Bereitstellungsanleitung für Sicherheitsupdate 2638420, wie in MS11-100 beschrieben
Zusammenfassung
Das Sicherheitsupdate 2638420 (beschrieben im Sicherheitsbulletin MS11-100) ändert die Art und Weise, wie ASP.NET Formularauthentifizierungstickets erstellt. Das neue Verhalten ist mit dem vorherigen Verhalten nicht kompatibel. Tickets, die mit dem neuen Verhalten generiert werden, können nicht von Servern gelesen werden, die das alte Verhalten verwenden, und umgekehrt. Wenn Sie Anwendungen verwenden, die die Formularauthentifizierung verwenden, müssen Sie daher bei der Bereitstellung des Sicherheitsupdates 2638420 bestimmte Schritte unternehmen, um sicherzustellen, dass alle Server das neue Verhalten gleichzeitig verwenden.
Bereitstellungsanleitung
Aufgrund der Änderung des Ticketverhaltens müssen Administratoren, deren Anwendungen die Formularauthentifizierung verwenden, bei der Bereitstellung des Sicherheitsupdates 2638420 bestimmte Schritte unternehmen, um sicherzustellen, dass alle Server gleichzeitig auf das neue Verhalten umschalten.
Um festzustellen, ob Ihre Anwendung die Formularauthentifizierung verwendet, untersuchen Sie die Datei System.web. Anwendungen, die Formularauthentifizierung verwenden, verwenden den folgenden Eintrag in der Datei System.web:
<authentication mode="Forms">Notizen
Der Standardauthentifizierungsmodus ist „Windows".
ASP.NET verwendet die Formularauthentifizierung nur, wenn es explizit dafür konfiguriert ist.
Wenn Sie Anwendungen verwenden, die die Formularauthentifizierung verwenden, müssen Sie das Sicherheitsupdate 2638420 mithilfe einer der folgenden Methoden bereitstellen, um sicherzustellen, dass Ihre Websites weiterhin ordnungsgemäß funktionieren.
Methode 1
Stellen Sie das Sicherheitsupdate 2638420 gleichzeitig auf allen aktiven Servern in Ihrer ASP.NET-Webfarm bereit. Gehen Sie dazu folgendermaßen vor:
Entfernen Sie die Hälfte der Server in der Webfarm aus der Load-Balancer-Rotation.
Installieren Sie das Update auf diesen Servern.
Fügen Sie die Server wieder der Rotation hinzu und schalten Sie gleichzeitig die verbleibenden Server zur Aktualisierung offline.
Methode 2
Wenn Sie das Sicherheitsupdate 2638420 nicht gleichzeitig auf allen Servern in Ihrer Webfarm bereitstellen können, verwenden Sie stattdessen diese Methode.
Hinweis: Wir empfehlen diese Methode nicht. Wenn Sie diesen Schalter festlegen, können Sie das Sicherheitsupdate auf einigen Servern in der Webfarm installieren und weiterhin mit dem alten Verhalten arbeiten. Allerdings befinden sich Server, die diesen Konfigurationsschalter verwenden, in einem unsicheren Zustand und profitieren nicht von allen Korrekturen im Sicherheitsupdate. Daher sollte der Konfigurationsschalter entfernt werden, um das neue sichere Verhalten zu aktivieren, sobald das Sicherheitsupdate 2638420 auf allen Servern in der Webfarm bereitgestellt wird.
Legen Sie vor der Installation des Sicherheitsupdates 2638420 einen Kompatibilitätsschalter in der Datei Web.config oder Machine.config fest, um das alte Verhalten bei der Installation des Updates zu erzwingen. Gehen Sie dazu folgendermaßen vor:
Öffnen Sie entweder die Datei Web.config oder die Datei Machine.config mit einem Texteditor wie Notepad.
