN) dans le billet Kerberos. Dans ce scénario, le nom de domaine et le nom d'utilisateur du billet Kerberos doivent ressembler à ce qui suit :
Utilisateur: FirstName.LastNameRealm: MyCompany.EMEA.INTRA
Informations supplémentaires
Une mise à jour est maintenant disponible qui vous permet de contrôler le nom de domaine et le format de nom d'utilisateur dans les scénarios de délégation limitée de Kerberos. Pour appliquer cette mise à jour, suivez les étapes suivantes :
-
Téléchargez le paquet de rollup hotfix qui est mentionné dans Microsoft Knowledge Base article 960148.
960148 Description du paquet de hotfixing ISA Server 2006 : 19 novembre 2008
-
Installez le paquet de rollup hotfix sur tous les ordinateurs ISA Server.
-
Démarrer Notepad.
-
Collez le script suivant dans le fichier Notepad.
Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "UseFQDNinKerberosTicket"Const SE_VPS_VALUE = 2Sub SetValue() ' Create the root obect. Dim root ' The FPCLib.FPC root object Set root = CreateObject("FPC.Root") 'Declare the other objects needed. Dim array ' An FPCArray object Dim VendorSets ' An FPCVendorParametersSets collection Dim VendorSet ' An FPCVendorParametersSet object ' Get references to the array object ' and the network rules collection. Set array = root.GetContainingArray Set VendorSets = array.VendorParametersSets On Error Resume Next Set VendorSet = VendorSets.Item( SE_VPS_GUID ) If Err.Number <> 0 Then Err.Clear ' Add the item Set VendorSet = VendorSets.Add( SE_VPS_GUID ) CheckError WScript.Echo "New VendorSet added... " & VendorSet.Name Else WScript.Echo "Existing VendorSet found... value- " & VendorSet.Value(SE_VPS_NAME) End If if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then Err.Clear VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE If Err.Number <> 0 Then CheckError Else VendorSets.Save false, true CheckError If Err.Number = 0 Then WScript.Echo "Done with " & SE_VPS_NAME & ", saved!" End If End If Else WScript.Echo "Done with " & SE_VPS_NAME & ", no change!" End IfEnd SubSub CheckError() If Err.Number <> 0 Then WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description Err.Clear End IfEnd SubSetValue
-
Enregistrez ce fichier sur l'un des ordinateurs ISA Server 2006. Utilisez l'extension de nom de fichier .vbs. Par exemple, nommez le fichier ISA2006UseFQDNInKerberosTicket.vbs.
-
Double-cliquez sur le fichier .vbs pour exécuter le script.
Remarque Le script de cette procédure utilise la valeur par défaut pour la propriété Const SE_VPS_VALUE (Const SE_VPS_VALUE 2). Vous pouvez modifier cette valeur en fonction de la liste suivante :
-
Si vous configurez Const SE_VPS_VALUE 0, le nom NETBIOS de domaine est utilisé pour le nom de domaine. Échantillon:Utilisateur: FirstName.LastNameRealm: MyCompany
-
Si vous configurez Const SE_VPS_VALUE 1, le nom principal de l'utilisateur (UPN) est utilisé pour le nom d'utilisateur, et le FQDN est utilisé pour le nom de domaine. Échantillon:Utilisateur: FirstName.LastName@MyCompany.EMEA.INTRARealm: MyCompany.EMEA.INTRA
-
Si vous configurez Const SE_VPS_VALUE 2, le FQDN est utilisé pour le nom de domaine. Échantillon:Utilisateur: FirstName.LastNameRealm: MyCompany.EMEA.INTRA