Aplica-se a
Microsoft Forefront Threat Management Gateway 2010 Service Pack 2 Microsoft Forefront Threat Management Gateway 2010 Service Pack 2 Forefront Threat Management Gateway 2010 Enterprise Forefront Threat Management Gateway 2010 Standard

Sintomas

Considere o seguinte cenário:

  • Publicar um servidor web e autenticar todas as solicitações em um ambiente Microsoft Forefront ameaça Management Gateway (TMG) 2010.

  • Você define a delegação de autenticação para delegação restringido de Kerberos (KCD).

  • Use a atualização 960146 para alterar o nome e o domínio nome formato do usuário que é usado no tíquete Kerberos KCD.

  • Defina a configuração SE_VPS_VALUE Const 2 para obter o nome de domínio totalmente qualificado (FQDN). Por exemplo, use a seguinte configuração:

    Usuário: São território: MyCompany.EMEA.INTRA

Nesse cenário, o KCD falhará se a parte do domínio do nome principal do usuário (UPN) não corresponde a um domínio real. Por exemplo, se o usuário for usuário: são de domínio EMEA, mas o usuário UPN é FirstName.LastName@MyCompanye, se o domínio MyCompany não existir, a delegação KCD falha. Isso ocorre porque a TMG tenta contatar o domínio MyCompany.

Causa

Esse problema ocorre devido à maneira que o módulo de delegação TMG lida com o domínio e as informações de nome de usuário são recuperadas durante a autenticação para criar a solicitação de delegação.

Resolução

Para resolver esse problema, instale o pacote cumulativo de atualizações 5 para o Forefront ameaça Management Gateway (TMG) 2010 Service Pack 2.

Status

A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".

Mais informações

Esta atualização adiciona uma nova opção (Const SE_VPS_VALUE = 3) para atualizar 960146.Para aplicar essa atualização, siga estas etapas:

  1. Baixe o pacote Rollup 5 mencionada na seção "Resolução".

  2. Instale o pacote cumulativo de hotfix em todos os computadores de servidor TMG.

  3. Inicie o bloco de notas do Windows.

  4. Copie o script de atualização 960146 e, em seguida, cole o script no bloco de notas.

  5. Na linha 3 (Const SE_VPS_VALUE = 2), altere o valor de 2 para 3.

  6. Salve o arquivo em um dos servidores a TMG 2010 usando a extensão de nome de arquivo. vbs. Por exemplo, nomeie o arquivo como a seguir:

    TMG2010UseFQDNInKerberosTicket.vbs

  7. Para executar o script, clique duas vezes no arquivo. vbs que você salvou.

Observações:

  • O script neste procedimento usa o valor padrão de 2 para a propriedade SE_VPS_VALUE Const . Você pode alterar esse valor de acordo com as seguintes opções:

    • Se você definir Const SE_VPS_VALUE = 0, o nome de domínio NETBIOS é usado para o nome de domínio. Por exemplo:

      Usuário: sãoTerritório: MyCompany

    • Se você definir Const SE_VPS_VALUE = 1, o nome de usuário principal (UPN) é usado para o nome de usuário e o FQDN é usado para o nome de domínio. Por exemplo:

      Usuário: FirstName.LastName@MyCompany.EMEA.INTRATerritório: MyCompany.EMEA.INTRA

    • Se você definir SE_VPS_VALUE Const = 2, o FQDN é usado para o nome de domínio. Por exemplo:

      Usuário: sãoTerritório: MyCompany.EMEA.INTRA

    • Se você definir SE_VPS_VALUE Const = 3, o FQDN é usado para o nome de domínio. Por exemplo:

      Usuário: sãoTerritório: MyCompany.EMEA.INTRA

  • Essa nova opção é adicionada por esta atualização produz a mesma saída que a segunda opção da lista, mas usa "DS_CANONICAL_NAME" em vez do formato UPN do usuário para recuperar as informações de domínio.

Referências

Saiba mais sobre a terminologia usada pela Microsoft para descrever as atualizações de software.

Facebook LinkedIn Email
ASSINAR RSS FEEDS

Precisa de mais ajuda?

Quer mais opções

Explore os benefícios da assinatura, procure cursos de treinamento, saiba como proteger seu dispositivo e muito mais.

Benefícios da assinatura do Microsoft 365

Treinamento do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade