Главная > ISA Server, Security > Аутентификация на Microsoft ISA Server 2006 в окружении с несколькими доменами Active Directory

Аутентификация на Microsoft ISA Server 2006 в окружении с несколькими доменами Active Directory

29 июля 2008 Артём Синицын Написать комментарий К комментариям

Довольно-таки часто продукт Microsoft ISA Server 2006 приходится внедрять в окружении с несколькими доменами, принадлежащими одному лесу Active Directory. При этом сам сервер с ISA Server является членом одного из доменов.

“Ну и что тут странного?” – удивится читатель. ISA Server 2006 совершенно свободно интегрируется в подобного рода окружение. И я вынужден согласиться, ведь так оно и есть. Но в жизни постоянно, повторюсь, постоянно возникают из ряда вон выходящие ситуации.

И этот сценарий – не исключение. При публикации внутреннего веб-сайта посредством ISA Server 2006 в описанном выше окружении могут возникнуть неожиданные проблемы.

Опишем сценарий более подробно:
1) Ваше окружение представляет собой лес Active Directory с несколькими доменами (положим DomainA и DomainB);
2) Сервер c ISA Server 2006 (Standard/Enterprise Edition) является членом одного из доменов (положим домена DomainA);
3) Посредством ISA Server 2006 публикуется веб-сайт, распроложенный во внутренней сети;
4) В качестве метода аутентификации пользователей испольуются HTML-формы (Forms-Based Authentication), а также в конфигурации Web Listener включена опция, разрешающая пользователям изменять свои пароли (Allow users to change their passwords);
5) Пользовательские учетные записи дублируются в двух и более доменах. То есть в разных доменах существуют учетные записи пользователя с одинаковыми именами – DomainA\User и DomainB\User;
6) Одна из таких учетных записей пользователя отключена (положим это запись DomainA\User);

При попытке входа на опубликованный веб-узел с использованием учетной записи DomainB\User пользователь получит следующее сообщение об ошибке:
Your account has been disabled. Please contact technical support for your organization.
Нужно ли говорить, что эта попытка входа не увенчается успехом?

Причиной такого поведения является тот факт, что ISA Server в процессе аутентификации пользовательского запроса в первую очередь ищет учетную запись пользователя с указанным именем в собственном домене (в нашем случае это DomainA). И находит, не взирая на то, что это не та учетная запись (пользователь при входе указывает учетную запись из другого домена DomainB).

Компания Microsoft признала, что данная проблема относится к обеим редакциям продукта Microsoft ISA Server 2006. В качестве решения предлагается установить Microsoft ISA Server 2006 Service Pack 1 и запустить специальный vbs-скрипт.

Более подробно разрешение данной ситуации приведено в статье базы знаний:
You cannot log on to a local intranet site that you publish by using ISA Server 2006 when there are multiple user accounts that have the same account name in different domains.

Related Posts

  1. Первый баг Microsoft ISA Server 2006 SP1
  2. Свежая пара багов Microsoft ISA Server 2006 SP1
  3. Microsoft ISA Server 2006 Service Pack 1 увидел свет
  4. Назад в прошлое с Microsoft ISA Server 2006 SP1
  5. Установка ISA Server 2006 SP1 на ознакомительные версии продукта
Categories: ISA Server, Security Tags: , ,
  1. Пока что нет комментариев.
  1. Пока что нет уведомлений.
Введите символы, показанные на картинке
*