Riepilogo
Queste note sulla versione indirizzi recenti problemi che sono correlati a Microsoft Forefront Unified Access Gateway (UAG) 2010. Prima di installare Forefront Unified Access Gateway (UAG), è necessario leggere le informazioni contenute in questo documento. In questo articolo contiene le seguenti informazioni sull'aggiornamento:
-
Nuove funzionalità e miglioramenti inclusi in questo aggiornamento
-
Problemi risolti nell'aggiornamento
-
Come ottenere questo aggiornamento
-
Prerequisiti per l'installazione di questo aggiornamento
-
Problemi noti
Introduzione
In questo articolo descrive aggiornamento 2 per Forefront UAG 2010 e fornisce le istruzioni di installazione. Update 2 per Forefront UAG 2010 offre le seguenti funzionalità:
-
Miglioramento di componenti client: Il componente Forefront UAG applicazione Tunneling SSL (Socket server d'inoltro) è ora supportato in Windows Vista e Windows 7 sistemi operativi a 64 bit per le applicazioni a 32 bit. Vedere la tabella seguente per informazioni dettagliate e #3 per ulteriori informazioni in uscita.
Funzionalità
Windows XP a 32 bit
Windows Vista 32 bit
Windows Vista 64-bit
Windows 7 a 32 bit
Windows 7 a 64 bit
Mac o Linux
Installazione offline
Sì
Sì
Sì
Sì
Sì
No
Installazione online
Sì
Sì
Sì
Sì
Sì
Sì
Rilevamento di endpoint
Sì
Sì
Sì
Sì
Sì
Sì
Tergicristallo allegato
Sì
Sì
Sì
Sì
Sì
Sì
Componente di Tunneling SSL
Sì
Sì
Sì
Sì
Sì
Sì
Socket server d'inoltro
Sì
Sì
Sì
Sì
Sì
No
Tunneling SSL applicazione (Connettore di rete)
Sì
Sì
Sì
No
No
No
Nota: Per informazioni specifiche su browser, sistemi operativi e componenti Client funzionalità e compatibilità, visitare la seguente pagina Web Microsoft TechNet:
Introduzione ai requisiti di sistema per gli endpoint di Forefront UAG
-
Virtual Desktop Infrastructure (VDI): Forefront UAG supporta la pubblicazione di desktop remoto tramite lo scenario desktop personale dell'infrastruttura VDI.
-
Citrix supporto di pubblicazione: Forefront UAG supporta Citrix Presentation Server 4.5 e il suo sostituto Citrix XenApp 5.0.
-
Il supporto di Computer Client Citrix: Forefront UAG supporta Windows Vista e Windows 7 computer con sistemi operativi a 64 bit accesso alle applicazioni Citrix XenApp dove il client XenApp è a 32 bit. Per ulteriori informazioni, vedere problema #4 qui di seguito.
-
Utente SSTP e gruppo di controllo dell'accesso: Forefront UAG ora fornisce un meccanismo di autorizzazione più preciso consentendo agli amministratori di autorizzare i singoli gruppi per l'accesso SSTP.
-
Handshake SSL: Forefront UAG fornisce ora la gestione efficiente di handshake SSL tra server web pubblicato e UAG.
-
La delega di certificati client: Forefront UAG ora aggiunge il supporto limitato per le applicazioni in cui il server di applicazioni richiede le credenziali del certificato client per la negoziazione.
-
Il supporto di indirizzi MAC di connettore di rete: Connettore di rete di Forefront UAG Server supporta una vasta gamma di schede di rete con un intervallo di indirizzi MAC espanso.
Per ulteriori informazioni sulle nuove funzionalità di aggiornamento 2 per Forefront UAG 2010, vedere la sezione "Che cos'è nuovo in Forefront UAG" nella seguente pagina Web Microsoft:
Introduzione alla valutazione del prodotto che si applica a Forefront UAG
Ulteriori informazioni
Informazioni sull'aggiornamento
Il seguente file è disponibile per il download da Microsoft Download Center:
Download del pacchetto di aggiornamento di Forefront Unified Access Gateway (UAG) 2.
Per ulteriori informazioni su come scaricare i file di supporto Microsoft, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
119591 come ottenere file di supporto Microsoft dai servizi onlineMicrosoft ha analizzato questo file per individuare eventuali virus. Microsoft ha utilizzato il software antivirus più recente disponibile alla data in cui il file è stato registrato. Il file è archiviato in un server con protezione avanzata che impedisce modifiche non autorizzate al file.
Prerequisiti
Questo aggiornamento è cumulativo e può essere applicato per gli accessori, i server o macchine virtuali che eseguono le seguenti versioni di UAG 2010:
-
UAG 2010 (RTM)
-
UAG 2010 Update 1
-
Pacchetto di Hotfix Rollup 1 UAG 2010 Update 1
Per ulteriori informazioni sull'aggiornamento UAG 1, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:
Descrizione di 981323 dell'aggiornamento 1 per il Gateway di accesso unificato 2010Per ulteriori informazioni sul pacchetto di hotfix UAG dell'aggiornamento cumulativo 1 1, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:
981932 descrizione del pacchetto hotfix Rollup 1 per Unified Access Gateway 2010 Update 1
Note sull'installazione
Ordine di installazione quando si utilizza un array di server UAG
-
Installare l'aggiornamento 2 sulla gestione di array prima.
-
Riavviare il computer.
-
Attivare la configurazione UAG.
-
Attendere che la configurazione per la sincronizzazione.
-
Installare l'aggiornamento 2 il primo membro di matrice non-manager.
