Симптомы
Рассмотрим следующий сценарий:
-
Публикация на веб-сервере и проверки подлинности всех запросов в среде Microsoft Forefront угроз Management Gateway (TMG) 2010.
-
Делегирование проверки подлинности необходимо задать ограниченное делегирование Kerberos (функция KCD).
-
Чтобы изменить имя и домен формат имени пользователя, используемый в билет Kerberos для функция KCD использовать обновление 960146 .
-
Const SE_VPS_VALUE параметр равным 2 , чтобы получить полное доменное имя (FQDN). Например, можно использовать следующий параметр:
Пользователь: FirstName.LastName сферы: MyCompany.EMEA.INTRA
В этом случае функция KCD завершается неудачей, если доменная часть основного имени пользователя (UPN) не соответствует реальной домена. Например, если пользователь пользователь: FirstName.LastName из домена EMEA, но пользователь UPN является FirstName.LastName@MyCompany, а если MyCompany домен не существует, функция KCD делегирования завершается с ошибкой. Это потому, что TMG пытается связаться с доменом MyCompany.
Причина
Эта проблема возникает из-за способом, в котором модуль делегирования TMG обрабатывает имя домена и имя пользователя, полученные во время проверки подлинности для создания запроса на делегирование задач.
Решение
Для решения этой проблемы установите накопительный пакет 5 для Forefront угроз Management Gateway (TMG) 2010 Пакет обновления 2.
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Это обновление добавляет новый параметр (Const SE_VPS_VALUE = 3) для обновления 960146.Чтобы применить это обновление, выполните следующие действия.
-
Загрузите пакет Rollup 5, описанное в разделе «Решение».
-
Установите накопительный пакет исправлений на всех компьютерах сервера TMG.
-
Откройте Блокнот.
-
Скопируйте сценарий из 960146 обновления и вставьте этот сценарий в Блокнот.
-
В строке 3 (Const SE_VPS_VALUE = 2), измените значение с 2 на 3.
-
Сохраните файл на один из серверов TMG 2010, используя расширение .vbs. Например имя файла, как показано ниже:
TMG2010UseFQDNInKerberosTicket.vbs
-
Чтобы запустить сценарий, дважды щелкните .vbs файл, который вы сохранили.
Примечания
-
Сценарии в этой процедуре использует значение по умолчанию 2 для свойства Const SE_VPS_VALUE . Можно изменить это значение согласно следующим параметрам:
-
Если задать Const SE_VPS_VALUE = 0, NetBIOS-имя домена используется для имени домена. Например:
Пользователь: FirstName.LastNameСферы: MyCompany
-
Если задать Const SE_VPS_VALUE = 1, имя участника-пользователя (UPN) используется имя пользователя и полное доменное имя используется для имени домена. Например:
Пользователь: FirstName.LastName@MyCompany.EMEA.INTRAСферы: MyCompany.EMEA.INTRA
-
Если задать Const SE_VPS_VALUE = 2, полное доменное имя используется для имени домена. Например:
Пользователь: FirstName.LastNameСферы: MyCompany.EMEA.INTRA
-
Если задать Const SE_VPS_VALUE = 3, полное доменное имя используется для имени домена. Например:
Пользователь: FirstName.LastNameСферы: MyCompany.EMEA.INTRA
-
-
Данный параметр, добавляется это обновление создает тот же выход, что и второй вариант списка, но использует «DS_CANONICAL_NAME», а не в формате UPN пользователя для получения сведений о домене.
Ссылки
Дополнительные сведения о терминологии , которую корпорация Майкрософт использует для описания обновлений программного обеспечения.
