Symptomen
Overweeg het volgende scenario:
-
U kunt een webserver publiceren en verifiëren van alle aanvragen in een omgeving met Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
U verificatie delegeren ingesteld op beperkte Kerberos-overdracht (KCD).
-
Met de update 960146 kunt u de gebruiker de naam en het domein naamnotatie wijzigen die wordt gebruikt in het Kerberos-ticket voor KCD.
-
U instelt de SE_VPS_VALUE Const op 2 de volledig gekwalificeerde domeinnaam (FQDN) te verkrijgen. Bijvoorbeeld, u gebruikt de volgende instelling:
Gebruiker: FirstName.LastName Realm: MyCompany.EMEA.INTRA
In dit scenario mislukt de KCD als het domeingedeelte van de UPN (user Principal name) komt niet overeen met een echte domein. Als de gebruiker bijvoorbeeld gebruiker: FirstName.LastName van het EMEA-domein, maar de gebruiker UPN FirstName.LastName@MyCompanyis en als het mijnbedrijf domein niet bestaat, de delegatie KCD mislukt. Dit komt doordat de TMG wil contact opnemen met het domein mijnbedrijf.
Oorzaak
Dit probleem treedt op vanwege de manier waarop de overdracht TMG module werkt met het domein en de gebruikersnaamgegevens die is opgehaald tijdens de verificatie voor het maken van het verzoek om overdracht.
Oplossing
U lost dit probleem, combinatiepakket 5 voor Forefront Threat Management Gateway 2010 (TMG) servicepack 2 te installeren.
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Deze update voegt een nieuwe optie (Const SE_VPS_VALUE = 3) 960146 bijwerken.
U kunt deze update als volgt toepassen:
-
Het downloaden 5 updatepakket dat wordt vermeld in de sectie 'Oplossing'.
-
De hotfix rollup package installeren op alle servers van TMG.
-
Start Windows Kladblok.
-
Kopieer het script van de update 960146 en het script vervolgens te plakken in Kladblok.
-
In regel 3 (Const SE_VPS_VALUE = 2), verandert de waarde van 2 tot en met 3.
-
Sla het bestand op een van de servers van TMG 2010 met behulp van de extensie .vbs. Geef het bestand bijvoorbeeld als volgt:
TMG2010UseFQDNInKerberosTicket.vbs
-
Het script wordt uitgevoerd, dubbelklikt u op het VBS-bestand dat u hebt opgeslagen.
Opmerkingen
-
Het script in deze procedure wordt de standaardwaarde van 2 gebruikt voor de eigenschap SE_VPS_VALUE Const . U kunt deze waarde op basis van de volgende opties wijzigen:
-
Als u Const SE_VPS_VALUE = 0, de NetBIOS-naam wordt gebruikt voor de naam van het domein. Bijvoorbeeld:
Gebruiker: FirstName.LastName
Realm: mijnbedrijf -
Als u Const SE_VPS_VALUE = 1de UPN (user Principal name) wordt gebruikt voor de gebruikersnaam en de FQDN-naam wordt gebruikt voor de naam van het domein. Bijvoorbeeld:
Gebruiker: FirstName.LastName@MyCompany.EMEA.INTRA
Realm: MyCompany.EMEA.INTRA -
Als u Const SE_VPS_VALUE = 2, de FQDN-naam wordt gebruikt voor de naam van het domein. Bijvoorbeeld:
Gebruiker: FirstName.LastName
Realm: MyCompany.EMEA.INTRA -
Als u Const SE_VPS_VALUE = 3, de FQDN-naam wordt gebruikt voor de naam van het domein. Bijvoorbeeld:
Gebruiker: FirstName.LastName
Realm: MyCompany.EMEA.INTRA
-
-
Deze nieuwe optie die wordt toegevoegd door deze update levert hetzelfde resultaat op als dat van de tweede optie, maar "DS_CANONICAL_NAME" in plaats van de gebruiker UPN-indeling gebruikt voor het ophalen van de domeingegevens.
Referenties
Meer informatie over de terminologie die door Microsoft wordt gebruikt om softwareupdates te beschrijven.