Simptome
Să luăm în considerare următorul scenariu:
-
Când publicați un server web și autentifica toate cererile într-un mediu Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Setați autentificare delegare la delegare Kerberos limitată (KCD).
-
Utilizați actualizarea 960146 pentru a modifica utilizator nume domeniu nume formatul și care este utilizat în permisul Kerberos pentru KCD.
-
Setați Const SE_VPS_VALUE setarea la 2 pentru a obține numele de domeniu complet definit (FQDN). De exemplu, utilizați utilizează următoarea setare:
Utilizator: FirstName.LastName domeniul: MyCompany.EMEA.INTRA
În acest scenariu, KCD nu reușește dacă partea domeniu de nume principal de utilizator (UPN) nu se potrivesc cu un domeniu real. De exemplu, dacă utilizatorul este utilizator: FirstName.LastName dintr-un domeniu EMEA dar utilizatorul UPN este FirstName.LastName@MyCompanyși dacă nu există domeniu necalificat, delegare KCD nu reușește. Aceasta se întâmplă deoarece TMG încearcă să contacteze domeniul necalificat.
Cauza
Această problemă se produce din cauza modul în care se ocupă de domeniu TMG delegare modulul și informațiile de nume de utilizator care este regăsit în timpul autentificare pentru a crea cererea de delegare.
Rezolvare
Pentru a rezolva această problemă, instalați pachetul 5 pentru Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Stare
Microsoft a confirmat că aceasta este o problemă cu produsele Microsoft enumerate în secţiunea „Se aplică la".
Mai multe informații
Această actualizare adaugă o opţiune nouă (Const SE_VPS_VALUE = 3) pentru a actualiza 960146.
Pentru a aplica această actualizare, urmați acești pași:
-
Descărcați pachetul de cumul 5 menționat în secțiunea "Rezolvare".
-
Instalați pachetul de remediere rapidă pe toate computerele TMG Server.
-
Porniți Windows Notepad.
-
Copiați scriptul din actualizarea 960146 și apoi lipiți script în Notepad.
-
În linia 3 (Const SE_VPS_VALUE = 2), modificați valoarea de la 2 la 3.
-
Salvați fișierul într-unul din serverele de TMG 2010 utilizând extensia numelui de fișier .vbs. De exemplu, Denumiţi fişierul după cum urmează:
TMG2010UseFQDNInKerberosTicket.vbs
-
Pentru a executa scriptul, faceți dublu clic pe fișierul .vbs salvat.
Note
-
Scriptul din această procedură utilizează valoarea implicită de 2 pentru proprietatea Const SE_VPS_VALUE . Aveți posibilitatea să modificați această valoare în conformitate cu următoarele opțiuni:
-
Dacă setați Const SE_VPS_VALUE = 0, numele de domeniu NETBIOS este folosit pentru numele de domeniu. De exemplu:
Utilizator: FirstName.LastName
Domeniul: necalificat -
Dacă setați Const SE_VPS_VALUE = 1, nume principal de utilizator (UPN) este folosit pentru numele de utilizator și FQDN-ul este folosit pentru numele de domeniu. De exemplu:
Utilizator: FirstName.LastName@MyCompany.EMEA.INTRA
Domeniul: MyCompany.EMEA.INTRA -
Dacă setați Const SE_VPS_VALUE = 2, FQDN-ul este folosit pentru numele de domeniu. De exemplu:
Utilizator: FirstName.LastName
Domeniul: MyCompany.EMEA.INTRA -
Dacă setați Const SE_VPS_VALUE = 3, FQDN-ul este folosit pentru numele de domeniu. De exemplu:
Utilizator: FirstName.LastName
Domeniul: MyCompany.EMEA.INTRA
-
-
Această opțiune nou adăugate de această actualizare produce același rezultat ca a doua opţiune listă, dar utilizează "DS_CANONICAL_NAME" în loc de formatul UPN utilizator pentru a regăsi informații de domeniu.
Referințe
Aflați despre terminologia utilizată de Microsoft pentru a descrie actualizările de software.