Sintomas
Considere o seguinte cenário:
-
Publicar um servidor web e autenticar todos os pedidos num ambiente do Microsoft Forefront ameaça gestão Gateway (TMG) 2010.
-
Definir a delegação de autenticação para a delegação Kerberos limitada (KCD).
-
Utilize a actualização de 960146 para alterar o nome e o domínio nome formato utilizador que é utilizado na permissão Kerberos para KCD.
-
Configure a definição de Const SE_VPS_VALUE para 2 para obter o nome de domínio totalmente qualificado (FQDN). Por exemplo, pode utiliza a seguinte definição:
Utilizador: Realm de FirstName.LastName: MyCompany.EMEA.INTRA
Neste cenário, o KCD falha se a parte do nome principal de utilizador (UPN) domínio não coincide com um domínio real. Por exemplo, se o utilizador for utilizador: FirstName.LastName de domínio AEAM mas o utilizador UPN é FirstName.LastName@MyCompanye, se o domínio minhaempresa não existir, a delegação de KCD falha. Isto acontece porque TMG tenta contactar o domínio minhaempresa.
Causa
Este problema ocorre devido ao modo em que o módulo de delegação TMG processa o domínio e informações de nome de utilizador que são obtidas durante a autenticação para criar o pedido de delegação.
Resolução
Para resolver este problema, instale o Rollup 5 para o Gateway de gestão de ameaça do Forefront (TMG) 2010 Service Pack 2.
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Esta actualização adiciona uma nova opção (Const SE_VPS_VALUE = 3) para actualizar a 960146.
Para aplicar esta actualização, siga estes passos:
-
Transferir o pacote de Rollup 5 mencionada na secção "Resolução".
-
Instale o pacote de correcções em todos os computadores servidor TMG.
-
Inicie o bloco de notas do Windows.
-
Copie o script a partir da actualização de 960146 e, em seguida, cole o script no bloco de notas.
-
Na linha 3 (Const SE_VPS_VALUE = 2), altere o valor de 2 a 3.
-
Guarde o ficheiro para um dos servidores TMG 2010 utilizando a extensão de nome de ficheiro. vbs. Por exemplo, nome do ficheiro do seguinte modo:
TMG2010UseFQDNInKerberosTicket.vbs
-
Para executar o script, faça duplo clique no ficheiro. vbs que guardou.
Notas
-
O script neste procedimento utiliza o valor predefinido de 2 para a propriedade Const SE_VPS_VALUE . Pode alterar este valor de acordo com as seguintes opções:
-
Se definir Const SE_VPS_VALUE = 0, o nome de NETBIOS do domínio é utilizado para o nome de domínio. Por exemplo:
Utilizador: FirstName.LastName
Realm: minhaempresa -
Se definir Const SE_VPS_VALUE = 1, o nome principal de utilizador (UPN) é utilizado para o nome de utilizador e o FQDN é utilizado para o nome de domínio. Por exemplo:
Utilizador: FirstName.LastName@MyCompany.EMEA.INTRA
Realm: MyCompany.EMEA.INTRA -
Se definir Const SE_VPS_VALUE = 2, o FQDN é utilizado para o nome de domínio. Por exemplo:
Utilizador: FirstName.LastName
Realm: MyCompany.EMEA.INTRA -
Se definir Const SE_VPS_VALUE = 3, o FQDN é utilizado para o nome de domínio. Por exemplo:
Utilizador: FirstName.LastName
Realm: MyCompany.EMEA.INTRA
-
-
Esta opção de nova é adicionada por esta actualização produz o mesmo resultado que a segunda opção da lista, mas utiliza "DS_CANONICAL_NAME" em vez do formato UPN de utilizador para obter as informações de domínio.
Referências
Obter informações sobre a terminologia utilizada pela Microsoft para descrever actualizações de software.