Wskazówki dotyczące wdrażania aktualizacji zabezpieczeń 2638420, zgodnie z opisem w biuletynie MS11-100

Podsumowanie

Aktualizacja zabezpieczeń 2638420 (opisana w biuletynie zabezpieczeń MS11-100) zmienia sposób tworzenia przez program ASP.NET biletów uwierzytelniania przy użyciu formularzy. Nowe działanie nie jest zgodne z poprzednim. Bilety generowane za pomocą nowego sposobu nie mogą być odczytywane przez serwery, na których obowiązuje stare działanie (i odwrotnie). Z tego względu w przypadku używania aplikacji korzystających z uwierzytelniania przy użyciu formularzy konieczne jest wykonanie określonych czynności podczas wdrażania aktualizacji zabezpieczeń, aby zapewnić jednoczesne przełączenie wszystkich serwerów na nowe działanie.

Wskazówki dotyczące wdrażania

Z powodu zmiany działania biletów administratorzy zarządzający aplikacjami korzystającymi z uwierzytelniania przy użyciu formularzy muszą wykonać określone czynności podczas wdrażania aktualizacji zabezpieczeń 2638420, aby zapewnić jednoczesne przełączenie wszystkich serwerów na nowe działanie.

W celu określenia, czy aplikacja korzysta z uwierzytelniania przy użyciu formularzy należy przejrzeć plik System.web. Aplikacje korzystające z uwierzytelniania przy użyciu formularzy dodają następujący wpis do pliku System.web:
<authentication mode="Forms">
Uwagi
 • Domyślnym trybem uwierzytelniania we wpisie „authentication mode” jest ustawienie „Windows”.
 • Program ASP.NET korzysta z uwierzytelniania przy użyciu formularzy tylko wtedy, gdy jest w tym celu odpowiednio skonfigurowany.
Jeśli używane są aplikację korzystające z uwierzytelniania przy użyciu formularzy, to aktualizację zabezpieczeń 2638420 należy wdrożyć za pomocą jednej z poniższych metod, aby zapewnić nieprzerwane i prawidłowe działanie witryn sieci Web.

Metoda 1
Jednoczesne wdrożenie aktualizacji zabezpieczeń 2638420 na wszystkich aktywnych serwerach w kolektywie serwerów sieci Web programu ASP.NET. W tym celu należy wykonać następujące czynności:
 1. Usuń połowę serwerów w kolektywie sieci Web z kolejki rotacyjnej funkcji równoważenia obciążenia.
 2. Zainstaluj aktualizację na tych serwerach.
 3. Dodaj te serwery z powrotem do kolejki rotacyjnej, jednocześnie przełączając pozostałe w tryb offline w celu zaktualizowania.
Metoda 2
Tej metody należy użyć, gdy jednoczesne wdrożenie aktualizacji zabezpieczeń 2638420 na wszystkich serwerach w kolektywie sieci Web jest niemożliwe.

Uwaga Nie jest to zalecana metoda. Ustawienie tego przełącznika pozwala zainstalować aktualizację zabezpieczeń na niektórych serwerach w kolektywie sieci Web, w którym nadal będzie używane stare działanie. Jednak serwery, na których zostanie ustawiony ten przełącznik konfiguracji, będą działały w niedostatecznie bezpiecznym stanie i nie wykorzystają w pełni wszystkich poprawek zawartych w tej aktualizacji zabezpieczeń. Z tego względu przełącznik konfiguracji należy usunąć w celu uruchomienia nowego i bezpiecznego działania natychmiast po wdrożeniu aktualizacji zabezpieczeń 2638420 na wszystkich serwerach w kolektywie sieci Web.