-
Riavviare il computer.
-
Ripetere per tutti i restanti membri di matrice.
Nota: Se necessario, la disinstallazione dell'aggiornamento 2 dovrebbe essere condotti in ordine inverso.
Richiesta di riavvio
In scenari non matrice, non è necessario riavviare il computer dopo avere applicato questo pacchetto di aggiornamento. Dopo aver installato il pacchetto di aggiornamento, è necessario attivare la configurazione UAG. Si noti che si esegue l'attivazione UAG terminare tutte le connessioni SSL Tunneling di applicazione esistente sul server UAG.
Negli scenari di matrice è necessario riavviare. La procedura di installazione di matrice sopra è necessaria per una corretta distribuzione dell'aggiornamento quando si utilizza una matrice, impossibilità di eseguire la procedura può causare il danneggiamento della matrice e la perdita della configurazione.
Informazioni sulla sostituzione dell'aggiornamento rapido
Questo hotfix non sostituisce un aggiornamento rapido precedentemente rilasciato.
Informazioni di disinstallazione
Per disinstallare questo aggiornamento, utilizzare uno dei seguenti metodi:
-
Accedere come amministratore incorporato e quindi si disinstalla l'aggiornamento utilizzando l'applet programmi e funzionalità nel Pannello di controllo.
-
Digitare il seguente comando da un prompt dei comandi con privilegi elevati e quindi premere INVIO:
msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}
Informazioni sui file
La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella riportata di seguito. Le date e ore dei file sono elencate in base al formato UTC (Coordinated Universal Time Coordinated). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e ora locale, utilizzare la scheda fuso orario nell'elemento di data e ora nel Pannello di controllo.
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Agent_win_helper.jar |
Non applicabile |
1,286,015 |
30-Aug-2010 |
13:12 |
Non applicabile |
Clientconf.xml |
Non applicabile |
6,675 |
15-Sep-2010 |
06:41 |
Non applicabile |
Configdatacomlayer.dll |
4.0.1269.200 |
192,400 |
15-Sep-2010 |
08:13 |
x64 |
Configdatalayer.dll |
4.0.1269.200 |
3,871,632 |
15-Sep-2010 |
08:06 |
x64 |
Configmgrcom.exe |
4.0.1269.200 |
199,568 |
15-Sep-2010 |
08:01 |
x64 |
Configmgrcomlayer.dll |
4.0.1269.200 |
2,246,032 |
15-Sep-2010 |
08:15 |
x64 |
Configmgrcore.dll |
4.0.1269.200 |
1,375,632 |
15-Sep-2010 |
08:23 |
x64 |
Configmgrinfra.dll |
4.0.1269.200 |
1,599,888 |
15-Sep-2010 |
08:12 |
x64 |
Configmgrlayer.dll |
4.0.1269.200 |
215,440 |
15-Sep-2010 |
08:05 |
x64 |
Configuration.exe |
4.0.1269.200 |
8,920,976 |
15-Sep-2010 |
08:22 |
x64 |
Detection.js |
Non applicabile |
14,591 |
15-Sep-2010 |
07:20 |
Non applicabile |
Https_whlfiltappwrap_forpor |
Non applicabile |
60,961 |
15-Sep-2010 |
07:19 |
Non applicabile |
Http_whlfiltappwrap_forport |
Non applicabile |
59,475 |
15-Sep-2010 |
07:19 |
Non applicabile |
Install.js |
Non applicabile |
11,218 |
15-Sep-2010 |
07:20 |
Non applicabile |
Installanddetect.asp |
Non applicabile |
12,067 |
15-Sep-2010 |
07:20 |
Non applicabile |
Internalerror.asp |
Non applicabile |
8,344 |
15-Sep-2010 |
07:20 |
Non applicabile |
Internalerror.inc |
Non applicabile |
24,402 |
15-Sep-2010 |
07:20 |
Non applicabile |
Login.asp |
Non applicabile |
24,183 |
15-Sep-2010 |
07:20 |
Non applicabile |
Logoffmsg.asp |
Non applicabile |
7,705 |
30-Aug-2010 |
13:11 |
Non applicabile |
Microsoft.uag.da.messages.d |
4.0.1269.200 |
33,680 |
15-Sep-2010 |
08:14 |
x64 |
Microsoft.uag.transformer.c |
4.0.1269.200 |
6,297,488 |
15-Sep-2010 |
08:02 |
x86 |
Monitormgrcom.exe |
4.0.1269.200 |
151,952 |
15-Sep-2010 |
08:01 |
x64 |
Monitormgrcore.dll |
4.0.1269.200 |
740,240 |
15-Sep-2010 |
08:23 |
x64 |
Monitormgrlayer.dll |
4.0.1269.200 |
354,192 |
15-Sep-2010 |
08:12 |
x64 |
Policy.xml |
Non applicabile |
80,244 |
17-Oct-2010 |
12:16 |
Non applicabile |
Policydefinitions.xml |
Non applicabile |
61,516 |
15-Sep-2010 |
07:15 |
Non applicabile |
Redirecttoorigurl.asp |
Non applicabile |
1,423 |
30-Aug-2010 |
13:11 |
Non applicabile |
Repairinstallation.vbs |
Non applicabile |
3,044 |
30-Aug-2010 |
13:12 |
Non applicabile |
Ruleset_forinternalsite.ini |
Non applicabile |
47,019 |
30-Aug-2010 |
13:11 |
Non applicabile |
Sessionmgrcom.exe |
4.0.1269.200 |
233,872 |
15-Sep-2010 |
08:24 |
