Descrizione dell'aggiornamento 2 per gateway di accesso unificato 2010

Traduzione articoli Traduzione articoli
Identificativo articolo: 2288900 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Queste note di release indirizzo aggiornate problemi correlate a Microsoft Forefront unificata Access Gateway (UAG) 2010. Prima di installare Forefront unificata Access Gateway (UAG), è necessario leggere le informazioni contenute in questo documento. Questo articolo contiene le seguenti informazioni su questo aggiornamento:
  • Nuove funzionalità e miglioramenti inclusi in questo aggiornamento
  • Problemi risolti in questo aggiornamento
  • Per ottenere questo aggiornamento
  • Prerequisiti per installare questo aggiornamento
  • Problemi noti

Introduzione

Questo articolo descrive aggiornamento 2 per Forefront UAG 2010 e fornisce istruzioni per l'installazione. Update 2 per Forefront UAG 2010 offre le seguenti funzionalità:
  • Miglioramento dei componenti client:Componente Forefront UAG SSL Application Tunneling (Socket Forwarder) è ora supportato in Windows Vista e sistemi operativi a 64 bit di Windows 7 per le applicazioni a 32 bit. Vedere la tabella seguente per informazioni dettagliate ed emettere # 3 per ulteriori informazioni.
    Riduci questa tabellaEspandi questa tabella
    FunzionalitàWindows XP a 32 bitWindows Vista a 32 bitWindows Vista a 64 bitWindows 7 a 32 bitWindows 7 a 64 bitMacintosh o Linux
    Installazione non in lineaNo
    Installazione in linea
    Rilevamento di endpoint
    Allegato Wiper
    Componenti di tunneling SSL
    Socket server d'inoltroNo
    SSL tunneling di applicazioni(Connettore di rete)NoNoNo
    Nota:Per informazioni specifiche sul browser e sistemi operativi Client Component funzionalità e compatibilità, visitare la seguente pagina Web Microsoft TechNet:
    Introduzione ai requisiti di sistema per Forefront UAG endpoint
  • Infrastruttura desktop virtuale (VDI):Forefront UAG supporta pienamente la pubblicazione desktop remoti tramite lo scenario desktop personale VDI.
  • Citrix supporto di pubblicazione:Forefront UAG supporta Citrix Presentation Server 4.5 e la relativa sostituzione Citrix XenApp 5.0.
  • Supporto per Computer Client Citrix:Forefront UAG supporta Windows Vista e Windows 7 computer con sistemi operativi a 64 bit l'accesso alle applicazioni di Citrix XenApp dove il client XenApp è a 32 bit. Per ulteriori informazioni, vedere problemi # 4.
  • SSTP utente e controllo di accesso del gruppo:Forefront UAG ora fornisce un meccanismo di autorizzazione maggiore consentendo agli amministratori di autorizzare i singoli gruppi di accesso SSTP.
  • Handshake SSL:Forefront UAG ora fornisce la gestione più efficace dell'handshake SSL tra UAG e server web pubblicato.
  • Delega di certificati client:Forefront UAG viene aggiunto un supporto limitato per le applicazioni in cui il server di applicazioni richiede le credenziali del certificato client per la negoziazione.
  • Supporto di indirizzo MAC del connettore di rete:Forefront UAG Network Connector Server supporta una vasta gamma di schede di rete con un intervallo di indirizzi MAC espanso.
Per ulteriori informazioni sulle nuove funzionalità di aggiornamento 2 per Forefront UAG 2010, vedere la sezione "Novità in Forefront UAG" nella seguente pagina Web Microsoft:
Introduzione alla valutazione dei prodotti che si applica a Forefront UAG

Informazioni

Informazioni sull'aggiornamento

Il seguente file è disponibile per il download dall'Area download Microsoft:

Riduci l'immagineEspandi l'immagine
Download
Download del pacchetto di aggiornamento di Forefront unificata Access Gateway (UAG) 2.  

Per ulteriori informazioni su come scaricare i file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base:
119591Come ottenere file di supporto Microsoft dai servizi online
Microsoft analizzati in questo file per rilevare eventuali virus. Microsoft ha utilizzato il software antivirus più recente disponibile alla data di pubblicazione del file. Il file è archiviato in server con protezione avanzata che impedisce modifiche non autorizzate.