Ustawienie przełącznika zgodności w pliku Web.config lub w pliku Machine.config przed zainstalowaniem aktualizacji zabezpieczeń 2638420 w celu wymuszenia starego działania po zainstalowaniu aktualizacji. W tym celu należy wykonać następujące czynności:
 1. Otwórz plik Web.config file lub plik Machine.config w edytorze tekstu, takim jak Notatnik.
 2. Dodaj następujący tekst do pliku, a następnie zapisz ten plik:
  <appSettings>
  <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
  </appSettings>
  Po zaktualizowaniu i zapisaniu plików Web.config i Machine.config nie jest konieczne ponowne uruchamianie komputera ani jakichkolwiek usług. Powiadomienie o zmianie konfiguracji jest automatycznie przekazywane do puli aplikacji.
Pliki Web.config znajdują się w następujących lokalizacjach:

.NET Framework (wersje od 4.0 do 4.5)
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config
.NET Framework (wersje od 2.0 do 3.5 z dodatkiem SP1)
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config
Na komputerze z 32-bitowym systemem istnieje tylko folder Framework. Na komputerze z 64-bitowym systemem istnieją oba foldery: Framework i Framework64. W przypadku używania 32- i 64-bitowych pul aplikacji w połączonych środowiskach CLR 2 + CLR 4 wymagane jest dodanie odpowiedniego wpisu do wszystkich czterech powyższych plików.

Dodanie wpisu <appSettings> do tych plików powoduje zastosowanie zmiany w całym systemie.

Znane problemy

 • Niepowodzenie odszyfrowania biletu po zainstalowaniu aktualizacji zabezpieczeń 2638420

  Po włączeniu nowego działania biletów wszystkie bilety uwierzytelniania przy użyciu formularzy wygenerowane za pomocą starej metody zostają unieważnione. Powoduje to wylogowanie użytkowników końcowych. Dodatkowo administratorzy serwerów mogą napotkać błędy odszyfrowywania biletów.

  W dzienniku zdarzeń jest rejestrowany następujący komunikat o błędzie:

  Nazwa dziennika: Aplikacja
  Identyfikator zdarzenia: 1315
  Kod zdarzenia: 4005
  Komunikat zdarzenia: Wykonywanie żądania uwierzytelniania formularzy nie powiodło się. Przyczyna: dostarczony bilet był nieprawidłowy.

  Wystąpienie takich błędów może prowadzić do nieoczekiwanego działania. Na przykład mogą wystąpić wystąpić błędy „HTTP 401” lub „HTTP 302”, jeśli strony sieci Web są zabezpieczone przy użyciu elementu autoryzacji (<authorization>).

  Po zainstalowaniu aktualizacji zabezpieczeń 2638420 administratorzy mogą spodziewać się wystąpienia kilku takich błędów odszyfrowywania biletów, ponieważ wcześniej wygenerowane bilety zostaną unieważnione. Liczba i częstotliwość występowania takich błędów powinna ulec zmniejszeniu w miarę generowania nowych biletów. Jeśli po dłuższym czasie od zainstalowania aktualizacji zabezpieczeń błędy odszyfrowywania nadal będą występować, prawdopodobnie w kolektywie sieci Web występują serwery korzystające ze starego działania biletów. Ten problem może na przykład wystąpić, jeśli spełniony jest dowolny z następujących warunków:
  • Co najmniej jeden serwer nie został zaktualizowany przy użyciu aktualizacji zabezpieczeń 2638420.
  • Na co najmniej jednym serwerze jest ustawiony przełącznik zgodności, który został opisany wcześniej w tym artykule.

Więcej informacji

Przełącznik konfiguracji TicketCompatibilityMode nie jest już obsługiwany

Aktualizacja zabezpieczeń 2638420 zmienia format biletów uwierzytelniania przy użyciu formularzy, przez co przełącznik konfiguracji <forms/ticketCompatibilityMode> przestaje być obsługiwany po zainstalowaniu i zastosowaniu aktualizacji zabezpieczeń 2638420.

Aby uzyskać więcej informacji na temat przełącznika konfiguracji <forms/ticketCompatibilityMode>, odwiedź następującą stronę witryny MSDN w sieci Web:
Właściwości

Identyfikator artykułu: 2659968 — ostatni przegląd: 05.01.2012 — zmiana: 1

Opinia