x64 |
Sessionmgrcomlayer.dll |
4.0.1269.200 |
1,641,360 |
15-Sep-2010 |
08:02 |
x64 |
Sessionmgrcore.dll |
4.0.1269.200 |
738,192 |
15-Sep-2010 |
08:01 |
x64 |
Sessionmgrinfra.dll |
4.0.1269.200 |
1,197,968 |
15-Sep-2010 |
08:22 |
x64 |
Sessionmgrlayer.dll |
4.0.1269.200 |
200,592 |
15-Sep-2010 |
08:04 |
x64 |
Sfhlprutil.cab |
Non applicabile |
57,194 |
15-Sep-2010 |
08:35 |
Non applicabile |
Shareaccess.exe |
4.0.1269.200 |
492,944 |
15-Sep-2010 |
08:12 |
x64 |
Sslbox.dll |
4.0.1269.200 |
58,768 |
15-Sep-2010 |
08:14 |
x64 |
Sslvpntemplates.xml |
Non applicabile |
28,704 |
30-Aug-2010 |
13:12 |
Non applicabile |
Sslvpn_https_profiles.xml |
Non applicabile |
968 |
17-Oct-2010 |
12:16 |
Non applicabile |
Uagqec.cab |
Non applicabile |
64,842 |
15-Sep-2010 |
08:36 |
Non applicabile |
Uagqessvc.exe |
4.0.1269.200 |
207,760 |
15-Sep-2010 |
08:04 |
x64 |
Uagrdpsvc.exe |
4.0.1269.200 |
144,272 |
15-Sep-2010 |
08:14 |
x64 |
Uninstalluagupdate.cmd |
Non applicabile |
212 |
15-Sep-2010 |
08:41 |
Non applicabile |
Usermgrcom.exe |
4.0.1269.200 |
119,184 |
15-Sep-2010 |
08:01 |
x64 |
Usermgrcore.dll |
4.0.1269.200 |
837,008 |
15-Sep-2010 |
08:01 |
x64 |
Whlasynccomm.dll |
4.0.1269.200 |
107,408 |
15-Sep-2010 |
08:14 |
x64 |
Whlcache.cab |
Non applicabile |
265,768 |
15-Sep-2010 |
08:36 |
Non applicabile |
Whlclientsetup-all.msi |
Non applicabile |
2,964,992 |
15-Sep-2010 |
08:22 |
Non applicabile |
Whlclientsetup-basic.msi |
Non applicabile |
2,964,992 |
15-Sep-2010 |
08:01 |
Non applicabile |
Whlclientsetup-networkconne |
Non applicabile |
2,965,504 |
15-Sep-2010 |
08:04 |
Non applicabile |
Whlclientsetup-networkconne |
Non applicabile |
2,965,504 |
15-Sep-2010 |
08:03 |
Non applicabile |
Whlclientsetup-socketforwar |
Non applicabile |
2,964,992 |
15-Sep-2010 |
08:24 |
Non applicabile |
Whlclntproxy.cab |
Non applicabile |
242,713 |
15-Sep-2010 |
08:35 |
Non applicabile |
Whlcompmgr.cab |
Non applicabile |
689,483 |
15-Sep-2010 |
08:35 |
Non applicabile |
Whlcppinfra.dll |
4.0.1269.200 |
669,584 |
15-Sep-2010 |
08:23 |
x64 |
Whldetector.cab |
Non applicabile |
263,764 |
15-Sep-2010 |
08:36 |
Non applicabile |
Whlfiltappwrap.dll |
4.0.1269.200 |
315,280 |
15-Sep-2010 |
14:02 |
x64 |
Whlfiltappwrap_http.xml |
Non applicabile |
59,475 |
15-Sep-2010 |
13:19 |
Non applicabile |
Whlfiltappwrap_https.xml |
Non applicabile |
60,961 |
15-Sep-2010 |
13:19 |
Non applicabile |
Whlfiltauthorization.dll |
4.0.1269.200 |
311,696 |
15-Sep-2010 |
14:23 |
x64 |
Whlfilter.dll |
4.0.1269.200 |
589,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote.dll |
4.0.1269.200 |
1,037,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote_http.xm |
Non applicabile |
77,404 |
30-Aug-2010 |
13:11 |
Non applicabile |
Whlfiltsecureremote_https.x |
Non applicabile |
80,308 |
17-Oct-2010 |
12:16 |
Non applicabile |
Whlfirewallinfra.dll |
4.0.1269.200 |
444,816 |
15-Sep-2010 |
08:13 |
x64 |
Whlgenlib.dll |
4.0.1269.200 |
511,376 |
15-Sep-2010 |
08:04 |
x64 |
Whlglobalutilities.dll |
4.0.1269.200 |
106,384 |
15-Sep-2010 |
08:05 |
x64 |
Whlinstallanddetect.inc |
Non applicabile |
4,476 |
30-Aug-2010 |
13:11 |
Non applicabile |
Whlio.cab |
Non applicabile |
167,277 |
15-Sep-2010 |
08:35 |
Non applicabile |
Whlioapi.dll |
4.0.1269.200 |
76,176 |
15-Sep-2010 |
08:04 |
x64 |
Whliolic.dll |
4.0.1269.200 |
15,760 |
15-Sep-2010 |
08:22 |
x64 |
Whlios.exe |
4.0.1269.200 |
137,104 |
15-Sep-2010 |
08:24 |
x64 |
Whllln.cab |
Non applicabile |
167,095 |
15-Sep-2010 |
08:36 |
Non applicabile |
Whlllnconf1.cab |
Non applicabile |
6,521 |
15-Sep-2010 |
08:35 |
Non applicabile |
Whlllnconf2.cab |
Non applicabile |
6,610 |
15-Sep-2010 |
08:36 |
Non applicabile |
Whlllnconf3.cab |
Non applicabile |
6,599 |
15-Sep-2010 |
08:35 |
Non applicabile |
Whltrace.cab |
Non applicabile |
254,352 |
15-Sep-2010 |
08:36 |
Non applicabile |
Whltsgauth.dll |
4.0.1269.200 |
184,208 |
15-Sep-2010 |
08:02 |
x64 |
Whltsgconf.dll |
4.0.1269.200 |
87,440 |
15-Sep-2010 |
08:22 |
x64 |
Whlvaw_srv.dll |
4.0.1269.200 |
138,128 |
15-Sep-2010 |
08:05 |
x64 |
Wioconfig.dll |
4.0.1269.200 |
496,528 |
15-Sep-2010 |
08:01 |
x64 |
Problemi risolti inclusi in questo aggiornamento
Questo aggiornamento risolve i seguenti problemi non precedentemente documentati in alcun articolo della Microsoft Knowledge Base.
