Objawy
Rozważ następujący scenariusz:
-
Publikowanie serwera sieci web i Uwierzytelniaj wszystkie żądania w środowisku Microsoft zagrożenie Management Gateway (Poruszać) 2010.
-
Delegowanie uwierzytelniania należy ustawić delegowanie ograniczone protokołu Kerberos (KCD).
-
Korzystanie z aktualizacji 960146 Aby zmienić nazwę i domenę format nazwy użytkownika używanej w biletu Kerberos dla KCD.
-
Ustawienie Const SE_VPS_VALUE jest ustawiona na 2 , aby uzyskać w pełni kwalifikowaną nazwę domeny (FQDN). Na przykład można wykorzystać następujące ustawienie:
Użytkownik: FirstName.LastName obszaru: MyCompany.EMEA.INTRA
W tym scenariuszu KCD nie powiedzie się, jeśli składnik domeny głównej nazwy użytkownika (UPN) nie odpowiada rzeczywistej domeny. Na przykład, jeśli użytkownik jest użytkownik: FirstName.LastName z domeny EMEA, ale użytkownik UPN jest FirstName.LastName@MyCompany, a jeśli domena Moja firma nie istnieje, delegacja KCD nie powiedzie się. Jest to spowodowane TMG próbuje skontaktować się z domeną Moja firma.
Przyczyna
Ten problem występuje ze względu na sposób obsługi modułu TMG delegacji domeny i informacje o nazwie użytkownika, która jest pobierana podczas uwierzytelniania, aby utworzyć żądanie delegowania.
Rozwiązanie
Aby rozwiązać ten problem, należy zainstalować pakiet zbiorczy 5 zagrożenie Management Gateway (Poruszać) 2010 z dodatkiem Service Pack 2.
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Ta aktualizacja dodaje nową opcję (Const SE_VPS_VALUE = 3) do aktualizacji 960146.
Aby zastosować tę aktualizację, wykonaj następujące kroki:
-
Pobierz pakiet zbiorczy 5, który jest wymieniony w sekcji "Rozwiązanie".
-
Zainstaluj pakiet zbiorczy poprawek na wszystkich komputerach TMG serwera.
-
Uruchom Notatnik systemu Windows.
-
Skopiuj skrypt z 960146 aktualizacji, a następnie wklej skrypt do Notatnika.
-
W wierszu 3 (Const SE_VPS_VALUE = 2), zmień wartość od 2 do 3.
-
Zapisz plik z jednym z serwerów TMG 2010 przy użyciu rozszerzenia nazwy pliku vbs. Na przykład nazwę pliku w następujący sposób:
TMG2010UseFQDNInKerberosTicket.vbs
-
Aby uruchomić skrypt, kliknij dwukrotnie plik VBS, który został zapisany.
Uwagi
-
Skrypt w tej procedurze używa domyślnej wartości 2 dla właściwości Const SE_VPS_VALUE . Można zmienić tę wartość według następujących opcji:
-
Jeśli ustawisz Const SE_VPS_VALUE = 0, nazwa NETBIOS domeny jest używana dla nazwy domeny. Na przykład:
Użytkownik: FirstName.LastName
Realm: Moja firma -
Jeśli ustawisz Const SE_VPS_VALUE = 1, głównej nazwy użytkownika (UPN) jest używana nazwa użytkownika i nazwa FQDN jest używana dla nazwy domeny. Na przykład:
Użytkownik: FirstName.LastName@MyCompany.EMEA.INTRA
Realm: MyCompany.EMEA.INTRA -
Jeśli ustawisz Const SE_VPS_VALUE = 2, nazwa FQDN jest używana dla nazwy domeny. Na przykład:
Użytkownik: FirstName.LastName
Realm: MyCompany.EMEA.INTRA -
Jeśli ustawisz Const SE_VPS_VALUE = 3, nazwa FQDN jest używana dla nazwy domeny. Na przykład:
Użytkownik: FirstName.LastName
Realm: MyCompany.EMEA.INTRA
-
-
Ta nowa opcja, która jest dodawana przez tę aktualizację tworzy taki sam wynik jak w przypadku drugiej opcji listy, ale używa "DS_CANONICAL_NAME" zamiast formatu UPN użytkownika do pobierania informacji o domenie.
Powiązane artykuły
Więcej informacji na temat terminologii stosowanej przez firmę Microsoft do opisywania aktualizacji oprogramowania.