狀況

請考慮下列情況:

  • 您發佈網頁伺服器,並驗證 Microsoft Forefront 威脅管理閘道 (TMG) 2010年環境中的所有要求。

  • 您可以設定驗證委派為 Kerberos 限制委派 (KCD)。

  • 您可以使用960146更新程式來變更使用者名稱及網域名稱格式用於 KCD 的 Kerberos 票證。

  • 您可以將 [ Const SE_VPS_VALUE設定為2 ,以取得完整格式的網域名稱 (FQDN)。例如,您可以在此使用使用下列設定︰

    使用者︰ FirstName.LastName 的領域︰ MyCompany.EMEA.INTRA

在這個案例中,如果使用者主要名稱 (UPN) 的網域部分不符合實際的網域,就會失敗的 KCD。例如,如果使用者是使用者︰ FirstName.LastName EMEA 網域,但使用者 UPN 的FirstName.LastName@MyCompany,但卻 MyCompany 網域不存在,如果 KCD 委派。這是因為 TMG 嘗試連絡 MyCompany 網域。

原因

之所以發生這個問題,是因為 TMG 委派單元用來處理網域的方式,建立委派要求的驗證期間所擷取的使用者名稱資訊。

解決方案

若要解決這個問題,安裝的 Forefront 威脅管理閘道 (TMG) 2010 Service Pack 2 的彙總套件 5

狀態

Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。

更多的資訊

這項更新會新增新的選項 (Const SE_VPS_VALUE = 3) 來更新 960146。

若要套用此更新程式,請依照下列步驟執行︰

  1. 下載 < 解決方案=""> 一節中所提及的彙總套件 5 套件。

  2. 在所有的 TMG 伺服器電腦上安裝 hotfix 彙總套件。

  3. 啟動 Windows [記事本]。

  4. 從 960146 的更新,複製指令碼,然後貼入 [記事本] 中的指令碼。

  5. 在第 3 行 (Const SE_VPS_VALUE = 2),將值從2變更為3

  6. 使用.vbs 副檔名,檔案儲存至其中一個 TMG 2010 伺服器。例如,檔案名稱,如下所示︰

    TMG2010UseFQDNInKerberosTicket.vbs

  7. 若要執行指令碼,連按兩下您所儲存的.vbs 檔案。


注意事項

  • 此程序中的指令碼會使用Const SE_VPS_VALUE屬性的預設值為2 。您可以變更此值,根據下列選項︰

    • 如果您設定Const SE_VPS_VALUE = 0,網域的 NETBIOS 名稱用於網域名稱。例如︰

      使用者︰ FirstName.LastName
      領域︰ MyCompany

    • 如果您設定Const SE_VPS_VALUE = 1、 使用者主要名稱 (UPN) 用於使用者名稱,以及網域名稱用於 FQDN。例如︰

      使用者︰ FirstName.LastName@MyCompany.EMEA.INTRA
      領域︰ MyCompany.EMEA.INTRA

    • 如果您設定Const SE_VPS_VALUE = 2,FQDN 用於網域名稱。例如︰

      使用者︰ FirstName.LastName
      領域︰ MyCompany.EMEA.INTRA

    • 如果您設定Const SE_VPS_VALUE = 3,FQDN 用於網域名稱。例如︰

      使用者︰ FirstName.LastName
      領域︰ MyCompany.EMEA.INTRA

  • 這個新的選項,此更新所加入的產生輸出的第二個 [清單] 選項中,與相同,但是擷取網域資訊,而非使用者的 UPN 格式使用"DS_CANONICAL_NAME"。

參考

深入了解 Microsoft 會使用來描述軟體更新術語

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對語言品質的滿意度如何?
以下何者是您會在意的事項?

感謝您的意見反應!

×