Problema 1
Sintomo
Gli amministratori richiedono controllo granulare degli accessi per i client di rete privata virtuale (VPN) Secure Socket Tunneling Protocol (SSTP). Tuttavia, la configurazione di SSTP su UAG crea una sola regola di accesso che fornisce l'accesso del client VPN per l'intera rete interna.
In base al testo seguito da http://technet.microsoft.com/en-us/library/ee522953.aspx, è supportato per utilizzare la console Threat Management Gateway (TMG) per creare regole che consentono il controllo di accesso granulare per l'accesso VPN SSTP:
"Creazione di regole di accesso utilizzando la console di gestione di Forefront TMG, allo scopo di limitare gli utenti, gruppi e reti per l'accesso granulare durante la distribuzione di Forefront UAG per l'accesso remoto VPN."
Tuttavia, quando gli amministratori creano le regole di accesso per limitare l'accesso utente, queste regole sono rimossi o spostate nella parte inferiore del criterio di accesso dopo l'attivazione UAG. Ciò significa che la regola predefinita ha la precedenza e il controllo granulare configurato viene perso.
Causa
Questo problema è causato da una limitazione nella progettazione dell'integrazione tra UAG e le regole generate dinamicamente che vengono distribuite in TMG durante l'attivazione UAG.
Risoluzione
Modifica manuale delle regole TMG per supportare il controllo di accesso granulare, come descritto sul sito TechNet viene ammortizzata (e non è più supportata dopo l'installazione dell'aggiornamento UAG 2) per il supporto esplicito di controllo granulare degli accessi nella console di gestione UAG.
Gli amministratori UAG ora possono attivare in modo esplicito l'accesso agli indirizzi di rete interno per gli utenti VPN SSTP che sono membri di determinati gruppi di Active Directory. Gli amministratori UAG devono utilizzare la nuova scheda Gruppi della finestra di dialogo Configurazione di Tunneling SSL rete per definire i criteri di accesso VPN IP granulari costituito da un insieme di regole di accesso. Ogni regola definisce un insieme di indirizzi IP di rete interna e gli intervalli di indirizzi IP che possono accedere i membri di un determinato gruppo di Active Directory durante la connessione alla VPN SSTP.
Problema 2
Sintomo
Supporto di Microsoft Virtual Desktop Infrastructure (VDI) in UAG non viene implementato completamente.
Causa
A causa di una UI UAG fuorviante, configurazioni problematiche e l'impossibilità di supportare l'autorizzazione più risorse diverso durante l'implementazione impedire VDI funziona correttamente.
Risoluzione
Abbiamo apportato un design cambia per aggiornare la UI UAG e supportare lo scenario Desktop personale di un'infrastruttura VDI con un'implementazione più affidabile. Scenario di VDI in pool di Desktop non è stato implementato e può essere implementato in un futuro aggiornamento di UAG.
Problema 3
Sintomo
Il componente Client UAG per SSL applicazione Tunneling (Socket server d'inoltro) non è supportato nella versione a 64 bit di Windows 7 e versione a 64 bit di Windows Vista.
Causa
Si tratta del comportamento previsto dei componenti client UAG prima del rilascio dell'aggiornamento UAG 2.
Risoluzione
Abbiamo fatto una progettazione modificare per risolvere il seguente scenario:
Esistono ampio insieme di applicazioni non web che utilizzano l'inoltro Socket UAG applicazione PPTP come metodo di pubblicazione. Ad esempio, tali applicazioni sono Citrix XenApps Presentation Server 4.5 e sono entrambi eseguiti come applicazioni ActiveX nel browser. Prima di questo aggiornamento, per limiti tecnici, si impedisce la distribuzione di tali metodi di pubblicazione su una versione a 64 bit dei sistemi operativi client. Pertanto, la stessa applicazione pubblicata che utilizza tali metodi può essere utilizzata da versione a 32 bit del client operativo systemss invece che da sistemi operativi a 64 bit.
La modifica apportata a questo scenario consiste nel fornire un metodo di distribuzione per il client di Socket di inoltro (SF) componenti nella versione a 64 bit dei sistemi operativi client di Windows per consentire l'apertura delle applicazioni di tunnel. Le limitazioni di questa implementazione sono le seguenti:
-
Supporto per Socket del server di inoltro è limitato a una versione a 64 bit di Windows Vista e versione a 64 bit di Windows 7, altra versione a 64 bit dei sistemi operativi non supportati.
