Khắc phục: Các "Const SE_VPS_VALUE = 2" thiết lập không hoạt động dành cho người dùng nếu UPN không liên quan đến một miền

Triệu chứng

Xem xét tình huống sau:

• Bạn xuất bản máy chủ web và xác nhận tất cả các yêu cầu trong một môi trường Microsoft Forefront Threat Management Gateway (TMG) 2010.

• Bạn đặt uỷ nhiệm xác thực Kerberos hạn chế uỷ nhiệm (KCD).

• Bạn sử dụng bản Cập Nhật 960146 để thay đổi người dùng tên và vùng tên định dạng được sử dụng trong vé Kerberos KCD.

• Bạn đặt cài đặt XD SE_VPS_VALUE 2 để có được tên miền đủ (FQDN). Ví dụ: bạn sử dụng sử dụng thiết đặt sau:
  
  

  Người dùng: FirstName.LastName lĩnh vực: MyCompany.EMEA.INTRA

Trong trường hợp này, KCD không thành công nếu một phần tên miền tên chính người dùng (UPN) không khớp với một miền. Ví dụ: nếu người dùng User: FirstName.LastName từ EMEA nhưng dùng UPN là FirstName.LastName@MyCompany, và nếu MyCompany miền không tồn tại, uỷ nhiệm KCD sẽ thất bại. Điều này là do TMG cố gắng liên hệ với tên miền MyCompany.

Nguyên nhân

Sự cố này xảy ra do cách mà mô-đun đoàn TMG xử lý tên miền và thông tin tên người dùng được lấy trong quá trình xác thực để tạo yêu cầu uỷ nhiệm.

Giải pháp

Để giải quyết vấn đề này, cài đặt Cập Nhật 5 Forefront Threat Management Gateway (TMG) 2010 gói dịch vụ 2.

Trạng thái

Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".

Thông tin

Bản cập nhật này thêm một lựa chọn mới (XD SE_VPS_VALUE = 3) để Cập Nhật 960146.

Để áp dụng bản cập nhật này, hãy làm theo các bước sau:

1. Tải xuống gói Cập Nhật 5 được đề cập trong phần "Giải pháp".

2. Cài đặt gói hotfix trên tất cả máy chủ TMG máy tính.

3. Khởi động Windows Notepad.

4. Sao chép đoạn mã từ bản Cập Nhật 960146, và sau đó dán tập lệnh vào Notepad.

5. Dòng 3 (XD SE_VPS_VALUE = 2), thay đổi giá trị từ 2 đến 3.

6. Lưu tệp vào một máy chủ TMG 2010 bằng cách sử dụng phần mở rộng tên tệp .vbs. Ví dụ: tên tệp như sau:
   
   

   TMG2010UseFQDNInKerberosTicket.vbs

7. Để chạy tập lệnh, bấm đúp vào tệp .vbs mà bạn đã lưu.

Lưu ý:

• Tập lệnh trong quy trình này sử dụng giá trị mặc định của 2 nhà XD SE_VPS_VALUE . Bạn có thể thay đổi giá trị này theo tuỳ chọn sau:

  • Nếu bạn đặt XD SE_VPS_VALUE = 0, tên NETBIOS được sử dụng cho tên miền. Ví dụ:
    
    

    Người dùng: FirstName.LastName
    Lĩnh vực: MyCompany

  • Nếu bạn đặt XD SE_VPS_VALUE = 1, tên chính người dùng (UPN) được sử dụng cho tên người dùng và FQDN được sử dụng cho tên miền. Ví dụ:
    
    

    Người dùng: FirstName.LastName@MyCompany.EMEA.INTRA
    Lĩnh vực: MyCompany.EMEA.INTRA

  • Nếu bạn đặt XD SE_VPS_VALUE = 2, FQDN được sử dụng cho tên miền. Ví dụ:
    
    

    Người dùng: FirstName.LastName
    Lĩnh vực: MyCompany.EMEA.INTRA

  • Nếu bạn đặt XD SE_VPS_VALUE = 3, FQDN được sử dụng cho tên miền. Ví dụ:
    
    

    Người dùng: FirstName.LastName
    Lĩnh vực: MyCompany.EMEA.INTRA

• Tùy chọn này mới được thêm vào bởi bản cập nhật này sẽ tạo ra kết quả tương tự như tùy chọn danh sách thứ hai, nhưng sử dụng "DS_CANONICAL_NAME" thay vì định dạng UPN của người dùng để truy xuất thông tin tên miền.

Tham khảo

Tìm hiểu về thuật ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.