locked
User Credential Caching RRS feed

  • Frage

  • Hallo,

    zur Zeit setzen wir den Forefront TMG 2010 SP1 Server als reine Proxy Lösung ein (Standalone) .

    Auf Grund einer gewissen Anforderung ist es notwendig, dass User nur ins Internet dürfen, wenn
    sie in einer bestimmten AD Gruppe existieren. Dies stellt auch soweit kein Problem dar.

    Leider dauert es allerdings 5 Minuten bis der Forefront Server mitbekommt, das der User in der AD Gruppe vorhanden ist. Aus gewissen Gründen, können wir den User aber nicht 5 Minuten warten lassen, bis er ins Internet darf. Eine Wartezeit von max. 30 Sekunden wäre ok. Zur Authentifizierung wird "Basic Authentication" verwendet, da wir noch eine Menge Clients haben, die nicht in der Domäne sind.

    Die Frage ist also, wie und wo kann man das Zeitintervall einstellen, in dem der Proxy die User Credentials cacht - falls es überhaupt am Forefront liegt. Habe bereits die AD, AD-LDS Replikation in Verdacht. Diese steht aber standardmäßig auf 180 Sekunden (laut ADSI). Kenne mich leider mit AD-LDS nicht aus.

    Hat vielleicht hierzu jemand eine Idee, oder kann erklären wie ich das Replikationsintervall zwischen AD und AD-LDS korrekt einstellen kann?

    Vielen Dank
    Alex
    Dienstag, 26. Juli 2011 10:34

Antworten

  • Hi,

    der Timeout-Wert für das gecachte Credential lässt sich mit folgendem Skript ändern:

     ' Das Netzwerk für welches der Timeout geändert werden soll
     const network = "Intern" 
    
     ' Der neue Timeout Wert in Sekunden
     const timeout = 30 
    
     set objFPC = CreateObject("FPC.Root")
     set objARR = objFPC.GetContainingArray() 
    
     set objNET = ObjARR.NetworkConfiguration.Networks.Item(network).WebListenerProperties
    
     wscript.echo "Alter Timeout-Wert: " & objNET.ClientCredentialsTimeout
    
     objNET.ClientCredentialsTimeout = timeout
    
     wscript.echo "Neuer Timeout-Wert: " & objNET.ClientCredentialsTimeout
    
     objArr.Save

    Einfach das Skript kopieren und nach timeout.vbs auf dem TMG abspeichern. Anschließend in einer Eingabeaufforderung über cscript timeout.vbs aufrufen und dann warten bis die Konfiguration übernommen wurde.

    Versuchts mal, ob's damit klappt. Konnte es auf die schnelle jetzt nicht weiter testen und kann dir somit auch nicht sagen, welche Auswirkungen das sonst noch haben könnte.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    • Als Antwort markiert Marc.Grote Dienstag, 26. Juli 2011 15:54
    Dienstag, 26. Juli 2011 13:33

Alle Antworten

  • Hi,

    mit dem Replikationsintervall zwischen AD-DS und AD-LDS hat das nichts zu tun. Die AD-LDS wird nur zur Speicherung der TMG Konfiguration verwendet. User Abfragen erfolgen Online gegen das AD-DS (GC oder DC).
    Credential Caching ist standardmaessig ausgestellt:
    http://technet.microsoft.com/en-us/library/bb794722.aspx
    Das es einige Minuten dauert, ist aus meiner Sicht normal und ich wuesste nicht wie man das beeinflussen kann, ausser den TMG Control Service neu zu starten.
    Moeglich waere es, dass man in den TMG Storage rein schaut und dort einen Wert setzt:
    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Storage-101.html
    Welcher Wert das sein koennte (sofern es ueberhaupt moeglich ist) entzieht sich meiner Kenntnis.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 26. Juli 2011 10:52
  • Hi Alex,

    TMG speichert da eigentlich nichts zwischen und im AD-LDS wird nur die Konfiguration zwischengespeichert. Für mich hört sich das irgendwie nach Replikation zwischen den DCs an. Wenn sich der TMG z.B. DC1 als Authentifizierungsserver auswählt und du die Änderung an DC2 machst, dann muss das erstmal zum DC1 repliziert werden.

    Hier kann man sicherlich etwas am Replizierungszeitplan schrauben, aber ob das so sinnvoll ist?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 26. Juli 2011 10:54
  • Hallo,

     

    danke für die schnellen Antworten. Habe einmal einen User der Gruppe hinzugefügt und den TMG Control Service neugestatet. Danach funktionierte der Internetzugriff sofort. Also liegt es wohl doch am Forefront.

    Hatte auch schon den Verdacht, dass es an der DC Replikation liegt, bzw. das der Forefront Server einen DC an einem anderen Standort fragt. Dem ist aber nicht so. Er fragt nur die DC am gleichen Standort ab. Diese replizieren sofort.

     

    Gruß,

    Alex

    Dienstag, 26. Juli 2011 11:33
  • Hi Alex,

    hab gerade das hier gefunden:

    http://technet.microsoft.com/en-us/library/cc441639.aspx

    "You can enable credential caching in Web listener properties. This feature is enabled by default and caches credentials for 300 seconds. "

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 26. Juli 2011 12:22
  • Hi,

    der Timeout-Wert für das gecachte Credential lässt sich mit folgendem Skript ändern:

     ' Das Netzwerk für welches der Timeout geändert werden soll
     const network = "Intern" 
    
     ' Der neue Timeout Wert in Sekunden
     const timeout = 30 
    
     set objFPC = CreateObject("FPC.Root")
     set objARR = objFPC.GetContainingArray() 
    
     set objNET = ObjARR.NetworkConfiguration.Networks.Item(network).WebListenerProperties
    
     wscript.echo "Alter Timeout-Wert: " & objNET.ClientCredentialsTimeout
    
     objNET.ClientCredentialsTimeout = timeout
    
     wscript.echo "Neuer Timeout-Wert: " & objNET.ClientCredentialsTimeout
    
     objArr.Save

    Einfach das Skript kopieren und nach timeout.vbs auf dem TMG abspeichern. Anschließend in einer Eingabeaufforderung über cscript timeout.vbs aufrufen und dann warten bis die Konfiguration übernommen wurde.

    Versuchts mal, ob's damit klappt. Konnte es auf die schnelle jetzt nicht weiter testen und kann dir somit auch nicht sagen, welche Auswirkungen das sonst noch haben könnte.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    • Als Antwort markiert Marc.Grote Dienstag, 26. Juli 2011 15:54
    Dienstag, 26. Juli 2011 13:33
  • Hallo Chrisitian,

    dein Skript hat funktioniert!!

    Ich hatte auch schon gesehen das man den Cache über den Weblistener einstellen konnte. Hatte dies auch ausprobiert, aber wohl irgendetwas übersehen oder falsch gemacht. Da wir diese Funktion nicht benötigen, hatte ich mir das aber auch nicht näher angesehen.

    Auf jeden Fall unglücklich, dass man diese Funktion nur über den Weblistener einstellen kann.

     

    Vielen Dank für eure super schnelle Unterstützung.

     

    Gruß,

    Alex

    Dienstag, 26. Juli 2011 15:48