-
Server d'inoltro socket è supportato solo quando gli utenti accedono UAG dalla versione 32 bit di Internet Explorer (in esecuzione in WOW64 a 32 bit emulazione).
-
Server d'inoltro socket interagisce solo con applicazioni a 32 bit (WOW64 applicazioni) e non interagiscono con applicazioni native a 64 bit.
Le opzioni di distribuzione per i componenti aggiornati sono i seguenti:
-
In linea: il metodo standard che esegue la distribuzione di componenti SF. Nella prima chiamata di qualsiasi applicazione di portale UAG che utilizza il metodo di pubblicazione tunneling SF, i componenti vengono scaricati e installati.
-
Non in linea: gli amministratori possono anche distribuire l'applicazione appropriata di Windows Installer (MSI) su un client utilizzando la distribuzione del software tramite script o l'installazione manuale. Dopo l'installazione dell'aggiornamento UAG 2 i file saranno disponibili sul server UAG nel seguente percorso:
% UAG installazione directory%\von\PortalHomePage\
Problema 4
Sintomo
Citrix XenApps 5.0 pubblicato con UAG non è possibile accedere da un computer client che esegue una versione a 64 bit di Windows Vista o 7 finestra.
Causa
Si tratta del comportamento previsto dei componenti client UAG prima del rilascio dell'aggiornamento UAG 2.
Risoluzione
Fare riferimento alla sezione "Risoluzione" del problema 3 per informazioni dettagliate.
Problema 5
Sintomo
Quando si tenta di creare o modificare un criterio di endpoint, il criterio "Protezione totale McAfee" verrà visualizzato due volte nell'elenco. Se si seleziona il secondo criterio di "Protezione totale McAfee", viene visualizzato un messaggio di errore analogo al seguente:
non è possibile individuare la riga di origine
Causa
Questo problema si verifica perché il file di directory%\von\Conf\PolicyDefinitions.xml % installazione UAG contiene due voci con lo stesso titolo e un ID.
Risoluzione
La partita doppia viene risolto rimuovendo il secondo record dal file PolicyDefinitions.xml.
Problema 6
Symptom
Quando si accede a una risorsa che viene pubblicata da UAG, client venga visualizzato un errore "Errore sconosciuto durante l'elaborazione del certificato" nel browser. L'amministratore UAG può vedere anche nei registri di debug server UAG SEC_I_CONTINUE_NEEDED restituito durante la fase di negoziazione SSL "Stato di conferma di Handshake". Dopo il passaggio di registri di debug verranno visualizzata la pagina /InternalSite/InternalError.asp viene restituita al client con errore codice 37. Il codice di errore 37 è il messaggio di errore "si è verificato un errore sconosciuto durante l'elaborazione del certificato".
Cause
Quando esegue un server back-end pubblicate tramite UAG handshake SSL, il sistema SSL non diversi scenari corretta handli. La natura di flusso del protocollo SSL consente di creare uno scenario complesso con la possibilità di ricevere dati insufficienti o troppe informazioni durante l'handshake di lettura. In questo scenario, InitializeSecuritycontesto segnala di aver passato i dati aggiuntivi che devono essere salvati per l'utilizzo in futuro (presumibilmente dopo è leggere ulteriori dati in rete).
Resolution
L'algoritmo di handshake viene esteso per supportare scenari e ulteriori casi di flussi.
Issue 7
Symptom
Quando si accede a un'applicazione HTTPS pubblicata tramite UAG, l'utente riceve l'errore 37: "si è verificato un errore sconosciuto durante l'elaborazione del certificato". Un amministratore che esegue la registrazione di debug (che include l'analisi SSLBOX_BASE) mentre l'utente accede all'applicazione verrà visualizzato il seguente messaggio di errore:
Errore: Impossibile inizializzare il contesto di protezione. Errore: 0x90320.
SEC_INCOMPLETE_CREDENTIALS reso InitializeSecurityContext – Schannel richiede le credenziali del certificato client
Cause
Il server di applicazione back-end è configurato per richiedere le credenziali del certificato client durante la fase di negoziazione SSL. Tale funzionalità non era supportato prima di questo aggiornamento. Pertanto, la negoziazione non riuscita con errore.
Resolution
Esistono due possibili scenari dove il server back-end richiede le credenziali di certificati client:
-
Il server applicazione back-end richiede un certificato client per ottenere un certificato ma non lo richiede. In questo caso che è stato implementato un fallback consentendo UAG ritentare la negoziazione dopo SEC_INCOMPLETE_CREDENTIALS il codice restituito viene ricevuta. In genere il server back-end non richiede il certificato client e questa negoziazione viene completata.
-
L'applicazione di back-end richiede l'autenticazione dei certificati client. La modifica di progettazione che è stata implementata non consente al client fornire pass-through dei certificati client ma non consentono un certificato client valido da fornire al server back-end web per tutti gli utenti.
In questo caso l'amministratore UAG deve fornire un certificato client valido e installarlo nel server UAG come un certificato del computer.-
Per indicare il modulo SSLBox UAG per recuperare e ottenere il certificato corretto, attenersi alla seguente procedura:
-
Eseguire il comando MMC per aprire la console di gestione.
-
Fare clic su Filee quindi fare clic su Aggiungi/Rimuovi Snap-in.
-
Selezionare certificati dall'elenco e quindi fare clic su Aggiungi.
-
Selezionare account del computer e quindi fare clic su Fine.
-
Aprire l'archivio dei certificati personali .