Prerequisiti

Questo aggiornamento è cumulativo e può essere applicato per elettrodomestici, server o macchine virtuali che eseguono le versioni seguenti di UAG 2010:
  • UAG 2010 (RTM)
  • UAG 2010 Update 1
  • Pacchetto di Hotfix Rollup 1 UAG 2010 Update 1
Per ulteriori informazioni sull'aggiornamento UAG 1, fare clic sul numero dell'articolo della Microsoft Knowledge Base:
981323Descrizione dell'aggiornamento 1 per il gateway di accesso unificato 2010
Per ulteriori informazioni sul pacchetto di hotfix UAG Update 1 Rollup 1, fare clic sul numero dell'articolo della Microsoft Knowledge Base:
981932Descrizione del pacchetto hotfix Rollup 1 unificata Access Gateway 2010 Update 1

Note sull'installazione

Ordine di installazione quando si è utilizzato un array di server UAG
  1. Install Update 2 on the array manager first.
  2. Reboot.
  3. Activate UAG configuration.
  4. Wait for the configuration to synchronize.
  5. Install Update 2 on the first non-manager array member.
  6. Reboot.
  7. Repeat for all remaining array members.
NotaIf required, the uninstallation of Update 2 should be conducted in the reverse order.

Necessità di riavvio

Innon-array scenarios, you do not have to restart the computer after you apply this update package. You must activate the UAG configuration after you install the update package. Please note that performing the UAG activation will terminate any existing SSL Application Tunneling connections to the UAG server.

Inarray scenariosrestart is required. The array installation steps above are required for successful deployment of the update when using an array, failure to follow these steps can cause corruption of the array and loss of the configuration.

Informazioni sulla sostituzione della correzione

Questo hotfix non sostituisce un hotfix precedentemente rilasciato.

Uninstallation information

To uninstall this update, use one of the following methods:
  • Log on as a built-in administrator, and then uninstall the update by using the Programs and Features applet in Control Panel.
  • From an elevated command prompt, type the following command, and then press ENTER:
    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Informazioni sui file

La versione inglese di questo hotfix presenta gli attributi di file (o attributi successivi) elencati nella tabella seguente. Date e ore dei file sono elencate in UTC (Coordinated Universal Time). Quando si visualizzano le informazioni sul file, viene convertita in ora locale. To find the difference between UTC and local time, use the Time Zone tab in the Date and Time item in Control Panel.

Riduci questa tabellaEspandi questa tabella
Nome fileVersione fileDimensioni fileDataOraPiattaforma
Agent_win_helper.jarNon applicabile1,286,01530-Aug-201013: 12Non applicabile
Clientconf.xmlNon applicabile6,67515-Sep-201006:41Non applicabile
Configdatacomlayer.dll4.0.1269.200192,40015-Sep-201008: 13x 64
Configdatalayer.dll4.0.1269.2003,871,63215-Sep-201008:06x 64
Configmgrcom.exe4.0.1269.200199,56815-Sep-201008:01x 64
Configmgrcomlayer.dll4.0.1269.2002,246,03215-Sep-201008:15x 64
Configmgrcore.dll4.0.1269.2001,375,63215-Sep-201008:23x 64
Configmgrinfra.dll4.0.1269.2001,599,88815-Sep-201008:12x 64
Configmgrlayer.dll4.0.1269.200215,44015-Sep-201008:05x 64
Configuration.exe4.0.1269.2008,920,97615-Sep-201008:22x 64
Detection.jsNon applicabile14,59115-Set-201007: 20Non applicabile
Https_whlfiltappwrap_forporNon applicabile60,96115-Set-201019: 07Non applicabile
Http_whlfiltappwrap_forportNon applicabile59,47515-Set-201019: 07Non applicabile
Install.jsNon applicabile11,21815-Set-201007: 20Non applicabile
Installanddetect.ASPNon applicabile12,06715-Set-201007: 20Non applicabile
Internalerror.ASPNon applicabile8,34415-Set-201007: 20Non applicabile
Internalerror.IncNon applicabile24,40215-Set-201007: 20Non applicabile
Login.ASPNon applicabile24,18315-Set-201007: 20Non applicabile
Logoffmsg.ASPNon applicabile7,70530 Ago 201013: 11Non applicabile
Microsoft.uag.da.Messages.d4.0.1269.20033.68015-Set-201008: 14x 64
Microsoft.uag.Transformer.c4.0.1269.2006,297,48815-Set-201008: 02x 86
Monitormgrcom.exe4.0.1269.200151,95215-Set-201008: 01x 64
Monitormgrcore.dll4.0.1269.200740,24015-Set-201008: 23x 64
Monitormgrlayer.dll4.0.1269.200354,19215-Set-201008: 12x 64
Policy.XmlNon applicabile80,24417-Ott-201012: 16Non applicabile
Policydefinitions.XmlNon applicabile61,51615-Set-201007: 15Non applicabile
Redirecttoorigurl.ASPNon applicabile1.42330 Ago 201013: 11Non applicabile
Repairinstallation.vbsNon applicabile3,04430 Ago 201013: 12Non applicabile
Ruleset_forinternalsite.iniNon applicabile47,01930 Ago 201013: 11Non applicabile
Sessionmgrcom.exe4.0.1269.200233,87215-Set-201008: 24x 64
Sessionmgrcomlayer.dll4.0.1269.2001,641,36015-Set-201008: 02x 64
Sessionmgrcore.dll4.0.1269.200738,19215-Set-201008: 01x 64
Sessionmgrinfra.dll4.0.1269.2001,197,96815-Set-201022: 08x 64
Sessionmgrlayer.dll4.0.1269.200200,59215-Set-201008: 04x 64
Sfhlprutil.cabNon applicabile57,19415-Set-201008: 35Non applicabile
Shareaccess.exe4.0.1269.200492,94415-Set-201008: 12x 64
Sslbox.dll4.0.1269.20058,76815-Set-201008: 14x 64
Sslvpntemplates.XmlNon applicabile28,70430 Ago 201013: 12Non applicabile
Sslvpn_https_profiles.XmlNon applicabile96817-Ott-201012: 16Non applicabile
Uagqec.cabNon applicabile64,84215-Set-201008: 36Non applicabile
Uagqessvc.exe4.0.1269.200207,76015-Set-201008: 04x 64
Uagrdpsvc.exe4.0.1269.200144,27215-Set-201008: 14x 64
Uninstalluagupdate.cmdNon applicabile21215-Set-201008: 41Non applicabile
Usermgrcom.exe4.0.1269.200119,18415-Set-201008: 01x 64
Usermgrcore.dll4.0.1269.200837,00815-Set-201008: 01x 64
Whlasynccomm.dll4.0.1269.200107,40815-Set-201008: 14x 64
Whlcache.cabNon applicabile265,76815-Set-201008: 36Non applicabile
All.msi WhlclientsetupNon applicabile2,964,99215-Set-201022: 08Non applicabile
Basic.msi WhlclientsetupNon applicabile2,964,99215-Set-201008: 01Non applicabile
Networkconne WhlclientsetupNon applicabile2,965,50415-Set-201008: 04Non applicabile
Networkconne WhlclientsetupNon applicabile2,965,50415-Set-201008: 03Non applicabile
Socketforwar WhlclientsetupNon applicabile2,964,99215-Set-201008: 24Non applicabile
Whlclntproxy.cabNon applicabile242,71315-Set-201008: 35Non applicabile
Whlcompmgr.cabNon applicabile689,48315-Set-201008: 35Non applicabile
Whlcppinfra.dll4.0.1269.200669,58415-Set-201008: 23x 64
Whldetector.cabNon applicabile263,76415-Set-201008: 36Non applicabile
Whlfiltappwrap.dll4.0.1269.200315,28015-Set-201014: 02x 64
Whlfiltappwrap_http.XmlNon applicabile59,47515-Set-201013: 19Non applicabile
Whlfiltappwrap_https.XmlNon applicabile60,96115-Set-201013: 19Non applicabile
Whlfiltauthorization.dll4.0.1269.200311,69615-Set-201014: 23x 64
Whlfilter.dll4.0.1269.200589,20015-Set-201014: 22x 64
Whlfiltsecureremote.dll4.0.1269.2001,037,20015-Set-201014: 22x 64
Whlfiltsecureremote_http.xmNon applicabile77,40430 Ago 201013: 11Non applicabile
Whlfiltsecureremote_https.xNon applicabile80,30817-Ott-201012: 16Non applicabile
Whlfirewallinfra.dll4.0.1269.200444,81615-Set-201008: 13x 64
Whlgenlib.dll4.0.1269.200511,37615-Set-201008: 04x 64
Whlglobalutilities.dll4.0.1269.200106,38415-Set-201008/05x 64
Whlinstallanddetect.IncNon applicabile4,47630 Ago 201013: 11Non applicabile
Whlio.cabNon applicabile167,27715-Set-201008: 35Non applicabile
Whlioapi.dll4.0.1269.20076,17615-Set-201008: 04x 64
Whliolic.dll4.0.1269.20015,76015-Set-201022: 08x 64
Whlios.exe4.0.1269.200137,10415-Set-201008: 24x 64
Whllln.cabNon applicabile167,09515-Set-201008: 36Non applicabile
Whlllnconf1.cabNon applicabile6,52115-Set-201008: 35Non applicabile
Whlllnconf2.cabNon applicabile6,61015-Set-201008: 36Non applicabile
Whlllnconf3.cabNon applicabile6,59915-Set-201008: 35Non applicabile
Whltrace.cabNon applicabile254,35215-Set-201008: 36Non applicabile
Whltsgauth.dll4.0.1269.200184,20815-Set-201008: 02x 64
Whltsgconf.dll4.0.1269.20087,44015-Set-201022: 08x 64
Whlvaw_srv.dll4.0.1269.200138,12815-Set-201008/05x 64
Wioconfig.dll4.0.1269.200496,52815-Set-201008: 01x 64



Problemi risolti in questo aggiornamento

Questo aggiornamento consente di correggere i seguenti problemi non precedentemente documentati in alcun articolo della Microsoft Knowledge Base.

Problema 1


Sintomo

Gli amministratori richiedono il controllo di accesso granulare per i client di rete privata virtuale (VPN) SSTP (Secure Socket Tunneling Protocol). Tuttavia, configurazione SSTP su UAG crea una regola di accesso singolo che consente l'accesso del client VPN per l'intera rete interna.

In base al seguente testo da http://technet.microsoft.com/en-us/library/ee522953.aspx è supportato per utilizzare la console Threat Management Gateway (TMG) per creare regole che consentono il controllo dell'accesso granulare per l'accesso VPN SSTP:

"Creazione di regole di accesso utilizzando la console di gestione di Forefront TMG, allo scopo di limitare gli utenti, gruppi e reti per l'accesso granulare durante la distribuzione di Forefront UAG per accesso remoto VPN."

Tuttavia, quando gli amministratori creano le regole di accesso per limitare l'accesso, queste regole vengono rimossi o spostate alla fine del criterio di accesso dopo l'attivazione UAG. Ciò significa che la regola predefinita ha la precedenza e il controllo granulare configurato viene perso.

Causa

Questo tipo di problemi è causato da una limitazione di progettazione dell'integrazione tra UAG e le regole generate dinamicamente vengono distribuite TMG durante l'attivazione UAG.

Risoluzione

Modifica manuale delle regole TMG per supportare il controllo di accesso granulare come descritto in TechNet viene ammortizzato (e non è più supportato dopo l'installazione dell'aggiornamento UAG 2) in favore di supporto esplicito di controllo di accesso granulare nella console di gestione UAG.

Gli amministratori UAG ora possono consentire esplicitamente l'accesso a indirizzi di rete interna per gli utenti SSTP VPN membri di determinati gruppi di Active Directory. Gli amministratori UAG devono utilizzare la nuovaGruppi di utentischeda della finestra di dialogo configurazione di tunneling SSL rete per definire i criteri di accesso VPN di IP granulari costituito da un insieme di regole di accesso. Ogni regola definisce un insieme di indirizzi IP di rete interno e intervalli di indirizzi IP che possono accedere ai membri di un particolare gruppo di Active Directory durante la connessione SSTP VPN.

Problema 2


Sintomo

Supporto Microsoft VDI (Virtual Desktop Infrastructure) in UAG non viene implementato completamente.

Causa

A causa di un'interfaccia utente UAG fuorvianti, configurazioni problematiche e impossibilità di supportare multi-authorization in diverse risorse durante l'implementazione impedire VDI di funzionare correttamente.

Risoluzione

Microsoft ha introdotto una progettazione modificare per aggiornare l'interfaccia utente UAG e supportare lo scenario desktop personale VDI con un'implementazione più efficace. Tipo di pool scenario di VDI non è stata implementata e può essere implementata in un futuro aggiornamento di UAG.

Problema 3


Sintomo

Il componente client UAG per SSL Application Tunneling (Socket Forwarder) non è supportato nella versione a 64 bit di Windows 7 e la versione a 64 bit di Windows Vista.

Causa

This is the designed behavior of the UAG client components before the release of UAG Update 2.

Resolution

We have made a design change to address the following scenario:

There are wide set of non-web applications that use UAG Socket Forwarding / Application Tunneling as a publishing method. For example, such applications are Citrix XenApps and Presentation Server 4.5, and they both run as ActiveX applications in browser. Before this update, because of technical limitations, we disallow deployment of those publishing methods on 64-bit version of client operating systems. Therefore, the same published application that uses those methods may be accessed from 32-bit version of client operating systemss instead of from 64-bit operating systems.

The change made for this scenario is to provide a method of deployment for the Socket Forwarding (SF) client components on 64-bit version of Windows client operating systems to enable opening of tunneled applications. The limitations of this implementation are as follows:
  • Support for Socket Forwarder is limited to 64-bit version of Windows Vista and 64-bit version of Windows 7, other 64-bit version of operating systems are not supported.
  • Socket Forwarder is only supported when users access UAG from the 32-bit version of Internet Explorer (running in WOW64 32 bit emulation).
  • Socket Forwarder will only interact with 32-bit applications (WOW64 applications) and will not interact with native 64-bit applications.
The following are the deployment options for the updated components:
  • Online: The standard method that performs deployment of SF components. On the very first invocation of any UAG portal application that uses SF as the tunneling publishing method, the components are downloaded and installed.
  • Offline: Administrators can also deploy the appropriate Windows Installer application (MSI) on a client by using scripted software distribution or by manual installation. After the installation of UAG Update 2 the files will be available on the UAG server in the following location:
    %UAG installation directory%\von\PortalHomePage\
Problema 4


Symptom

You cannot access Citrix XenApps 5.0 that is published with UAG from a client computer that is running a 64-bit version of Windows Vista or Window 7.

Cause

This is the designed behavior of the UAG client components before the release of UAG Update 2.

Resolution

Refer to the ?Resolution? section of Issue 3 for detailed information.

Problema 5


Symptom

When you try to create or edit an endpoint policy, the ?McAfee Total Protection? policy appears two times on the list. If you select the second ?McAfee Total Protection? policy, you receive an error message that resembles the following:

source line could not be located

Cause

This issue occurs because the %UAG installation directory%\von\Conf\PolicyDefinitions.xml file contains two entries that have the same title and ID.

Resolution

The double entry issue is resolved by removing the second record from the PolicyDefinitions.xml file.

Problema 6

Symptom

When you access a resource that is published by UAG, clients receive an error "An unknown error occurred while processing the certificate" in the browser. Also, the UAG administrator may see in UAG server debug logs thatSEC_I_CONTINUE_NEEDEDis returned during the SSL negotiation step "Handshake Confirm State." Following that step the debug logs will show that the/InternalSite/InternalError.asppage is returned to the client together with error code 37. Error Code 37 is the error message "An unknown error occurred while processing the certificate."

Cause

The existing SSL mechanism does not correctly handli several scenarios when it performs SSL handshake with a back-end server published through UAG. The streaming nature of SSL creates a complicated scenario with a possibility of receiving either insufficient data or reading too much information during the handshake. In this scenario,InitializeSecurityContextreports that you have passed additional data that must be saved for use in the future (presumably after you read more data across the wire).

Resolution

The handshake algorithm is extended to support additional streaming cases and scenarios.


Problema 7

Sintomo

Quando si accede a un'applicazione pubblicata HTTPS tramite UAG, l'utente riceve un errore 37: "si è verificato un errore sconosciuto durante l'elaborazione del certificato". Un amministratore che sta eseguendo la registrazione di debug (che include l'analisi SSLBOX_BASE) durante l'accesso all'applicazione verrà visualizzato il seguente messaggio di errore:
Errore: Impossibile inizializzare il contesto di protezione. Errore: 0x90320.

InitializeSecurityContext SEC_INCOMPLETE_CREDENTIALS restituito ? Schannel richiede le credenziali del certificato client
Causa

Il server applicazioni back-end è configurato per richiedere credenziali di certificati client durante la fase di negoziazione SSL. Questa funzionalità non era supportata prima di questo aggiornamento. Pertanto, la negoziazione non riuscita con errore.

Risoluzione

Esistono due possibili scenari in cui le credenziali del certificato client richiede al server back-end:
  • Applicazione back-end server richiede un certificato client per ottenere un contesto di certificato ma non lo richiede. In questo caso è stato implementato un fallback consentendo UAG tentativo di negoziazione dopo ilSEC_INCOMPLETE_CREDENTIALSil codice restituito viene ricevuto. In genere il server back-end non richiede il certificato client e la negoziazione è stata completata.
  • Applicazione back-end richiede l'autenticazione dei certificati client. La modifica di progettazione è stata implementata non consente al client di fornire pass-through certificati client ma è consentire un certificato client valido solo fornire al server web di back-end per tutti gli utenti.

    In questo caso Administrator UAG deve fornire un certificato client valido e installarlo nel server UAG come un certificato del computer.
    1. Per indicare il modulo UAG SSLBox per recuperare e ottenere il certificato corretto, attenersi alla seguente procedura:
      1. Eseguire il comando MMC per aprire la console di gestione.
      2. Fare clic suFile, quindi scegliereAggiungi/Rimuovi snap-in.
      3. SelezionareCertificatidall'elenco e quindi fare clic suAggiungere.
      4. Selezionare account del computer e scegliereFine.
      5. Aprire ilPersonalearchivio di certificati.
      6. Selezionare il certificato di autenticazione client richiesto dall'elenco e fare doppio clic sul certificate.Or, il certificato e scegliereApri.
      7. Selezionare laDettagliriquadro e scorrere verso il basso.
      8. SelezionareIdentificazione personaleproprietà.
      9. Selezionare il valore della proprietà bellow pannello e copiare il valore premendo CTRL+C.
      10. ImportanteQuesta sezione, metodo o attività contiene viene illustrato come modificare il Registro di sistema. Tuttavia, se l'errata modifica del Registro di sistema può causare seri problemi. Assicurarsi pertanto di seguire attentamente questi passaggi. Per maggiore protezione, eseguire una copia di backup del registro prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base:
        322756Backup e ripristino del Registro di sistema in Windows
        a. Avviare Registry Editor (Regedt32.exe).

        b. Locate and then click the following key in the registry:

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. On theModificamenu, clickAdd Value, and then add the following registry value:
        Value name:ClientCertHash
        Data type:String
        Value: {the text copied in step 9} [for example:a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
        d. Exit Registry Editor.
        e. Run IISReset as an administrator to restart IIS.
        f. Activate the UAG Configuration.
Problema 8

Sintomo

In some rare cases client computers that have UAG Client Components installed on them receive a "uagqecsvc" event ID 85 log message written to the Windows Event logs every minute when that client is communicating with a UAG Server. Although this a false alarm, this fills up the client event logs making it difficult for administrators or the helpdesk from spotting real events in the client?s Windows Event logs. These messages will always be displayed on the client every minute if that client connects to an IAG server.
Event ID: 85

Source: uagqecsvc

Type: Error

Description: The Microsoft Forefront UAG Quarantine Enforcement Client component cannot initialize the enforcement client callback HRESULT value: 0x8027000E. This issue may occur if security policies do not enable the component.

There may also be another related event in the client event logs.
Event ID: 16

Source: uagqecsvc

Log Name: Application

Description: The Microsoft Forefront UAG Quarantine Enforcement Client component cannot retrieve the status of the Network Access Protection (NAP) Agent service. System error 1115: A system shutdown is in progress. (0x45b). When the Microsoft Forefront UAG Quarantine Enforcement Client component starts, it attempts to query settings of the NAP agent service.

Although this issue is not directly related to UAG or to UAG deployments, it is possible that with some deployments users who have the UAG client components installed on them will access both IAG and UAG servers.

Causa

UAG Client Components have a component service "uagqecsvc" with a display name of "Microsoft Forefront UAG Quarantine Enforcement Client" which queries endpoint health status by using NAP and reports the status back to the NAP module on UAG. In some rare cases this issue will be seen in UAG deployments as the service re-tries repeatedly to bind to the UAG server. The bind will run in loop with a minute time-out until it can connect.

Additionally starting with IAG Service Pack 2 Update 3, the UAG Client Components were ported to IAG. Therefore the uagqecsvc service is also installed on client computers that connect to any IAG server that has Service Pack 2 Update 3 client components. Because NAP endpoint detection functionality does not exist in IAG, the client that has the UAG components installed on them will continue to try to connect to the UAG NAP service every minute, in the process generating the previously mentioned log messaged in the Windows Event logs.

Risoluzione

In the earlier versions of the Client Components the default time-out for retries to communicate with the UAG NAP detection agent was set to a minute, it is been changed in UAG Update 2 to one hour. For administrators who want to modify this value a way to manually define the time-out on the client is provided.

ImportanteQuesta sezione, metodo o attività contiene viene illustrato come modificare il Registro di sistema. Tuttavia, se l'errata modifica del Registro di sistema può causare seri problemi. Assicurarsi pertanto di seguire attentamente questi passaggi. Per maggiore protezione, eseguire una copia di backup del registro prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base:
322756Backup e ripristino del Registro di sistema in Windows
Computer users or administrators can manually define on any client computer the time-out in milliseconds. A questo scopo, attenersi alla seguente procedura:
  1. Start Registry Editor (Regedt32.exe).
  2. Locate and then click the following key in the registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
  3. NelModificamenu, scegliereAggiungi valore, quindi aggiungere il seguente valore del Registro di sistema:
    Nome valore:InitRetryTimeout
    Tipo di dati: REG_DWORD
    Radice: decimal
    Valore: (l'impostazione predefinita è di tempo in millisecondi 360000 ma questo valore deve essere
    impostare dimensioni maggiori quindi 6000)
  4. Uscire dall'editor del Registro di sistema.
  5. Riavviare il computer.
Problema 9
Sintomo

(Amministratore UAG) è installato su un server che esegue una versione di lingua APAC localizzata di Windows 2008 R2 UAG. Quando si tenta di creare un ramo UAG, viene visualizzato un messaggio di errore e la creazione di giunzione viene interrotta.

Ad esempio finestre vuote, messaggi di errore imprevisti o MMC frequenti arresti anomali si verificano quando si tenta di creare un ramo UAG.

Causa

Questo problema si verifica a causa di manipolazioni non corrette delle risorse di sistema. Queste modifiche non corrette causare un errore quando si esegue UAG in alcune versioni localizzate non occidentale dei sistemi operativi (coreano/giapponese o cinese).

Risoluzione

Il codice che gestisce l'accesso a queste risorse di sistema è stato risolto.

Problema 10


Sintomo

Componenti di pulitura Session endpoint non viene avviato da eseguire dopo il riavvio di un endpoint. Inoltre, una finestra viene aperta che punta alla cartella componenti client dopo un riavvio.

Causa

Prima di riavviare il sistema, componenti di pulitura Session Endpoint scrive un valore del Registro di sistema nella chiave ? esecuzione ?. Questo valore consente di avviare Endpoint Session pulitura componenti automaticamente dopo il riavvio di Windows. Tuttavia, il valore del percorso della chiave del Registro di sistema è un percorso dell'eseguibile che contiene spazi. Pertanto, si verifica un errore.

Risoluzione

Il valore di percorso che punta al file eseguibile Wiper allegato viene scritta nella chiave ? Esegui ? ora viene scritto come una stringa tra virgolette per evitare eventuali errori.

Problema 11


Sintomo

Quando si tenta di accedere l'impostazione della lingua opzioni in Exchange Server 2007 Outlook Web Application (OWA) che vengono pubblicati tramite UAG, verrà inviato il seguente messaggio di errore al client.

Si è tentato di accedere a un URL con restrizioni.

Causa

Questo problema si verifica perché la casella modello fuori per OWA di Exchange Server 2007 non è una voce insieme per il URL"/owa/languageselection.aspx". Il meccanismo UAG RuleSet non consente l'accesso a qualsiasi URL che non è nell'elenco vuoto.

Risoluzione

Viene aggiunta una nuova regola di pubblicazione per consentire l'accesso a questa risorsa URL OWA di Exchange 2007. In questo caso, la nuova regola "ExchangePub2007_Rule36" consente l'accesso all'URL "/owa/languageselection.aspx".

Problema 12


Sintomo

Quando un utente tenta di accedere a un sito UAG o tenta di accedere a un percorso con segnalibro all'interno dell'applicazione, anziché il percorso di accesso UAG, l'utente riceve un errore interno del server 500, è in grado di accedere al sito.

NotaIl sito UAG utilizza ADFS per l'autenticazione e richiede direttamente un'applicazione pubblicata.

Causa

Quando UAG è configurato per utilizzare ADFS per l'autenticazione, si verificano reindirizzamenti diverse tra STS (Security Token Service) e il sito interno UAG. Se il redirectes non vengono eseguiti nel modo previsto, UAG restituisce errori. When a user tries to directly access a published resource instead of the portal site, the re-routing process is broken. Therefore, internal server error occurs.

Risoluzione

This issue is fixed in this update.

Issue 13

Sintomo

When an administrator is configuring an ActiveDirectory type authentication repository, the administrator cannot set the group nesting value to "unlimited". According to UAG specification, the value of the group nesting field could be blank. However, when the field is blank and the configuration is saved and activated, the value is set back to "0" unexpectedly.

NotaThe UAG MMC needs to be closed and re-opened in order to get the value of "0" visible. As UAG specification, "0" means that there is no group nesting. Therefore, group nesting does not work as expected.

Causa

This issue occurs because the correct value for the group nesting field cannot be stored in the configuration. Therefore, the correct value cannot be applied to both the GUI and the authentication functions.

Risoluzione

The value in the configuration is now properly stored and updated when the group nesting value is deleted from the GUI Additionally, the value is properly applied to the authentication functions.

NotaMicrosoft recommends setting the value to be the lowest number that is required for the authorization in UAG. You can set the value to higher than 2 levels of nesting due to the potential delay and the required resources. If higher than 2 levels are required for a deployment, you must test the impact of these changes before the system is deployed in production. In extreme cases, these settings can cause both the UAG server and any DCs that are being used for authentication by UAG to crash because of high resource demands.

Issue 14


Sintomo

When you try to close the Network connector (NC) server configuration window after you enable the NC server, you may receive the following error message:

Wrong Network Connector parameters, invalid segment address

Causa

The SSL Network Tunneling service can be used only when the physical network adapters have MAC addresses that begin with "00".

Risoluzione

The SSL Network Tunneling service can be used even though the physical network adapters have MAC addresses that begin with "00".

Issue 15


Sintomo

UAG was released with only partial support for Citrix XenApp 5.

When you want to publish Citrix without errors, they were obligated to follow the steps that are provided in the following Microsoft website:
Introduction to how to publish Citrix XenApp 5.x with UAG 2010

Causa

This issue occurs because the support for Citrix is broken.

Risoluzione

The steps that are provided in the above to properly publish Citrix XenApp 5.0 are now included in this update.

Issue 16


Sintomo

The AV product "Trend Micro OfficeScan Anti-Virus" or "Trend Micro PC-Cillin Anti-Virus" is selected from the GUI. In this case, when you create a policy and then apply the policy to an application, you receive the following error message during the activation:

Source Line could not be located

Causa

This issue occurs because the policy syntax validation algorithm misses dependencies that are required by these particular policies.

Risoluzione

The dependencies that are required by these policies are added to policy syntax validation algorithm after you install this update.

Problemi noti

  • After you install this update the SSL Network Tunneling network adapter becomes invisible in the Network Connections window. This behavior is by design. To make sure that the network adapter is installed open Device Manager and select ?Show Hidden Devices? entry on the View menu.
  • Sometimes the uninstall update operation may fail with an error message, specifying that the installation file ?FirefrontUAG.msi? cannot be found or with the installation error 1269.
    1. Open Start menu and typeShow hidden files and folders.
    2. In the opened window advanced settings clear theHide protected operation system files (Recommended)option and pressOK.
    3. Open an elevated Command Prompt window and typeUninstallUagUpdate.
    4. Wait several minutes for the installation database repair if it is required.
      NotaYou might receive a message that informs you of the need for a repair.

  • Citrix XenApp support is only for version 5.0. Later versions are not supported.
  • This release only supports the Personal Desktop scenario of VDI. Pooled desktop scenario is currently not supported.
  • Socket Forwarding is available on Window 7 and Vista 64 bit clients for 32 bit applications (WOW64 applications). It is not available for native 64 bit applications.
  • Publishing OWA for Exchange 2010 Service Pack 1 by UAG requires manual modification of an AppWrap and modifications to the RuleSets. An article about the steps that are required to do this is published on the UAG Product team bloghttp://blogs.technet.com/b/edgeaccessblog/. The steps that are described in the article will be integrated into a future update of UAG.
  • Microsoft Customer Support Services (CSS) cannot provide support to customers if they use beta, non-RTM, or non-generally-available (GA) products such as Internet Explorer 9 Beta. Support for IE9 will be included in a future update after IE9 is officially released.

Known issues with Arrays and Network Load Balancing (NLB)

  • When you try to join two servers to the same array at the same time, the array storage may be corrupted. If this happens, restore the settings from backup.
  • Quando si elimina un IPv6 indirizzo IP virtuale (VIP) nella console di gestione UAG Forefront, l'indirizzo non può essere rimosso completamente. Per aggirare il problema, eliminare manualmente indirizzi dalla scheda di rete nel sistema di condivisione di rete ed e nella console di gestione UAG Forefront.
  • Forefront UAG potrebbe non rilevare che un membro di matrice che utilizza integrato NLB perde la connettività di rete (ad esempio un ISP-errore di sistema). In questo scenario, Forefront UAG potrebbe continuare instradare il traffico verso il server non disponibile. Per evitare questo problema, disattivare le schede interne ed esterne di membri di matrice non in linea. Abilitare nuovamente le schede dopo che sono stati risolti i problemi di connettività.
  • Se si dispone di Microsoft System Center Operations Manager 2007 distribuito nell'organizzazione, è possibile monitorare lo stato delle schede di rete del membro di matrice. A questo scopo, attenersi alla seguente procedura:
    • Assicurarsi che il sistema operativo Windows Server e Windows Server 2008 NLB management pack sono installati in ogni membro della matrice.
    • Utilizzare Operations Manager 2007 per rilevare le schede di rete disconnesse sui membri della matrice.
      NotaOperations Manager 2007 segnala problemi come segue:
      • Se è presente un problema con la scheda connessa alla rete interna, Operations Manager 2007 segnala che non viene rilevato alcun heartbeat.
      • Se è presente un problema con la scheda connessa alla rete esterna, Operations Manager 2007 segnala un problema di bilanciamento carico di rete di Windows.
  • Quando si crea un ramo di reindirizzamento di un ramo HTTPS in una matrice non è attivato il bilanciamento del carico, è necessario assegnare manualmente gli indirizzi IP di giunzione reindirizzamento per ogni membro della matrice. Questa operazione è descritta nel seguente articolo:
    Introduzione all'installazione aggiornamento 1 in una matrice utilizzando NLB


Proprietà

Identificativo articolo: 2288900 - Ultima modifica: giovedì 4 novembre 2010 - Revisione: 1.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Forefront Unified Access Gateway 2010
Chiavi: 
kbexpertiseinter kbinfo kbsurveynew atdownload kbmt KB2288900 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 2288900
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com