症状
请考虑以下情形:
-
您发布 web 服务器时,Microsoft 最前沿威胁管理网关 (TMG) 2010年环境中的所有请求作身份都验证。
-
您设置身份验证委派到 Kerberos 约束委派 (KCD)。
-
960146更新用于更改在 Kerberos 票证用于 KCD 用户名称和域名名称格式。
-
您将Const SE_VPS_VALUE设置为2可以获取完全限定的域名称 (FQDN)。例如,您使用以下设置︰
用户︰ FirstName.LastName 领域︰ MyCompany.EMEA.INTRA
在这种情况下,如果用户主体名称 (UPN) 的域部分不能匹配真实域 KCD 将失败。例如,如果用户是用户︰ FirstName.LastName EMEA 域,但用户的 UPN 是FirstName.LastName@MyCompany,且 MyCompany 域不存在,KCD 委派失败。这是因为 TMG 尝试联系 MyCompany 域。
原因
由于 TMG 委托模块处理域方式和用户名信息检索在创建委派请求的身份验证过程中发生此问题。
解决方案
要解决此问题,请安装最前沿威胁管理网关 (TMG) 2010 Service pack 2 的累积 5 。
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
此更新将添加新的选项 (Const SE_VPS_VALUE = 3) 更新 960146。
若要应用此更新,请执行以下步骤︰-
下载"解决方案"一节中提到的汇总 5 包。
-
TMG 服务器的所有计算机上安装修复程序总成包。
-
启动 Windows 记事本。
-
来自 960146 的更新、 复制脚本,然后将该脚本粘贴到记事本。
-
在第 3 行 (Const SE_VPS_VALUE = 2),从2的值更改为3。
-
通过使用.vbs 文件扩展名,文件保存到 TMG 2010 服务器之一。例如,作为文件名,如下所示︰
TMG2010UseFQDNInKerberosTicket.vbs
-
若要运行该脚本,请双击您保存该.vbs 文件。
备注:
-
在此过程中的脚本使用Const SE_VPS_VALUE属性的默认值为2 。您可以更改此值,根据下面的选项︰
-
如果您设置常量 SE_VPS_VALUE = 0,NETBIOS 域名使用的域名。例如︰
用户︰ FirstName.LastName
领域︰ MyCompany -
如果您设置常量 SE_VPS_VALUE = 1、 用户名称,请使用用户主体名称 (UPN) 和域名使用 FQDN。例如︰
用户︰ FirstName.LastName@MyCompany.EMEA.INTRA
领域︰ MyCompany.EMEA.INTRA -
如果您设置常量 SE_VPS_VALUE = 2,域名使用 FQDN。例如︰
用户︰ FirstName.LastName
领域︰ MyCompany.EMEA.INTRA -
如果您设置常量 SE_VPS_VALUE = 3,域名使用 FQDN。例如︰
用户︰ FirstName.LastName
领域︰ MyCompany.EMEA.INTRA
-
-
此更新将添加此新选项会生成相同的输出的第二个列表选项,但使用"DS_CANONICAL_NAME"而不是用户的 UPN 格式来检索域信息。
参考资料
了解 Microsoft 用于描述软件更新的术语。