Symptomer
Tenk deg følgende:
-
Du publiserer en web-server og godkjenne alle forespørsler i et miljø med Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Delegering av godkjenning angir du til begrenset Kerberos-delegering (KCD).
-
Du kan bruke 960146 -oppdateringen til å endre bruker navn og domene navnformatet som brukes av Kerberos-billetten for KCD.
-
Du kan angi innstillingen Const SE_VPS_VALUE til 2 for å hente det fullstendig kvalifiserte domenenavnet (FQDN). Bruk for eksempel bruke følgende innstilling:
Bruker: FirstName.LastName område: MyCompany.EMEA.INTRA
I dette tilfellet mislykkes i KCD Hvis domene-delen av brukerhovednavnet (UPN) ikke samsvarer med et virkelig domene. For eksempel hvis brukeren er bruker: FirstName.LastName fra EMEA-domenet, men brukeren UPN er FirstName.LastName@MyCompany, og hvis mittfirma-domenet ikke finnes, delegering av KCD mislykkes. Dette er fordi TMG prøver å kontakte mittfirma domenet.
Årsak
Dette problemet oppstår på grunn av måten TMG delegering modulen håndterer domenet og brukernavn som hentes under godkjenning til å opprette forespørsel om aktivitetsdelegering.
Oppløsning
Hvis du vil løse dette problemet, installerer du samleoppdatering 5 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Hvis du vil ha mer informasjon
Denne oppdateringen legger til et nytt alternativ (Const SE_VPS_VALUE = 3) til å oppdatere 960146.
Hvis du vil installere denne oppdateringen, gjør du følgende:
-
Last ned Samleoppdatering 5 som er nevnt i Løsning-delen.
-
Installere samleoppdateringspakke på alle TMG Server-datamaskiner.
-
Start Windows Notisblokk.
-
Kopier skriptet fra 960146-oppdateringen, og deretter lime skriptet inn i Notisblokk.
-
I linje 3 (Const SE_VPS_VALUE = 2), endrer du verdien fra 2 til 3.
-
Lagre filen på en av serverne TMG 2010 ved å bruke filtypen vbs. For eksempel navngi filen som følger:
TMG2010UseFQDNInKerberosTicket.vbs
-
Hvis du vil kjøre skriptet, dobbeltklikk VBS-filen du lagret.
Notater
-
Skriptet i denne fremgangsmåten bruker standardverdien 2 for egenskapen Const SE_VPS_VALUE . Du kan endre denne verdien i henhold til følgende alternativer:
-
Hvis du setter Const SE_VPS_VALUE = 0, brukes NETBIOS-domenenavn for domenenavnet. For eksempel:
Bruker: FirstName.LastName
Område: mittfirma -
Hvis du setter Const SE_VPS_VALUE = 1brukerhovednavnet (UPN) brukes for brukernavnet og FQDN brukes for domenenavnet. For eksempel:
Bruker: FirstName.LastName@MyCompany.EMEA.INTRA
Område: MyCompany.EMEA.INTRA -
Hvis du setter Const SE_VPS_VALUE = 2, FQDN brukes for domenenavnet. For eksempel:
Bruker: FirstName.LastName
Område: MyCompany.EMEA.INTRA -
Hvis du setter Const SE_VPS_VALUE = 3, FQDN brukes for domenenavnet. For eksempel:
Bruker: FirstName.LastName
Område: MyCompany.EMEA.INTRA
-
-
Denne nye alternativet som er lagt til av denne oppdateringen gir de samme utdataene som det andre alternativet i listen, men bruker "DS_CANONICAL_NAME" i stedet for bruker UPN-formatet til å hente domeneinformasjon.
Referanser
Lær mer om terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.
