CORREÇÃO: Usuários em florestas remotas não podem alterar suas senhas utilizando o ISA Server 2006 ou Forefront ameaça Management Gateway 2010

Sintomas

Observação: Esses problemas também se aplicam ao Microsoft Forefront ameaça Management Gateway 2010.

Problema 1:

Considere o seguinte cenário:

  • Você tem um servidor que esteja executando o Microsoft Internet Security and Acceleration (ISA) 2006.

  • Você configurou um ouvinte de autenticação baseada em formulários (FBA) selecionando Autenticação de formulário HTML na guia autenticação .

  • O ouvinte está configurado para permitir que os usuários alterem suas senhas.

  • Você usou a funcionalidade descrita no artigo da Base de Conhecimento Microsoft 952675 para habilitar o ISA 2006 procurar o usuário em vários domínios. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

    952675 é possível fazer logon um site de intranet local que você publicar usando o ISA Server 2006 quando há várias contas de usuário que tenham o mesmo nome de conta em domínios diferentes

  • A conta do usuário que tenta fazer logon está localizada em um domínio em uma floresta confiável remoto.

Nesse cenário, os usuários não podem fazer logon se sua senha tiver expirada ou se a conta está definida para o usuário deve alterar a senha no próximo logon. Erro 1907 (ERROR_PASSWORD_MUST_CHANGE) é registrado no log de proxy da web.

Problema 2:

Considere o seguinte cenário:

  • Você tem um servidor que esteja executando o Microsoft Internet Security and Acceleration (ISA) 2006.

  • Você configurou um ouvinte de autenticação baseada em formulários (FBA) selecionando Autenticação de formulário HTML na guia autenticação .

  • O ouvinte está configurado para permitir que os usuários alterar as senhas.

  • Você tem uma regra de publicação na web que usa esse ouvinte para publicar um site.

  • Você usou a funcionalidade descrita no artigo da Base de Conhecimento Microsoft 952675 para habilitar o ISA 2006 procurar o usuário em vários domínios. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

    952675 é possível fazer logon um site de intranet local que você publicar usando o ISA Server 2006 quando há várias contas de usuário que tenham o mesmo nome de conta em domínios diferentes

  • A conexão aberta do ISA Server 2006 para o servidor de catálogo global foi fechou inesperadamente, por exemplo, por um firewall entre os dois servidores.

  • O usuário que está fazendo logon tiver especificado o nome de usuário em um formato de nomeação baseados no NT4/SAM.

  • A nova senha especificada pelo usuário atende aos requisitos de complexidade.

Nesse cenário, os usuários de todos os domínios não podem alterar suas senhas. Quando eles tentarem alterar uma senha, eles recebem a seguinte mensagem de erro:

O nome de usuário ou senha antiga não é válida ou a nova senha não atende aos requisitos mínimos de complexidade. Por favor, tente novamente.

Se o usuário especificar um nome de usuário que usa um formato UPN, o usuário pode alterar a senha. Se o serviço de Firewall do ISA Server 2006 é reiniciado, os usuários também poderão alterar uma senha de até que a conexão com o servidor de catálogo global está quebrada novamente.

Motivo

Problema 1:

Esse problema ocorre quando o usuário não é redirecionado para a página de alteração de senha como o ISA Server 2006 não verifica o status de conta para contas em florestas remotas. Portanto, ele tenta usar as credenciais do usuário fornecido para o logon do usuário. A senha não é mais válida. Portanto, a tentativa falha e erro 1907 (ERROR_PASSWORD_MUST_CHANGE) é retornado.

Problema 2:

Esse problema ocorre quando o identificador para enviar mensagens para o servidor de catálogo global é reutilizado. Quando a alça de falha, isso impede que o ISA Server 2006 verificando o status de conta de usuário.

Resolução

Microsoft Internet Security and Acceleration (ISA) 2006

Para resolver esse problema, instale o pacote de correcções do ISA Server 2006 descrita no seguinte artigo da Base de Conhecimento Microsoft:

2616326 descrição do pacote de hotfix do ISA Server 2006: setembro de 2011

O Microsoft Forefront Threat Management Gateway 2010

Para resolver esse problema, instale o service pack é descrito no seguinte artigo da Base de Conhecimento Microsoft:

2555840 Microsoft Forefront ameaça Management Gateway 2010 Service Pack 2

Como habilitar a correção

A Microsoft fornece exemplos de programação somente para ilustração, sem garantia expressa ou implícita. Isso inclui, mas não está limitado a, garantias implícitas de comercialização ou adequação a um propósito específico. Este artigo presume que você esteja familiarizado com a linguagem de programação que está sendo demonstrada e com as ferramentas usadas para criar e depurar procedimentos. Os engenheiros de suporte da Microsoft podem ajudar a explicar a funcionalidade de um determinado procedimento. No entanto, eles não modificarão esses exemplos para fornecer funcionalidades adicionais ou construir procedimentos para atender às suas necessidades específicas. Para ativar essa correção para o ISA Server 2006 ou Forefront ameaça Management Gateway 2010, execute o script EnableMultipleFlatUserName.vbs para habilitar a funcionalidade fornecida por essa correção. Para fazer isso, execute as seguintes etapas:

  1. Clique em Iniciar, em Executar, digite bloco de notas e clique em OK.

  2. Copie o script a seguir em um arquivo do bloco de notas e salve o arquivo de texto como um arquivo do Microsoft Visual Basic usando a extensão de nome de arquivo. vbs.

    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "EnableMultipleFlatUserName"Const SE_VPS_VALUE = trueSub SetValue()    ' Create the root obect.    Dim root  ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects needed.    Dim array       ' An FPCArray object    Dim VendorSets  ' An FPCVendorParametersSets collection    Dim VendorSet   ' An FPCVendorParametersSet object    ' Get references to the array object    ' and the network rules collection.    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value- " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  3. Salve o arquivo em uma pasta temporária. Por exemplo, salve o arquivo como EnableMultipleFlatUserName.vbs para a pasta C:\EnableMultipleFlatUserName .

  4. Em um prompt de comando, vá para o local em que você salvou o arquivo. vbs na etapa 3 e execute o arquivo. vbs. Por exemplo, execute os seguintes comandos:

    CD C:\EnableMultipleFlatUserNamecscript EnableMultipleFlatUserName.vbs

Observação: Após ativar essa correção, você deve reiniciar os serviços relacionados ao ISA Server ou os serviços do Forefront Threat Management Gateway relacionados ao servidor.

Status

A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".

Referências

Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:

824684 Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?

O que afetou sua experiência?

Algum comentário adicional? (Opcional)

Obrigado por seus comentários!

×