Fügen Sie der Datei den folgenden Text hinzu und speichern Sie die Datei:
<appSettings>
<add key="aspnet:UseLegacyFormsAuthenticationTicketCompatibility" value="true" />
</appSettings>Sie müssen den Computer oder andere Dienste nicht neu starten, nachdem Sie die Dateien „Web.config" oder „Machine.config" aktualisiert und anschließend gespeichert haben. Die Benachrichtigung über Konfigurationsänderungen führt den Anwendungspool automatisch durch.
Sie finden die Web.config-Dateien an den folgenden Speicherorten:
.NET Framework-Versionen 4.0 bis 4.5
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config\Web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\Web.config .NET Framework Versionen 2.0 – 3.5 SP1
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\Web.config
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\Web.config Auf einem 32-Bit-Computer ist nur der Framework-Ordner vorhanden. Auf einem 64-Bit-Computer sind sowohl der Framework- als auch der Framework64-Ordner vorhanden. Wenn Sie also über 32-Bit- und 64-Bit-Anwendungspools verfügen, auf denen eine Mischung aus CLR 2 und CLR 4 ausgeführt wird, müssen Sie den Eintrag zu allen vier dieser Dateien hinzufügen.
Wenn Sie diesen Konfigurationsdateien auch den Eintrag <appSettings> hinzufügen, wird die Änderung systemweit angewendet.
Bekannte Probleme
Die Ticketentschlüsselung schlägt nach der Installation des Sicherheitsupdates 2638420 fehl
Nachdem das neue Ticketverhalten aktiviert wurde, werden alle Formularauthentifizierungstickets, die mit dem alten Verhalten generiert wurden, ungültig. Wenn dieses Problem auftritt, werden Endbenutzer abgemeldet und bei Serveradministratoren kann es zu Fehlern bei der Ticket-Entschlüsselung kommen.
Außerdem wird die folgende Fehlermeldung im Ereignisprotokoll protokolliert:Protokollname: Anwendung
Ereignis-ID: 1315
Ereigniscode: 4005
Ereignismeldung: Formularauthentifizierung für die Anfrage fehlgeschlagen. Grund: Das gelieferte Ticket war ungültig.
Diese Fehler können zu unerwartetem Verhalten führen. Beispielsweise können die Fehler „HTTP 401" oder „HTTP 302" auftreten, wenn die Webseiten durch ein <authorization>-Element geschützt sind.
Nach der Installation des Sicherheitsupdates 2638420 müssen Administratoren damit rechnen, dass mehrere dieser Ticketentschlüsselungsfehler auftreten, da zuvor generierte Tickets abgelaufen sind. Die Anzahl und Häufigkeit von Ausfällen sollte mit der Zeit abnehmen, wenn neue Tickets generiert werden. Wenn Entschlüsselungsfehler über einen längeren Zeitraum nach der Installation des Sicherheitsupdates bestehen bleiben, kann dies darauf hindeuten, dass einige Server in der Webfarm immer noch das alte Ticketverhalten verwenden. Das Problem kann beispielsweise auftreten, wenn eine der folgenden Bedingungen zutrifft:Ein oder mehrere Server werden nicht mit dem Sicherheitsupdate 2638420 aktualisiert.
Bei einem oder mehreren ist der genannte Kompatibilitätsschalter eingestellt. Der Kompatibilitätsschalter wird weiter oben in diesem Artikel beschrieben.
Mehr Informationen
Der TicketCompatibilityMode-Konfigurationsschalter wird nicht mehr unterstützt
Da das Sicherheitsupdate 2638420 das Format von Formularauthentifizierungstickets ändert, wird der Konfigurationsschalter <forms/ticketCompatibilityMode> nicht mehr unterstützt, wenn das Sicherheitsupdate 2638420 installiert und aktiviert ist.
Weitere Informationen zum Konfigurationsschalter <forms/ticketCompatibilityMode> finden Sie auf der folgenden MSDN-Website:
No comments:
Post a Comment