В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Руководство по развертыванию обновления для системы безопасности 2638420, как описано в MS11-100

Поддержка Windows XP завершена

8 апреля 2014 г. корпорация Майкрософт прекратила поддержку Windows XP. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Сводка
Обновление для системы безопасности 2638420 в составе бюллетеня по безопасности MS11-100 изменяет способ создания билетов проверки подлинности с помощью форм в ASP.NET. Новый способ несовместим со старым. Билеты, создаваемые новым способом, не читаются на серверах, использующий старый способ, и наоборот. Соответственно, если ваши приложения используют проверку подлинности на основе форм, следует принять определенные меры при развертывании обновления для системы безопасности 2638420, чтобы все серверы перешли на новый способ одновременно.

Руководство по развертыванию

Из-за изменения способа создания билетов администраторам, приложения которых используют проверку подлинности на основе форм, следует принять определенные меры при развертывании обновления для системы безопасности 2638420, чтобы все серверы перешли на новый способ одновременно.

Чтобы определить, использует ли приложение проверку подлинности на основе форм, откройте файл System.web. У таких приложений в файле System.web есть следующая запись:
<authentication mode="Forms">
Примечания.
  • По умолчанию используется проверка подлинности Windows.
  • ASP.NET использует формы только при явной настройке.
Если у вас есть приложения, использующие проверку подлинности на основе форм, разверните обновление для системы безопасности 2638420 одним из описанных далее способов, чтобы сохранить работоспособность веб-сайтов.

Способ 1
Разверните обновление для системы безопасности 2638420 на всех активных веб-серверах веб-фермы ASP.NET одновременно. Для этого выполните следующие действия.
  1. Удалите половину серверов веб-фермы из ротации балансировщика нагрузки.
  2. Установите обновление на этих серверах.
  3. Верните серверы в ротацию, одновременно повторив это действие для другой половины серверов.
Способ 2
Если вы не можете развернуть обновление для системы безопасности 2638420 на всех серверах в веб-ферме одновременно, используйте этот способ.

Примечание. Корпорация Майкрософт не рекомендует использовать этот способ. При включении этого параметра вы можете установить обновление для системы безопасности на некоторых серверах в веб-ферме и продолжить использовать старый формат проверки подлинности. При этом серверы с этим параметром не будут в безопасности и не используют все преимущества обновления для системы безопасности. Соответственно, параметр конфигурации придется удалить, чтобы включить новый способ проверки, когда обновление для системы безопасности 2638420 будет развернуто на всех серверах в веб-ферме.

Задайте параметр совместимости в файле Web.config или Machine.config перед установкой обновления 2638420, чтобы принудительно использовать старый способ проверки, пока обновление не установлено везде. Для этого выполните следующие действия.
  1. Откройте файл Web.config или Machine.config в текстовом редакторе, например Блокноте.
  2. Добавьте в файл приведенный ниже текст и сохраните его.
    <appSettings>
    <add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
    </appSettings>
    После изменения и сохранения файлов Web.config и Machine.config перезагружать компьютер не требуется. Уведомление об изменении конфигурации обойдет пул приложений автоматически.
Файлы Web.config находятся в следующих местах:

Версии .NET Framework 4.0–4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config
Версии .NET Framework 2.0–3.5 с пакетом обновления 1 (SP1)
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config
На 32-разрядных компьютерах существует только папка Framework. На 64-разрядных компьютерах существует папка Framework и папка Framework64. Если вы используете 32-разрядный и 64-разрядный пул приложений с сочетанием CLR 2 + CLR 4, потребуется добавить запись во все четыре файла.

Если также добавить в эти файлы конфигурации запись <appSettings>, изменение будет применено в масштабе всей системы.

Известные проблемы

  • Сбои расшифровки билетов после установки обновления 2638420

    После перехода на новый способ обработки билетов все билеты проверки подлинности с помощью форм, созданные старым способом, будут недействительны. При этом пользователи принудительно выводятся из системы, а администраторы серверов могут столкнуться со сбоями при расшифровке билетов.

    Кроме того, в журнале приложений может быть зарегистрировано следующее сообщение об ошибке:

    Имя журнала: Приложения
    Код события: 1315
    Код события: 4005
    Сообщение о событии: Проверка подлинности форм для запроса не удалась. Причина: Причина: Представленный паспорт неверен.

    Эти сбои могут привести к неожиданному поведению. Так, если веб-страницы защищены элементом <authorization>, могут возникать ошибки "HTTP 401" и "HTTP 302".

    После установки обновления 2638420 администраторы могут рассчитывать на несколько таких сбоев, так как ранее созданные билеты становятся просроченными. Число и частота сбоев со временем уменьшатся по мере создания новых билетов. Если сбои расшифровки продолжаются долгое время после установки обновления, возможно, что некоторые серверы веб-фермы по-прежнему используют старый способ. Так, данная проблема возникает по одной из следующих причин.
    • По меньшей мере на одном сервере не было установлено обновление 2638420.
    • По меньшей мере на одном сервере задан описанный выше параметр совместимости. Он описан ранее в данной статье.
Дополнительная информация
Параметр конфигурации TicketCompatibilityMode больше не поддерживается

Так как обновление для системы безопасности 2638420 меняет формат билетов проверки подлинности с помощью форм, параметр <forms/ticketCompatibilityMode> не поддерживается после установки этого обновления.

Дополнительные сведения о параметре <forms/ticketCompatibilityMode> см. на следующем веб-сайте MSDN:
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.
Свойства

Номер статьи: 2659968 — последний просмотр: 01/05/2012 19:56:00 — редакция: 1.0

Microsoft .NET Framework 4.0, Microsoft .NET Framework 3.5 Service Pack 1, Microsoft .NET Framework 3.5, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 2.0 Service Pack 1 (x86), Microsoft .NET Framework 2.0, Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 1.1, Microsoft .NET Framework 1.0 Service Pack 3, Microsoft .NET Framework 1.0, Windows 7 Service Pack 1, Windows 7 Корпоративная, Windows 7 Профессиональная, Windows 7 Максимальная, Windows 7 Домашняя расширенная, Windows 7 Домашняя базовая, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Service Pack 2, Service Pack 2 для Windows Vista, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability KB2659968
Отзывы и предложения
amp;t=">">