Príznaky
Predstavte si nasledujúcu situáciu:
-
Publikovať webový server a overiť všetky požiadavky v prostredí Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Delegovanie overenia nastaviť delegovanie Kerberos obmedzené (KCD).
-
960146 aktualizácia umožňuje zmeniť používateľské meno a doménu názov formát, ktorý používa lístok modulu Kerberos KCD.
-
Ste nastavenie Const SE_VPS_VALUE 2 získať názov domény (FQDN). Napríklad môžete použiť použiť nasledovné nastavenie:
Používateľa: Meno.priezvisko oblasť: MyCompany.EMEA.INTRA
V tomto scenári, KCD Ak zlyhá časť domény hlavné meno používateľa (UPN) nezodpovedá skutočné domény. Napríklad, ak používateľ používateľa: meno.priezvisko z oblasti EMEA ale používateľa UPN je FirstName.LastName@MyCompany, a ak MojaSpoločnosť doména neexistuje, KCD delegácia zlyhá. Toto je pretože TMG snaží kontaktovať MojaSpoločnosť domény.
Príčina
Tento problém sa vyskytuje z dôvodu spôsobu v ktorom TMG delegovanie modulu spracováva domény a používateľské meno načítané informácie počas overovania vytvoriť požiadavku na delegovanie.
Riešenie
Ak chcete vyriešiť tento problém, nainštalujte súhrnná 5 pre Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Stav
Spoločnosť Microsoft potvrdila, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v časti Vzťahuje sa na.
Ďalšie informácie
Táto aktualizácia pridáva nové možnosti (Const SE_VPS_VALUE = 3) na aktualizáciu 960146.
Ak chcete použiť túto aktualizáciu, postupujte nasledovne:
-
Prevziať balík súhrnnú 5, ktoré je spomenuté v časti "Riešenie".
-
Nainštalujte opravu hotfix rollup na všetkých počítačoch TMG Server.
-
Spustite program Poznámkový blok systému Windows.
-
Skopírujte skript z 960146 aktualizácia a potom prilepte skript do programu Poznámkový blok.
-
V riadku 3 (Const SE_VPS_VALUE = 2), zmeňte hodnotu 2 a 3.
-
Uložte súbor k serverom TMG 2010 pomocou prípony súboru .vbs. Napríklad názov súboru takto:
TMG2010UseFQDNInKerberosTicket.vbs
-
Spustite skript, dvakrát kliknite na súbor .vbs, ktorý ste uložili.
Poznámky
-
Skript v tomto postupe používa predvolená hodnota 2 Const SE_VPS_VALUE vlastnosti. Môžete zmeniť túto hodnotu podľa nasledujúcich možností:
-
Ak nastavíte Const SE_VPS_VALUE = 0, používa NETBIOS domény názov domény. Napríklad:
Používateľa: meno.priezvisko
Oblasť: MojaSpoločnosť -
Ak nastavíte Const SE_VPS_VALUE = 1hlavné meno používateľa (UPN) sa používa meno používateľa a názov FQDN sa používa pre názov domény. Napríklad:
Používateľ: FirstName.LastName@MyCompany.EMEA.INTRA
Oblasť: MyCompany.EMEA.INTRA -
Ak nastavíte Const SE_VPS_VALUE = 2, FQDN sa používa pre názov domény. Napríklad:
Používateľa: meno.priezvisko
Oblasť: MyCompany.EMEA.INTRA -
Ak nastavíte Const SE_VPS_VALUE = 3, FQDN sa používa pre názov domény. Napríklad:
Používateľa: meno.priezvisko
Oblasť: MyCompany.EMEA.INTRA
-
-
Táto nová možnosť, pridané v tejto aktualizácii vytvára rovnaký výstup ako druhý zoznam možností, ale používa "DS_CANONICAL_NAME" formát UPN používateľa získať informácie o doméne.
Odkazy
Informácie o terminológii , ktorú spoločnosť Microsoft používa na popis aktualizácií softvéru.