Sintomas
Considere o seguinte cenário:
-
Publicar um servidor web e autenticar todas as solicitações em um ambiente Microsoft Forefront ameaça Management Gateway (TMG) 2010.
-
Você define a delegação de autenticação para delegação restringido de Kerberos (KCD).
-
Use a atualização 960146 para alterar o nome e o domínio nome formato do usuário que é usado no tíquete Kerberos KCD.
-
Defina a configuração SE_VPS_VALUE Const 2 para obter o nome de domínio totalmente qualificado (FQDN). Por exemplo, use a seguinte configuração:
Usuário: São território: MyCompany.EMEA.INTRA
Nesse cenário, o KCD falhará se a parte do domínio do nome principal do usuário (UPN) não corresponde a um domínio real. Por exemplo, se o usuário for usuário: são de domínio EMEA, mas o usuário UPN é FirstName.LastName@MyCompanye, se o domínio MyCompany não existir, a delegação KCD falha. Isso ocorre porque a TMG tenta contatar o domínio MyCompany.
Causa
Esse problema ocorre devido à maneira que o módulo de delegação TMG lida com o domínio e as informações de nome de usuário são recuperadas durante a autenticação para criar a solicitação de delegação.
Resolução
Para resolver esse problema, instale o pacote cumulativo de atualizações 5 para o Forefront ameaça Management Gateway (TMG) 2010 Service Pack 2.
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Esta atualização adiciona uma nova opção (Const SE_VPS_VALUE = 3) para atualizar 960146.
Para aplicar essa atualização, siga estas etapas:
-
Baixe o pacote Rollup 5 mencionada na seção "Resolução".
-
Instale o pacote cumulativo de hotfix em todos os computadores de servidor TMG.
-
Inicie o bloco de notas do Windows.
-
Copie o script de atualização 960146 e, em seguida, cole o script no bloco de notas.
-
Na linha 3 (Const SE_VPS_VALUE = 2), altere o valor de 2 para 3.
-
Salve o arquivo em um dos servidores a TMG 2010 usando a extensão de nome de arquivo. vbs. Por exemplo, nomeie o arquivo como a seguir:
TMG2010UseFQDNInKerberosTicket.vbs
-
Para executar o script, clique duas vezes no arquivo. vbs que você salvou.
Observações:
-
O script neste procedimento usa o valor padrão de 2 para a propriedade SE_VPS_VALUE Const . Você pode alterar esse valor de acordo com as seguintes opções:
-
Se você definir Const SE_VPS_VALUE = 0, o nome de domínio NETBIOS é usado para o nome de domínio. Por exemplo:
Usuário: são
Território: MyCompany -
Se você definir Const SE_VPS_VALUE = 1, o nome de usuário principal (UPN) é usado para o nome de usuário e o FQDN é usado para o nome de domínio. Por exemplo:
Usuário: FirstName.LastName@MyCompany.EMEA.INTRA
Território: MyCompany.EMEA.INTRA -
Se você definir SE_VPS_VALUE Const = 2, o FQDN é usado para o nome de domínio. Por exemplo:
Usuário: são
Território: MyCompany.EMEA.INTRA -
Se você definir SE_VPS_VALUE Const = 3, o FQDN é usado para o nome de domínio. Por exemplo:
Usuário: são
Território: MyCompany.EMEA.INTRA
-
-
Essa nova opção é adicionada por esta atualização produz a mesma saída que a segunda opção da lista, mas usa "DS_CANONICAL_NAME" em vez do formato UPN do usuário para recuperar as informações de domínio.
Referências
Saiba mais sobre a terminologia usada pela Microsoft para descrever as atualizações de software.