狀況
請考慮下列情況:
-
您發佈網頁伺服器,並驗證 Microsoft Forefront 威脅管理閘道 (TMG) 2010年環境中的所有要求。
-
您可以設定驗證委派為 Kerberos 限制委派 (KCD)。
-
您可以使用960146更新程式來變更使用者名稱及網域名稱格式用於 KCD 的 Kerberos 票證。
-
您可以將 [ Const SE_VPS_VALUE設定為2 ,以取得完整格式的網域名稱 (FQDN)。例如,您可以在此使用使用下列設定︰
使用者︰ FirstName.LastName 的領域︰ MyCompany.EMEA.INTRA
在這個案例中,如果使用者主要名稱 (UPN) 的網域部分不符合實際的網域,就會失敗的 KCD。例如,如果使用者是使用者︰ FirstName.LastName EMEA 網域,但使用者 UPN 的FirstName.LastName@MyCompany,但卻 MyCompany 網域不存在,如果 KCD 委派。這是因為 TMG 嘗試連絡 MyCompany 網域。
原因
之所以發生這個問題,是因為 TMG 委派單元用來處理網域的方式,建立委派要求的驗證期間所擷取的使用者名稱資訊。
解決方案
若要解決這個問題,安裝的 Forefront 威脅管理閘道 (TMG) 2010 Service Pack 2 的彙總套件 5 。
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
更多的資訊
這項更新會新增新的選項 (Const SE_VPS_VALUE = 3) 來更新 960146。
若要套用此更新程式,請依照下列步驟執行︰
-
下載 < 解決方案=""> 一節中所提及的彙總套件 5 套件。
-
在所有的 TMG 伺服器電腦上安裝 hotfix 彙總套件。
-
啟動 Windows [記事本]。
-
從 960146 的更新,複製指令碼,然後貼入 [記事本] 中的指令碼。
-
在第 3 行 (Const SE_VPS_VALUE = 2),將值從2變更為3。
-
使用.vbs 副檔名,檔案儲存至其中一個 TMG 2010 伺服器。例如,檔案名稱,如下所示︰
TMG2010UseFQDNInKerberosTicket.vbs
-
若要執行指令碼,連按兩下您所儲存的.vbs 檔案。
注意事項
-
此程序中的指令碼會使用Const SE_VPS_VALUE屬性的預設值為2 。您可以變更此值,根據下列選項︰
-
如果您設定Const SE_VPS_VALUE = 0,網域的 NETBIOS 名稱用於網域名稱。例如︰
使用者︰ FirstName.LastName
領域︰ MyCompany -
如果您設定Const SE_VPS_VALUE = 1、 使用者主要名稱 (UPN) 用於使用者名稱,以及網域名稱用於 FQDN。例如︰
使用者︰ FirstName.LastName@MyCompany.EMEA.INTRA
領域︰ MyCompany.EMEA.INTRA -
如果您設定Const SE_VPS_VALUE = 2,FQDN 用於網域名稱。例如︰
使用者︰ FirstName.LastName
領域︰ MyCompany.EMEA.INTRA -
如果您設定Const SE_VPS_VALUE = 3,FQDN 用於網域名稱。例如︰
使用者︰ FirstName.LastName
領域︰ MyCompany.EMEA.INTRA
-
-
這個新的選項,此更新所加入的產生輸出的第二個 [清單] 選項中,與相同,但是擷取網域資訊,而非使用者的 UPN 格式使用"DS_CANONICAL_NAME"。
參考
深入了解 Microsoft 會使用來描述軟體更新術語。