-
Selezionare il certificato di autenticazione client richiesto dall'elenco e fare doppio clic sul certificato. O, il pulsante destro del certificato e quindi fare clic su Apri.
-
Selezionare il riquadro dei dettagli e scorrere verso il basso.
-
Selezionare proprietà di identificazione personale .
-
Selezionare il valore della proprietà di sotto del pannello e copiare il relativo valore premendo CTRL + C.
-
Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema Windowsavviare l'Editor del Registro di sistema (Regedt32.exe).
b. individuare e fare clic sulla seguente chiave nel Registro di sistema:HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
c. dal menu Modifica , fare clic su Aggiungi valoree quindi aggiungere il seguente valore del Registro di sistema:Nome valore: ClientCertHash
Tipo di dati: String
Valore: {il testo copiato nel passaggio 9} [ad esempio: a7 4b 36 ca 3f 87 ac 10 d5 4b 0f ca 83 9 e 9 e 74 c8 3e cespiti 8b]
d. Editor del Registro di sistema exit.
e. eseguire IISReset come amministratore per riavviare IIS.
f. attivare la configurazione UAG.
-
-
Problema 8
Symptom
In alcuni casi i computer client che per i componenti Client UAG siano installati su di essi un messaggio "uagqecsvc" evento ID 85 log scritto nel registro eventi di Windows ogni minuto quando il client comunica con un Server UAG. Sebbene ciò un falso allarme, questa classe riempie i registri di eventi del client, rendendo difficile per gli amministratori o il supporto tecnico dal potenziale reali eventi nei registri eventi di Windows del client. Questi messaggi verranno sempre visualizzati sul client ogni minuto se il client si connette a un server IAG.
ID evento: 85
Origine: uagqecsvc
Tipo: errore
Descrizione: Il componente Client di imposizione quarantena di Microsoft Forefront UAG Impossibile inizializzare il callback client di imposizione valore HRESULT: 0x8027000E. Questo problema può verificarsi se i criteri di protezione non attiva il componente.
Vi può essere un altro evento correlato nei registri eventi client.
ID evento: 16
Origine: uagqecsvc
Nome registro: applicazione
Descrizione: Il componente Client di imposizione quarantena di Microsoft Forefront UAG Impossibile recuperare lo stato del servizio agente di Network Access Protection (NAP). Errore di sistema 1115: arresto del sistema è in corso. (0x45b). viene avviato il componente quando il Microsoft Forefront UAG Client imposizione quarantena viene eseguito un tentativo di impostazioni di query del servizio agente protezione accesso alla rete.
Anche se il problema non è correlato direttamente alle distribuzioni UAG UAG o, è possibile che con alcune distribuzioni gli utenti che dispongono di componenti client UAG su di essi accederanno server IAG e UAG.
Cause
Componenti Client UAG dispone di un componente del servizio "uagqecsvc" con un nome di "Microsoft Forefront UAG Client di imposizione quarantena" quale stato di salute di endpoint query mediante protezione accesso alla rete e lo stato torna al modulo di protezione accesso alla rete su UAG. In alcuni rari casi questo problema sarà visibile nelle distribuzioni UAG come il servizio nuovamente tenta ripetutamente di associare il server UAG. L'associazione verrà eseguita con un timeout minuto fino a quando non è possibile connettersi.
I componenti Client UAG inoltre a partire da IAG Service Pack 2 aggiornamento 3, sono stati trasferiti IAG. Pertanto, il servizio uagqecsvc viene installato anche nei computer client che si connettono a qualsiasi server IAG che include componenti client Service Pack 2 aggiornamento 3. Perché la funzionalità di rilevamento di protezione accesso alla rete endpoint non esiste in IAG, il client che utilizza i componenti UAG installati su di essi continuerà a provare a connettersi al servizio Protezione accesso alla rete UAG ogni minuto, nel processo di generazione del log precedentemente posta elettronica commerciale indesiderato nei registri eventi di Windows.
Resolution
Nelle versioni precedenti dei componenti Client per un minuto è stato impostato il timeout predefinito per i tentativi di comunicare con l'agente di rilevamento UAG protezione accesso alla rete, è stata modificata in aggiornamento UAG 2 a un'ora. Per gli amministratori che desiderano modificare questo valore viene fornito un modo per definire manualmente il timeout sul client.
Importante Questa sezione, metodo o attività contiene passaggi su come modificare il Registro di sistema. Tuttavia, una modifica errata del registro di sistema potrebbe causare gravi problemi. Pertanto, assicurarsi di seguire attentamente i passaggi. Per maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Cosicché sia possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema WindowsGli utenti o amministratori possono definire manualmente in qualsiasi computer client il timeout in millisecondi. A tale scopo, attenersi alla seguente procedura:
-
Avviare l'Editor del Registro di sistema (Regedt32.exe).
-
Individuare e selezionare la seguente chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
-
Dal menu Modifica , fare clic su Aggiungi valoree quindi aggiungere il seguente valore del Registro di sistema:
Nome valore: InitRetryTimeout
Tipo di dati: REG_DWORD
Radice: decimale
Valore: (tempo in millisecondi 360000 predefinita, ma questo valore deve essere
impostare dimensioni maggiori quindi 6000) -
Uscire dall'Editor del Registro di sistema.
-
Riavviare il computer.
Problema 9
Sintomo
(Amministratore UAG) è installato su un server che esegue una versione localizzata di Windows 2008 R2 lingua APAC UAG. Quando si tenta di creare un trunk su UAG, viene visualizzato un messaggio di errore e la creazione dei trunk viene interrotto.
