Причини
Розглянемо таку ситуацію:
-
Опублікувати на веб-сервер і автентифікація всі запити в середовищі Microsoft Forefront Threat Management Gateway (TMG) 2010.
-
Установіть автентифікації делегування Kerberos, з обмеженням, делегування (примусове делегування Kerberos).
-
Щоб змінити на ім'я домену і формат імені користувача, який використовується в квиток Kerberos для примусове делегування Kerberos використовується 960146 оновлення.
-
Установіть параметр Конст SE_VPS_VALUE 2 , щоб отримати повне доменне ім'я (FQDN). Наприклад, у разі використання використовувати такий параметр:
Користувач: FirstName.LastName область: MyCompany.EMEA.INTRA
У цьому випадку у примусове-делегування Kerberos не працює, якщо частина доменне ім'я учасника-користувача (UPN), не відповідає реальному домену. Наприклад, якщо користувач користувача: FirstName.LastName з EMEA домену, але користувач УПН FirstName.LastName@MyCompany, і якщо MyCompany домену не існує, делегування примусове делегування Kerberos не вдається. Це відбувається тому, TMG намагається звернутися до MyCompany домену.
Причина
Ця проблема виникає в порядку, TMG делегування модуль обробки домену в, і завантажуються під час перевірки автентичності, щоб створити запит делегування такі відомості про ім'я користувача.
Вирішення
Щоб вирішити цю проблему, інсталюйте на поточних 5 для Forefront Threat Management Gateway (TMG) 2010 з пакетом оновлень 2.
Стан
Корпорація Майкрософт підтвердила існування цієї неполадки у продуктах Майкрософт, перелічених у розділі "Застосовується до".
Додаткові відомості
Це оновлення додає на новий параметр (конст SE_VPS_VALUE = 3), щоб оновити 960146.
Щоб застосувати це оновлення, виконайте такі дії:
-
Завантажити пакет поточних 5, описане в розділі "Вирішення".
-
На всіх комп'ютерах в TMG Server, інсталюйте пакет поточних виправлень.
-
Запустіть Windows, програми "Блокнот".
-
Копіювання сценарію з 960146 оновлення і вставте в текстовий файл сценарію.
-
У рядку 3 (конст SE_VPS_VALUE = 2), змініть значення від 2 , 3.
-
Збережіть файл до TMG 2010-серверів, за допомогою розширення імені файлу. vbs. Наприклад, назву файлу наступним чином:
TMG2010UseFQDNInKerberosTicket.vbs
-
Щоб запустити сценарій,. двічі клацніть збережений файл. vbs.
Примітки
-
Сценарій у цьому використовує значення за промовчанням 2 , Конст SE_VPS_VALUE властивості. Можна змінити цей параметр, відповідно до наведених нижче способів:
-
Якщо встановити конст SE_VPS_VALUE = 0, доменне ім'я NETBIOS, що використовується для імені домену. Наприклад:
Користувач: FirstName.LastName
Область: MyCompany -
Якщо встановити конст SE_VPS_VALUE = 1ім'я учасника-користувача (UPN), що використовується для імені користувача та повне доменне ім'я, що використовується для імені домену. Наприклад:
Користувач: FirstName.LastName@MyCompany.EMEA.INTRA
Область: MyCompany.EMEA.INTRA -
Якщо встановити конст SE_VPS_VALUE = 2, повне доменне ім'я, що використовується для імені домену. Наприклад:
Користувач: FirstName.LastName
Область: MyCompany.EMEA.INTRA -
Якщо встановити конст SE_VPS_VALUE = 3, повне доменне ім'я, що використовується для імені домену. Наприклад:
Користувач: FirstName.LastName
Область: MyCompany.EMEA.INTRA
-
-
Це означає, що додається це оновлення дає той самий результат, що другий варіант списку, але також використовує "DS_CANONICAL_NAME", а не у форматі UPN користувача для отримання інформації домену.
Посилання
Відомості про термінологію , яку використовує корпорація Майкрософт для опису оновлень програмного забезпечення.