Symptom
Föreställ dig följande:
-
Du kan publicera en webbserver och autentisera alla begäranden i en miljö med Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Du anger delegering av autentisering till Kerberos-begränsad delegering (KCD).
-
Du kan använda 960146 uppdatering för att ändra användarens namn och domän namnformatet som används i Kerberos-biljetten för KCD.
-
Du kan ange inställningen Const SE_VPS_VALUE till 2 för att erhålla det fullständigt kvalificerade domännamnet (FQDN). Exempelvis kan du använda följande inställning:
Användare: FirstName.LastName sfär: MyCompany.EMEA.INTRA
I det här fallet misslyckas KCD om den domän som en del av användarens huvudnamn (UPN) inte matchar en verklig domän. Till exempel om användaren är användare: FirstName.LastName från domänen EMEA men användaren UPN är FirstName.LastName@MyCompanyoch om mitt företag domän saknas KCD delegering misslyckas. Detta beror på att TMG försöker kontakta domänen för mitt företag.
Orsak
Det här problemet uppstår på grund av sättet som TMG delegering modul hanterar domänen och användarnamnet som hämtas vid autentisering för att skapa begäran om aktivitetsdelegering.
Lösning
Lös problemet genom att installera samlad 5 för Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
Denna uppdatering lägger till ett nytt alternativ (Const SE_VPS_VALUE = 3) att uppdatera 960146.Gör så här om du vill installera den här uppdateringen:
-
Hämta paketet med Samlad 5 som nämns i avsnittet "Lösning".
-
Installera det samlade snabbkorrigeringspaketet på alla serverdatorer som TMG.
-
Starta Anteckningar i Windows.
-
Kopiera skriptet från 960146 uppdatering och sedan klistra in skriptet i anteckningar.
-
I rad 3 (Const SE_VPS_VALUE = 2), ändra värdet från 2 till 3.
-
Spara filen till en TMG 2010-server med filnamnstillägget .vbs. Till exempel namn på filen:
TMG2010UseFQDNInKerberosTicket.vbs
-
Om du vill köra skriptfilen dubbelklickar du på vbs-filen som du sparade.
Kommentarer
-
Skriptet i den här proceduren används standardvärdet 2 för Const SE_VPS_VALUE egenskapen. Du kan ändra det här värdet enligt följande alternativ:
-
Om du anger Const SE_VPS_VALUE = 0, domänens NetBIOS-namn används för domännamnet. Till exempel:
Användare: FirstName.LastNameSfär: mitt företag
-
Om du anger Const SE_VPS_VALUE = 1används användarens huvudnamn (UPN) för användarnamnet och FQDN-namnet används för domännamnet. Till exempel:
Användare: FirstName.LastName@MyCompany.EMEA.INTRASfär: MyCompany.EMEA.INTRA
-
Om du anger Const SE_VPS_VALUE = 2, FQDN-namnet används för domännamnet. Till exempel:
Användare: FirstName.LastNameSfär: MyCompany.EMEA.INTRA
-
Om du anger Const SE_VPS_VALUE = 3, FQDN-namnet används för domännamnet. Till exempel:
Användare: FirstName.LastNameSfär: MyCompany.EMEA.INTRA
-
-
Detta nya alternativ som läggs till av den här uppdateringen skapar samma utdata som det andra alternativet i listan, men använder "DS_CANONICAL_NAME" i stället för användarens UPN-formatet för att hämta domäninformation.
Referenser
Lär dig mer om den terminologi som Microsoft använder för att beskriva programuppdateringar.