Ad esempio, messaggi di errore imprevisto, finestre vuote o MMC frequenti arresti anomali si verificano quando si tenta di creare un trunk su UAG.
Causa
Questo problema si verifica a causa di modifiche non corrette delle risorse di sistema. Queste modifiche non corrette causare degli errori quando si esegue UAG in alcune versioni di lingua non occidentale dei sistemi operativi (coreano/giapponese/cinese).
Risoluzione
Il codice che è responsabile per l'accesso a queste risorse di sistema è stato risolto.
Problema 10
Sintomo
Componente di pulitura sessione endpoint non viene avviato da eseguire dopo il riavvio di un endpoint. Inoltre, explorer viene visualizzata una finestra che punta alla cartella di componenti client dopo un riavvio.
Causa
Prima di riavviare il computer, Endpoint sessione pulitura componente scrive un valore del Registro di sistema nella chiave "Run". Questo valore del Registro di sistema consente l'avvio Endpoint sessione pulitura componente automaticamente dopo il riavvio di Windows. Tuttavia, questo valore del percorso della chiave del Registro di sistema è un percorso dell'eseguibile che contiene spazi. Pertanto, si verifica un errore.
Risoluzione
Il valore di percorso che punta al file eseguibile che viene scritta nella chiave "Run" allegato Tergicristallo ora viene scritto come una stringa tra virgolette per evitare eventuali errori.
Problema 11
Sintomo
Quando si tenta di accedere la lingua, impostazione delle opzioni in Exchange Server 2007 Outlook Web Application (OWA) che vengono pubblicati tramite UAG, riceverà il seguente messaggio di errore al client.
Si è tentato di accedere a un URL con restrizioni.
Causa
Questo problema si verifica perché out del modello di finestra per OWA di Exchange Server 2007 non dispone di una voce set di regole per la URL"/owa/languageselection.aspx". Il meccanismo di set di regole UAG non consente l'accesso a un URL che non è presente nell'elenco vuoto.
Risoluzione
Viene aggiunta una nuova regola OWA di Exchange 2007 per consentire l'accesso a questa risorsa URL di pubblicazione. In questo caso, la nuova regola "ExchangePub2007_Rule36" consente l'accesso all'URL "/owa/languageselection.aspx".
Problema 12
Sintomo
Quando un utente tenta di accedere a un sito UAG o tenta di accedere a un percorso segnalibro all'interno dell'applicazione anziché il percorso di accesso UAG, l'utente riceve un 500 Errore interno del Server e non è in grado di accedere al sito.
Nota: Il sito UAG utilizza ADFS per l'autenticazione e direttamente richiede un'applicazione pubblicata.
Causa
Quando UAG è configurato per utilizzare ADFS per l'autenticazione, si verificano reindirizzamenti diversi tra il servizio Token di protezione (STS) e il sito interno UAG. Se il redirectes non vengono eseguiti nel modo previsto, UAG restituisce errori. Quando un utente tenta di accedere direttamente a una risorsa pubblicata anziché il sito portale, viene interrotto il processo di reroute. Pertanto, si verifica errore interno del server.
Risoluzione
Questo problema viene risolto nell'aggiornamento.
Problema 13
Sintomo
Quando un amministratore sta configurando un repository di autenticazione di tipo Active Directory, l'amministratore non può impostare il valore di nidificazione gruppo su "illimitato". In base alla specifica UAG, il valore del campo gruppo nidificazione può essere vuoto. Tuttavia, quando il campo è vuoto e la configurazione viene salvata e attivata, il valore viene ripristinata "0" in modo imprevisto.
Nota: MMC UAG deve essere chiuso e riaperto per ottenere il valore di "0" visibile. "0" come specifica UAG, significa che non vi sia alcuna nidificazione dei gruppi. Di conseguenza, la nidificazione dei gruppi non funziona come previsto.
Causa
Questo problema si verifica perché il valore corretto per il campo di nidificazione del gruppo non può trovarsi nella configurazione. Pertanto, il valore corretto non essere applicato a sia l'interfaccia grafica e le funzioni di autenticazione.
Risoluzione
Il valore nella configurazione è ora correttamente archiviato e aggiornato quando il valore di nidificazione del gruppo viene eliminato dalla GUI inoltre, il valore viene applicato correttamente alle funzioni di autenticazione.
Nota: Microsoft consiglia di impostare il valore per il numero minimo richiesto per l'autorizzazione in UAG. È possibile impostare il valore superiore a 2 livelli di nidificazione a causa del potenziale ritardo e le risorse necessarie. Se è superiore a 2 livelli sono necessari per una distribuzione, è necessario verificare l'impatto di queste modifiche prima che il sistema viene distribuito in produzione. In casi estremi, queste impostazioni possono causare il server UAG e controller di dominio che vengono utilizzati per l'autenticazione da UAG un arresto anomalo a causa di risorse elevato.
Problema 14
Sintomo
Quando si tenta di chiudere la finestra di configurazione server di rete connettore (NC) dopo aver attivato il server NC, è che venga visualizzato il seguente messaggio di errore:
Parametri errati di connettore di rete, indirizzo di segmento non valido
Causa
Il servizio SSL Tunneling di rete può essere utilizzato solo quando le schede di rete fisica dispongono di indirizzi MAC che iniziano con "00".
Risoluzione
Il servizio SSL Tunneling di rete può essere utilizzato anche se le schede di rete fisica dispongono di indirizzi MAC che iniziano con "00".
Problema 15
Sintomo
Con solo un supporto parziale per Citrix XenApp 5 è stato rilasciato UAG.
