Сводка
Обновление для системы безопасности 2638420 в составе бюллетеня по безопасности MS11-100 изменяет способ создания билетов проверки подлинности с помощью форм в ASP.NET. Новый способ несовместим со старым. Билеты, создаваемые новым способом, не читаются на серверах, использующий старый способ, и наоборот. Соответственно, если ваши приложения используют проверку подлинности на основе форм, следует принять определенные меры при развертывании обновления для системы безопасности 2638420, чтобы все серверы перешли на новый способ одновременно.
Руководство по развертыванию
Из-за изменения способа создания билетов администраторам, приложения которых используют проверку подлинности на основе форм, следует принять определенные меры при развертывании обновления для системы безопасности 2638420, чтобы все серверы перешли на новый способ одновременно.
Чтобы определить, использует ли приложение проверку подлинности на основе форм, откройте файл System.web. У таких приложений в файле System.web есть следующая запись:
<authentication mode="Forms">Примечания.
-
По умолчанию используется проверка подлинности Windows.
-
ASP.NET использует формы только при явной настройке.
Если у вас есть приложения, использующие проверку подлинности на основе форм, разверните обновление для системы безопасности 2638420 одним из описанных далее способов, чтобы сохранить работоспособность веб-сайтов.
Способ 1
Разверните обновление для системы безопасности 2638420 на всех активных веб-серверах веб-фермы ASP.NET одновременно. Для этого выполните следующие действия.
-
Удалите половину серверов веб-фермы из ротации балансировщика нагрузки.
-
Установите обновление на этих серверах.
-
Верните серверы в ротацию, одновременно повторив это действие для другой половины серверов.
Способ 2
Если вы не можете развернуть обновление для системы безопасности 2638420 на всех серверах в веб-ферме одновременно, используйте этот способ.
Примечание. Корпорация Майкрософт не рекомендует использовать этот способ. При включении этого параметра вы можете установить обновление для системы безопасности на некоторых серверах в веб-ферме и продолжить использовать старый формат проверки подлинности. При этом серверы с этим параметром не будут в безопасности и не используют все преимущества обновления для системы безопасности. Соответственно, параметр конфигурации придется удалить, чтобы включить новый способ проверки, когда обновление для системы безопасности 2638420 будет развернуто на всех серверах в веб-ферме.
Задайте параметр совместимости в файле Web.config или Machine.config перед установкой обновления 2638420, чтобы принудительно использовать старый способ проверки, пока обновление не установлено везде. Для этого выполните следующие действия.
-
Откройте файл Web.config или Machine.config в текстовом редакторе, например Блокноте.
-
Добавьте в файл приведенный ниже текст и сохраните его.
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>После изменения и сохранения файлов Web.config и Machine.config перезагружать компьютер не требуется. Уведомление об изменении конфигурации обойдет пул приложений автоматически.
Файлы Web.config находятся в следующих местах:
Версии .NET Framework 4.0–4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config Версии .NET Framework 2.0–3.5 с пакетом обновления 1 (SP1)
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config На 32-разрядных компьютерах существует только папка Framework. На 64-разрядных компьютерах существует папка Framework и папка Framework64. Если вы используете 32-разрядный и 64-разрядный пул приложений с сочетанием CLR 2 + CLR 4, потребуется добавить запись во все четыре файла.
Если также добавить в эти файлы конфигурации запись <appSettings>, изменение будет применено в масштабе всей системы.
Известные проблемы
-
Сбои расшифровки билетов после установки обновления 2638420
После перехода на новый способ обработки билетов все билеты проверки подлинности с помощью форм, созданные старым способом, будут недействительны. При этом пользователи принудительно выводятся из системы, а администраторы серверов могут столкнуться со сбоями при расшифровке билетов.
Кроме того, в журнале приложений может быть зарегистрировано следующее сообщение об ошибке:Имя журнала: Приложения
Код события: 1315
Код события: 4005
Сообщение о событии: Проверка подлинности форм для запроса не удалась. Причина: Причина: Представленный паспорт неверен.
Эти сбои могут привести к неожиданному поведению. Так, если веб-страницы защищены элементом <authorization>, могут возникать ошибки "HTTP 401" и "HTTP 302".
После установки обновления 2638420 администраторы могут рассчитывать на несколько таких сбоев, так как ранее созданные билеты становятся просроченными. Число и частота сбоев со временем уменьшатся по мере создания новых билетов. Если сбои расшифровки продолжаются долгое время после установки обновления, возможно, что некоторые серверы веб-фермы по-прежнему используют старый способ. Так, данная проблема возникает по одной из следующих причин.-
По меньшей мере на одном сервере не было установлено обновление 2638420.
-
По меньшей мере на одном сервере задан описанный выше параметр совместимости. Он описан ранее в данной статье.
-
Дополнительная информация
Параметр конфигурации TicketCompatibilityMode больше не поддерживается
Так как обновление для системы безопасности 2638420 меняет формат билетов проверки подлинности с помощью форм, параметр <forms/ticketCompatibilityMode> не поддерживается после установки этого обновления.
Дополнительные сведения о параметре <forms/ticketCompatibilityMode> см. на следующем веб-сайте MSDN:
