Symptomen
Nadat u Microsoft Internet Security and Acceleration (ISA) Server servicepack 1 (SP1) of als u Microsoft Forefront Threat Management Gateway (TMG) 2010, is het mogelijk dat de functie 'wachtwoord wijzigen' niet werkt zoals verwacht. In Active Directory-instellingen inschakelen u bijvoorbeeld de instelling 'Gebruiker moet wachtwoord bij volgende aanmelding wijzigen' voor een bepaalde gebruikersaccount. Echter wanneer de gebruiker probeert aan te melden met behulp van op formulieren gebaseerde verificatie (FBA) wanneer de functie 'wachtwoord wijzigen' in ISA Server of Server TMG is ingeschakeld, wordt de gebruiker niet automatisch omgeleid naar het formulier dat wordt gebruikt om het wachtwoord te wijzigen.
Oorzaak
Dit probleem treedt op wanneer u FBA gebruikt samen met Lightweight Directory Access Protocol (LDAP). In ISA Server 2006 SP1 is het standaardgedrag wanneer u FBA met LDAP gewijzigd. Deze wijziging werd doorgevoerd om te helpen beschermen tegen aanvallen van verificatie. Ga naar de sectie 'Wijzigingen in servicepack 1' van de volgende website van Microsoft TechNet-website voor meer informatie:
Oplossing
Ga als volgt te werk om dit probleem op te lossen:
-
Installeer het pakket met hotfixes dat is beschreven in het volgende artikel in de Microsoft Knowledge Base:
959357 Beschrijving van het hotfix-pakket voor ISA Server 2006: 29 oktober 2008Houd er rekening mee dat de eerste stap niet van toepassing voor de Server Threat Management Gateway (TMG is). De hotfix is opgenomen in het product.
-
Start Kladblok.
-
Plak het volgende script in het Kladblok-bestand.
' -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-' -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-' This code is Copyright (c) 2007 Microsoft Corporation. '' All rights reserved.'' THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF' ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO' THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A' PARTICULAR PURPOSE.'' IN NO EVENT SHALL MICROSOFT AND/OR ITS RESPECTIVE SUPPLIERS BE' LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY' DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,' WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS' ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE' OF THIS CODE OR INFORMATION.'' -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-If Not WScript.Arguments.Named.Exists("WebListener") Then WScript.Echo "WebListener not defined" WScript.Quit(1)End IfSet fpcRoot = CreateObject("FPC.Root")Set fpcArray = fpcRoot.GetContainingArray()Set fpcWebListener = fpcArray.RuleElements.WebListeners(WScript.Arguments.Named("WebListener"))Set fpcWebListenerVps = fpcWebListener.VendorParametersSetsOn Error Resume NextSet fpcCookieAuthVps = fpcWebListenerVps.Item("{29022EBA-B030-4839-9CA6-DD8875BC7B47}")If Err.number = 0 Then CookieAuthVpsExists = TrueElse CookieAuthVpsExists = FalseEnd IfErr.ClearOn Error GoTo 0If Not CookieAuthVpsExists Then WScript.Echo "Cookie auth VPS settings not defined, hotfix 957859 disabled"Else On Error Resume Next WScript.Echo "EnableLDAPPasswordExpiration: " & (fpcCookieAuthVps.Value("EnableLDAPPasswordExpiration") = True)End IfIf WScript.Arguments.Named.Exists("Value") Then If Not CookieAuthVpsExists Then Set fpcCookieAuthVps = fpcWebListenerVps.Add("{29022EBA-B030-4839-9CA6-DD8875BC7B47}") End If fpcCookieAuthVps.Value("EnableLDAPPasswordExpiration") = (StrComp(WScript.Arguments.Named("Value"), "True", 1) = 0) fpcArray.Save WScript.Echo "EnableLDAPPasswordExpiration set to " & (fpcCookieAuthVps.Value("EnableLDAPPasswordExpiration") = True)End If -
Sla dit Kladblok-bestand met behulp van de extensie .vbs. Gebruik bijvoorbeeld de volgende naam voor dit bestand op te slaan:
EnableHotfix957859.vbs
-
Open een opdrachtprompt en typ de volgende opdracht verplaatst naar de locatie waar u het bestand EnableHotfix957859.vbs opgeslagen:
Cscript EnableHotfix957859.vbs /webListener: < naam listener > /Value:trueOpmerking In deze opdracht kunt u < naam listener > vervangen door de werkelijke naam van de Web-listener.
Belangrijk: als u verwijderen van de hotfix 959357 wilt, open een opdrachtprompt, Ga naar de locatie waar u het bestand EnableHotfix957859.vbs opgeslagen en typ de volgende opdracht: Cscript EnableHotfix957859.vbs /webListener: < naam van-listener > /Value:falseOpmerking In deze opdracht <naam listener> vervangen door de werkelijke naam van de Web-listener.
Status
Microsoft heeft bevestigd dat dit probleem zich kan voordoen in de Microsoft-producten die worden vermeld in de sectie Van toepassing op.
Verwijzingen
Voor meer informatie over terminologie voor software-updates klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
824684 Beschrijving van de standaardterminologie die wordt gebruikt voor het beschrijven van Microsoft-software-updates
