O recurso 'Alterar senha' não funciona como esperado após a instalação do ISA Server 2006 Service Pack 1 ou se você usar Microsoft ameaça Management Gateway 2010

Sintomas

Após aplicar o Microsoft Internet Security and Acceleration (ISA) Server Service Pack 1 (SP1) ou se você usar o Microsoft Forefront ameaça Management Gateway (TMG) 2010, você pode observar que o recurso 'Alterar senha' não funciona conforme o esperado. Por exemplo, nas configurações do Active Directory, você habilitar a configuração "Usuário deve alterar a senha no próximo logon" para uma determinada conta de usuário. No entanto, quando o usuário tenta fazer logon usando autenticação baseada em formulários (FBA) quando o recurso de "Alterar senha" está habilitado no ISA Server ou servidor TMG, o usuário não é automaticamente redirecionado para o formulário que é usado para alterar a senha.

Causa

Esse problema ocorre quando o FBA é usado em conjunto com LDAP Lightweight Directory Access Protocol (). No ISA Server 2006 SP1, o comportamento padrão foi alterado quando você usar FBA junto com LDAP. Essa alteração foi feita para ajudar a proteger contra ataques de autenticação. Para obter mais informações, visite a seção "Alterações no Service Pack 1" do seguinte site da Microsoft TechNet Web:

http://technet.microsoft.com/en-us/library/cc514301.aspx

Resolução

Para resolver este problema, execute as seguintes etapas:

1. Instale o pacote de hotfix descrito no seguinte artigo da Base de Conhecimento Microsoft:

   959357 Descrição do pacote de hotfix do ISA Server 2006: 29 de outubro de 2008Observe que a primeira etapa não é aplicável para o servidor Microsoft ameaça Management Gateway (TMG). O hotfix está incluído no produto.

2. Inicie o Bloco de notas.

3. Cole o script a seguir para o arquivo de bloco de notas.

   ' -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-' -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-'    This code is Copyright (c) 2007 Microsoft Corporation.  ''    All rights reserved.''    THIS CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF'    ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO'    THE IMPLIED WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A'    PARTICULAR PURPOSE.''    IN NO EVENT SHALL MICROSOFT AND/OR ITS RESPECTIVE SUPPLIERS BE'    LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY'    DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS,'    WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS'    ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE'    OF THIS CODE OR INFORMATION.'' -+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-If Not WScript.Arguments.Named.Exists("WebListener") Then    WScript.Echo "WebListener not defined"    WScript.Quit(1)End IfSet fpcRoot = CreateObject("FPC.Root")Set fpcArray = fpcRoot.GetContainingArray()Set fpcWebListener = fpcArray.RuleElements.WebListeners(WScript.Arguments.Named("WebListener"))Set fpcWebListenerVps = fpcWebListener.VendorParametersSetsOn Error Resume NextSet fpcCookieAuthVps = fpcWebListenerVps.Item("{29022EBA-B030-4839-9CA6-DD8875BC7B47}")If Err.number = 0 Then    CookieAuthVpsExists = TrueElse    CookieAuthVpsExists = FalseEnd IfErr.ClearOn Error GoTo 0If Not CookieAuthVpsExists Then    WScript.Echo "Cookie auth VPS settings not defined, hotfix 957859 disabled"Else    On Error Resume Next    WScript.Echo "EnableLDAPPasswordExpiration: " & (fpcCookieAuthVps.Value("EnableLDAPPasswordExpiration") = True)End IfIf WScript.Arguments.Named.Exists("Value") Then    If Not CookieAuthVpsExists Then        Set fpcCookieAuthVps = fpcWebListenerVps.Add("{29022EBA-B030-4839-9CA6-DD8875BC7B47}")    End If    fpcCookieAuthVps.Value("EnableLDAPPasswordExpiration") = (StrComp(WScript.Arguments.Named("Value"), "True", 1) = 0)    fpcArray.Save    WScript.Echo "EnableLDAPPasswordExpiration set to " & (fpcCookieAuthVps.Value("EnableLDAPPasswordExpiration") = True)End If 

4. Salve este arquivo do bloco de notas usando a extensão de nome de arquivo. vbs. Por exemplo, use o seguinte nome para salvar este arquivo:

   EnableHotfix957859.vbs

5. Abra um prompt de comando, mova para o local onde você salvou o arquivo EnableHotfix957859.vbs e, em seguida, digite o seguinte comando:

   Cscript EnableHotfix957859.vbs /webListener: < nome do ouvinte > /Value:trueObservação Neste comando, substitua < nome do ouvinte > com o nome real do ouvinte da Web.

Importante: se você quiser remover o hotfix 959357, abra um prompt de comando, navegue até o local onde você salvou o arquivo EnableHotfix957859.vbs e, em seguida, digite o seguinte comando: Cscript EnableHotfix957859.vbs /webListener: < nome do ouvinte de> /Value:falseObservação neste comando, substitua <nome do ouvinte> com o nome real do ouvinte da Web.

Status

A Microsoft confirmou que este é um problema nos produtos Microsoft que estão listados na seção "Aplicável a".

Referências

Para obter informações adicionais sobre a terminologia da atualização de segurança, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

824684 Descrição da terminologia padrão utilizada para descrever as atualizações de software da Microsoft