Quando si desidera pubblicare Citrix senza errori, essi sono stati obbligati a seguire le istruzioni fornite nel seguente sito Web Microsoft:
Introduzione alla pubblicazione di Citrix XenApp 5. x con UAG 2010
Causa
Questo problema si verifica perché il supporto di Citrix è interrotto.
Risoluzione
La procedura descritta sopra per pubblicare correttamente Citrix XenApp 5.0 è ora inclusi in questo aggiornamento.
Problema 16
Sintomo
Il prodotto AV "Trend Micro OfficeScan antivirus" o "Trend Micro PC-Cillin Anti-Virus" viene selezionato dal GUI. In questo caso, quando si crea un criterio e quindi applicare il criterio a un'applicazione, viene visualizzato il seguente messaggio di errore durante l'attivazione:
Non è possibile individuare la riga di origine
Causa
Questo problema si verifica perché l'algoritmo di convalida sintassi dei criteri di mancati riscontri dipendenze richiesti da questi criteri particolari.
Risoluzione
Le dipendenze necessarie per questi criteri vengono aggiunti all'algoritmo di convalida sintassi dei criteri dopo aver installato questo aggiornamento.
Problemi noti
-
Dopo aver installato questo aggiornamento per la scheda di rete Tunneling SSL rete diventa invisibile nella finestra connessioni di rete. Questo è il comportamento previsto. Per assicurarsi che la scheda di rete è installato aprire Gestione dispositivi e voce selezionare 'Mostra periferiche nascoste"dal menu Visualizza.
-
In alcuni casi l'operazione di aggiornamento di disinstallazione potrebbe non riuscire con un messaggio di errore, specificando che è Impossibile trovare il file di installazione "FirefrontUAG.msi" o con l'errore di installazione 1269.
-
Aprire il menu Start e digitare Visualizza cartelle e file nascosti.
-
Nella finestra aperta impostazioni avanzate deselezionare l'opzione Nascondi file protetti di sistema (consigliato) e premere OK.
-
Aprire una finestra prompt dei comandi con privilegi elevati e digitare UninstallUagUpdate.
-
Se necessario, attendere alcuni minuti per il ripristino di database di installazione.
Nota: È possibile ricevere un messaggio che informa della necessità di una riparazione.
-
-
Il supporto di Citrix XenApp è solo per la versione 5.0. Non sono supportate nelle versioni successive.
-
Questa versione supporta solo il Desktop personale di scenario di un'infrastruttura VDI. Scenario di desktop in pool non è supportato.
-
Inoltro di socket è disponibile nella finestra 7 e Vista 64 bit i client per le applicazioni a 32 bit (WOW64 applicazioni). Non è disponibile per applicazioni a 64 bit nativo.
-
Pubblicazione OWA per Exchange 2010 Service Pack 1 dal UAG richiede la modifica manuale di un AppWrap e le modifiche per il set di regole. Nel blog del team di prodotto UAG http://blogs.technet.com/b/edgeaccessblog/pubblicato un articolo sui passaggi necessari per eseguire questa operazione. I passaggi descritti nell'articolo verranno integrati in un successivo aggiornamento di UAG.
-
Servizi di supporto clienti Microsoft (CSS) non può fornire supporto ai clienti se utilizzano una versione beta, non RTM, o non-genere-(GA) prodotti disponibili, ad esempio Internet Explorer 9 Beta. Supporto per da Internet Explorer 9 verrà incluso in un futuro aggiornamento dopo il rilascio ufficiale di IE9.
Problemi noti con le matrici e bilanciamento del carico di rete (NLB)
-
Quando si tenta di unire due server con la stessa matrice allo stesso tempo, la memoria di matrice potrebbe essere danneggiata. In questo caso, ripristinare le impostazioni di backup.
-
Quando si elimina un IPv6 indirizzo IP virtuale (VIP) nella console di Forefront UAG, l'indirizzo non può essere rimosso completamente. Per risolvere questo problema, eliminare manualmente l'indirizzo dalla scheda di rete in Centro connessioni di rete e condivisione e nella console di Forefront UAG.
-
Forefront UAG potrebbe non rilevare che il membro di una matrice che utilizza integrato NLB perde la connettività di rete (ad esempio un ISP-errore di sistema). In questo scenario, Forefront UAG potrebbe continuare a instradare il traffico verso il server non disponibile. Per evitare questo problema, disattivare le schede interne ed esterne di membri di matrici non in linea. Riattivare le schede dopo vengono risolti i problemi di connettività.
-
Se si dispone di Microsoft System Center Operations Manager 2007 distribuito nell'organizzazione, è possibile monitorare lo stato delle schede di rete di membro di matrice. A tale scopo, attenersi alla seguente procedura:
-
Assicurarsi che il sistema operativo Windows Server e Windows Server 2008 NLB management pack sono installati in ogni membro della matrice.
-
Utilizzare Operations Manager 2007 per rilevare le schede di rete disconnesse sui membri di matrice.
Nota: Operations Manager 2007 segnala problemi come segue:-
Se esiste un problema con la scheda connessa alla rete interna, Operations Manager 2007 segnala che è stato rilevato alcun heartbeat.
-
Se esiste un problema con la scheda connessa alla rete esterna, Operations Manager 2007 segnala un problema di bilanciamento carico di rete di Windows.
-
-
-
Quando si crea un trunk di reindirizzamento per un trunk HTTPS in una matrice che non dispone di bilanciamento del carico abilitato, è necessario assegnare manualmente gli indirizzi IP dei trunk reindirizzamento per ogni membro della matrice. Questa attività è descritta nel seguente articolo: