メイン コンテンツへスキップ
サポート
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

概要

これらのリリース ノートには、Microsoft Forefront Unified Access Gateway (UAG) 2010 に関連する最新の問題が記載されています。Forefront Unified Access Gateway (UAG) をインストールする前に、このドキュメントに記載されている情報を読む必要があります。この資料では、この更新プログラムに関する以下の情報について説明します。

  • この更新プログラムに含まれている、新機能および機能強化

  • この更新プログラムで解決される問題

  • この更新プログラムの入手方法

  • この更新プログラムをインストールするための必要条件

  • 既知の問題

はじめに

この資料では、Forefront UAG 2010 の更新プログラム 2 とインストール手順について説明します。Forefront UAG 2010 の更新プログラム 2 には、以下の機能があります。

  • クライアント コンポーネントの拡張機能: Forefront UAG SSL アプリケーション トンネリング (ソケット フォワーダー) のコンポーネントは現在、32 ビット用の Windows Vista および Windows 7 64 ビット オペレーティング システムでサポートされています。

    機能

    Windows XP (32 ビット)

    Windows Vista (32 ビット)

    Windows Vista (64 ビット)

    Windows 7 (32 ビット)

    Windows 7 (64 ビット)

    Mac または Linux

    オフライン インストール

    あり

    あり

    あり

    あり

    あり

    なし

    オンライン インストール

    あり

    あり

    あり

    あり

    あり

    あり

    エンドポイント検出

    あり

    あり

    あり

    あり

    あり

    あり

    Attachment Wiper

    あり

    あり

    あり

    あり

    あり

    あり

    SSL トンネリング コンポーネント

    あり

    あり

    あり

    あり

    あり

    あり

    ソケット フォワーダー

    あり

    あり

    あり

    あり

    あり

    なし

    SSL アプリケーション トンネリング (ネットワーク コネクタ)

    あり

    あり

    あり

    なし

    なし

    なし

    注: ブラウザー、オペレーティング システム、およびクライアント コンポーネントの機能および互換性に関する固有の情報については、次の Microsoft TechNet Web ページを参照してください。

    Forefront UAG エンドポイントのシステム要件の概要

  • 仮想デスクトップ インフラストラクチャ (VDI): Forefront UAG は、VDI の個人用デスクトップ シナリオによるリモート デスクトップの公開を完全にサポートしています。

  • Citrix 公開サポート: Forefront UAG は、Citrix Presentation Server 4.5 およびその代替の Citrix XenApp 5.0 を完全にサポートしています。

  • Citrix クライアント コンピューター サポート: Forefront UAG は、64 ビットのオペレーティング システムである Windows Vista および Windows 7 コンピューターから XenApp クライアントが 32 ビットである Citrix XenApp アプリケーションへのアクセスをサポートしています。詳細については、下記の問題 4 を参照してください。

  • SSTP ユーザーとグループのアクセス コントロール: Forefront UAG は現在、管理者が各グループに SSTP アクセス権限を付与することを許可する、詳細な認証メカニズムを提供しています。

  • SSL ハンドシェイク: Forefront UAG は現在、UAG と公開された Web サーバー間の SSL ハンドシェイクについてより堅牢な処理を提供しています。

  • クライアント証明書の委任: Forefront UAG は現在、ネゴシエーション用にクライアント証明書の資格情報を必要とするアプリケーション サーバーにおけるアプリケーションに対して一部の制限された追加サポートを提供しています。

  • ネットワーク コネクタ MAC アドレスのサポート: Forefront UAG ネットワーク コネクタ サーバーは、MAC アドレス範囲が拡張された広範なネットワーク アダプターをサポートしています。

Forefront UAG 2010 更新プログラム 2 の新機能に関する詳細については、以下のマイクロソフト Web ページの「What's new in Forefront UAG」セクションを参照してください。

Forefront UAG に適用する製品評価版の概要

詳細

更新プログラムの情報

以下のファイルは、Microsoft ダウンロード センターからダウンロードできます。

alternate textForefront Unified Access Gateway (UAG) 更新プログラム 2 パッケージ  

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下のサポート技術情報番号をクリックしてください。

119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法 マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

この更新プログラムは累積的で、次のバージョンの UAG 2010 を実行している機器、サーバー、または仮想マシンに適用できます。

  • UAG 2010 (RTM)

  • UAG 2010 更新プログラム 1

  • UAG 2010 更新プログラム 1 ロールアップ 1 修正プログラム パッケージ

UAG 更新プログラム 1 の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

981323 Unified Access Gateway 2010 の更新プログラム 1 について UAG 更新プログラム 1 のロールアップ 1 修正プログラム パッケージの関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。

981932 Unified Access Gateway 2010 更新プログラム 1 のロールアップ 1 修正プログラム パッケージの説明

インストールに関する注意

UAG サーバー アレイが使用中である場合のインストール順序

  1. 最初に、アレイ マネージャーに更新プログラム 2 をインストールします。

  2. 再起動します。

  3. UAG 構成をアクティブ化します。

  4. 構成の同期を待機します。

  5. 最初のマネージャー以外のアレイ メンバーに更新プログラム 2 をインストールします。

  6. 再起動します。

  7. 残りの全アレイ メンバーに対して繰り返します。

注: 必要な場合は、逆の順序で更新プログラム 2 をアンインストールする必要があります。

再起動の必要性

アレイ シナリオ以外では、この修正プログラムの適用後、コンピューターの再起動は不要です。更新プログラム パッケージをインストールした後に、UAG 構成をアクティブ化する必要があります。UAG アクティブ化を実行すると、UAG サーバーに対する既存の SSL アプリケーション トンネリング接続が終了することに注意してください。

アレイ シナリオでは、再起動が必要です。アレイの使用時に更新プログラムを正常に展開するには、上記のアレイのインストール手順が必要です。これらの手順に従わなければ、アレイが破損したり、構成が失われたりすることがあります。

修正プログラムの置き換えに関する情報

この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。

アンインストール情報

この更新プログラムをアンインストールするには、次のいずれかの方法を使用します。

  • ビルトイン管理者としてログオンし、コントロール パネルの [プログラムの追加と削除] アプレットを使用して、更新プログラムをアンインストールします。

  • 管理者特権を持つコマンド プロンプトで、次のコマンドを入力し、Enter キーを押します。

    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

ファイル情報

修正プログラム (英語版) のファイル属性は次の表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。これらのファイルの日付と時刻は世界協定時刻 (UTC) で表示されます。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。

File name

File version

File size

Date

Time

Platform

Agent_win_helper.jar

Not applicable

1,286,015

30-Aug-2010

13:12

Not applicable

Clientconf.xml

Not applicable

6,675

15-Sep-2010

06:41

Not applicable

Configdatacomlayer.dll

4.0.1269.200

192,400

15-Sep-2010

08:13

x64

Configdatalayer.dll

4.0.1269.200

3,871,632

15-Sep-2010

08:06

x64

Configmgrcom.exe

4.0.1269.200

199,568

15-Sep-2010

08:01

x64

Configmgrcomlayer.dll

4.0.1269.200

2,246,032

15-Sep-2010

08:15

x64

Configmgrcore.dll

4.0.1269.200

1,375,632

15-Sep-2010

08:23

x64

Configmgrinfra.dll

4.0.1269.200

1,599,888

15-Sep-2010

08:12

x64

Configmgrlayer.dll

4.0.1269.200

215,440

15-Sep-2010

08:05

x64

Configuration.exe

4.0.1269.200

8,920,976

15-Sep-2010

08:22

x64

Detection.js

Not applicable

14,591

15-Sep-2010

07:20

Not applicable

Https_whlfiltappwrap_forpor

Not applicable

60,961

15-Sep-2010

07:19

Not applicable

Http_whlfiltappwrap_forport

Not applicable

59,475

15-Sep-2010

07:19

Not applicable

Install.js

Not applicable

11,218

15-Sep-2010

07:20

Not applicable

Installanddetect.asp

Not applicable

12,067

15-Sep-2010

07:20

Not applicable

Internalerror.asp

Not applicable

8,344

15-Sep-2010

07:20

Not applicable

Internalerror.inc

Not applicable

24,402

15-Sep-2010

07:20

Not applicable

Login.asp

Not applicable

24,183

15-Sep-2010

07:20

Not applicable

Logoffmsg.asp

Not applicable

7,705

30-Aug-2010

13:11

Not applicable

Microsoft.uag.da.messages.d

4.0.1269.200

33,680

15-Sep-2010

08:14

x64

Microsoft.uag.transformer.c

4.0.1269.200

6,297,488

15-Sep-2010

08:02

x86

Monitormgrcom.exe

4.0.1269.200

151,952

15-Sep-2010

08:01

x64

Monitormgrcore.dll

4.0.1269.200

740,240

15-Sep-2010

08:23

x64

Monitormgrlayer.dll

4.0.1269.200

354,192

15-Sep-2010

08:12

x64

Policy.xml

Not applicable

80,244

17-Oct-2010

12:16

Not applicable

Policydefinitions.xml

Not applicable

61,516

15-Sep-2010

07:15

Not applicable

Redirecttoorigurl.asp

Not applicable

1,423

30-Aug-2010

13:11

Not applicable

Repairinstallation.vbs

Not applicable

3,044

30-Aug-2010

13:12

Not applicable

Ruleset_forinternalsite.ini

Not applicable

47,019

30-Aug-2010

13:11

Not applicable

Sessionmgrcom.exe

4.0.1269.200

233,872

15-Sep-2010

08:24

x64

Sessionmgrcomlayer.dll

4.0.1269.200

1,641,360

15-Sep-2010

08:02

x64

Sessionmgrcore.dll

4.0.1269.200

738,192

15-Sep-2010

08:01

x64

Sessionmgrinfra.dll

4.0.1269.200

1,197,968

15-Sep-2010

08:22

x64

Sessionmgrlayer.dll

4.0.1269.200

200,592

15-Sep-2010

08:04

x64

Sfhlprutil.cab

Not applicable

57,194

15-Sep-2010

08:35

Not applicable

Shareaccess.exe

4.0.1269.200

492,944

15-Sep-2010

08:12

x64

Sslbox.dll

4.0.1269.200

58,768

15-Sep-2010

08:14

x64

Sslvpntemplates.xml

Not applicable

28,704

30-Aug-2010

13:12

Not applicable

Sslvpn_https_profiles.xml

Not applicable

968

17-Oct-2010

12:16

Not applicable

Uagqec.cab

Not applicable

64,842

15-Sep-2010

08:36

Not applicable

Uagqessvc.exe

4.0.1269.200

207,760

15-Sep-2010

08:04

x64

Uagrdpsvc.exe

4.0.1269.200

144,272

15-Sep-2010

08:14

x64

Uninstalluagupdate.cmd

Not applicable

212

15-Sep-2010

08:41

Not applicable

Usermgrcom.exe

4.0.1269.200

119,184

15-Sep-2010

08:01

x64

Usermgrcore.dll

4.0.1269.200

837,008

15-Sep-2010

08:01

x64

Whlasynccomm.dll

4.0.1269.200

107,408

15-Sep-2010

08:14

x64

Whlcache.cab

Not applicable

265,768

15-Sep-2010

08:36

Not applicable

Whlclientsetup-all.msi

Not applicable

2,964,992

15-Sep-2010

08:22

Not applicable

Whlclientsetup-basic.msi

Not applicable

2,964,992

15-Sep-2010

08:01

Not applicable

Whlclientsetup-networkconne

Not applicable

2,965,504

15-Sep-2010

08:04

Not applicable

Whlclientsetup-networkconne

Not applicable

2,965,504

15-Sep-2010

08:03

Not applicable

Whlclientsetup-socketforwar

Not applicable

2,964,992

15-Sep-2010

08:24

Not applicable

Whlclntproxy.cab

Not applicable

242,713

15-Sep-2010

08:35

Not applicable

Whlcompmgr.cab

Not applicable

689,483

15-Sep-2010

08:35

Not applicable

Whlcppinfra.dll

4.0.1269.200

669,584

15-Sep-2010

08:23

x64

Whldetector.cab

Not applicable

263,764

15-Sep-2010

08:36

Not applicable

Whlfiltappwrap.dll

4.0.1269.200

315,280

15-Sep-2010

14:02

x64

Whlfiltappwrap_http.xml

Not applicable

59,475

15-Sep-2010

13:19

Not applicable

Whlfiltappwrap_https.xml

Not applicable

60,961

15-Sep-2010

13:19

Not applicable

Whlfiltauthorization.dll

4.0.1269.200

311,696

15-Sep-2010

14:23

x64

Whlfilter.dll

4.0.1269.200

589,200

15-Sep-2010

14:22

x64

Whlfiltsecureremote.dll

4.0.1269.200

1,037,200

15-Sep-2010

14:22

x64

Whlfiltsecureremote_http.xm

Not applicable

77,404

30-Aug-2010

13:11

Not applicable

Whlfiltsecureremote_https.x

Not applicable

80,308

17-Oct-2010

12:16

Not applicable

Whlfirewallinfra.dll

4.0.1269.200

444,816

15-Sep-2010

08:13

x64

Whlgenlib.dll

4.0.1269.200

511,376

15-Sep-2010

08:04

x64

Whlglobalutilities.dll

4.0.1269.200

106,384

15-Sep-2010

08:05

x64

Whlinstallanddetect.inc

Not applicable

4,476

30-Aug-2010

13:11

Not applicable

Whlio.cab

Not applicable

167,277

15-Sep-2010

08:35

Not applicable

Whlioapi.dll

4.0.1269.200

76,176

15-Sep-2010

08:04

x64

Whliolic.dll

4.0.1269.200

15,760

15-Sep-2010

08:22

x64

Whlios.exe

4.0.1269.200

137,104

15-Sep-2010

08:24

x64

Whllln.cab

Not applicable

167,095

15-Sep-2010

08:36

Not applicable

Whlllnconf1.cab

Not applicable

6,521

15-Sep-2010

08:35

Not applicable

Whlllnconf2.cab

Not applicable

6,610

15-Sep-2010

08:36

Not applicable

Whlllnconf3.cab

Not applicable

6,599

15-Sep-2010

08:35

Not applicable

Whltrace.cab

Not applicable

254,352

15-Sep-2010

08:36

Not applicable

Whltsgauth.dll

4.0.1269.200

184,208

15-Sep-2010

08:02

x64

Whltsgconf.dll

4.0.1269.200

87,440

15-Sep-2010

08:22

x64

Whlvaw_srv.dll

4.0.1269.200

138,128

15-Sep-2010

08:05

x64

Wioconfig.dll

4.0.1269.200

496,528

15-Sep-2010

08:01

x64




この更新プログラムで修正される問題

この更新プログラムを適用すると、サポート技術情報の資料にこれまで記載されていなかった以下の問題が修正されます。

問題 1


現象

管理者には、Secure Socket トンネリング プロトコル (SSTP) の仮想プライベート ネットワーク (VPN) クライアント用に詳細なアクセス制御が必要です。ただし、UAG で SSTP を構成すると、内部ネットワーク全体に対する VPN クライアントのアクセスにシングル アクセス ルールが作成されます。

http://technet.microsoft.com/en-us/library/ee522953.aspx の以下のテキストに基づいて、Threat Management Gateway (TMG) コンソールを使用し、SSTP VPN アクセスに対して詳細なアクセス制御を有効にすることがサポートされています。

"VPN リモート ネットワーク アクセス用に Forefront UAG を展開する際にユーザー、グループ、およびネットワークを制限する目的について、Forefront TMG 管理コンソールを使用するアクセス ルールを作成しています。"

ただし、管理者がアクセス ルールを作成してユーザーのアクセスを制限する場合、UAG をアクティブ化した後に、これらのルールは削除されるか、アクセス ポリシーの最下部に移動されます。これは、既定のルールが優先され、構成した詳細な制御が失われることを意味しています。

原因

この問題は、UAG と、UAG アクティブ化の際に TMG に展開される動的に生成されたルールとの統合の設計における制限が原因で発生します。

解決策

TechNet で説明されているように、TMG ルールの手動修正による詳細なアクセス制御のサポート (UAG 更新プログラム 2 のインストール後にはサポートされなくなります) ではなく、UAG 管理コンソールでの詳細なアクセス制御の明示的なサポートが優先されます。

UAG 管理者は現在、特別な Active ディレクトリ グループのメンバーである SSTP VPN ユーザーの特別な内部ネットワーク アドレスに対してアクセス許可を明示的に有効にすることができます。UAG 管理者は、[SSL ネットワーク トンネリング構成] ダイアログ ボックスの新しい [ユーザー グループ] タブを使用して、アクセス ルールのセットを構成する詳細な IP VPN アクセス ポリシーを定義する必要があります。各ルールでは、SSTP VPN への接続時に特別な Active ディレクトリ グループのメンバーがアクセスできる、内部ネットワーク IP アドレスおよび IP アドレス範囲のセットを定義します。

問題 2


現象

マイクロソフト仮想デスクトップ インフラストラクチャ (VDI) の UAG におけるサポートは完全に実装されていません。

原因

紛らわしい UAG UI が原因で、構成で問題が発生していることと、実装中に別のリソースで複数の認証をサポートできないことにより、VDI は正常に動作しません。

解決策

UAG UI を更新し、より堅牢な実装で VDI のパーソナル デスクトップ シナリオをサポートするように、設計を変更しました。VDI のプール デスクトップシナリオは、実装されませんでしたが、UAG の今後の更新プログラムで実装される可能性があります。

問題 3


現象

Forefront UAG SSL アプリケーション トンネリング (ソケット フォワーダー) の UAG クライアント コンポーネントは、64 ビット版の Windows 7 および 64 ビット版の Windows Vista でサポートされていません。

原因

これは、UAG 更新プログラム 2 の前に設計されていた UAG クライアント コンポーネントの動作です。

解決策

以下のシナリオに対応するため、設計を変更しました。

公開方法として UAG ソケット フォワード/アプリケーション トンネリングを使用する Web アプリケーションの広範なセットがあります。たとえば、このようなアプリケーションは Citrix XenApps および Presentation Server 4.5 で、両方ともブラウザーで ActiveX アプリケーションとして実行されます。この更新プログラムの前には、技術的な限界のため、64 ビット版のクライアント オペレーティング システムでこれらの公開方法の展開は許可していません。そのため、それらの方法を使用する公開済みの同じアプリケーションは、64 ビット版のオペレーティング システムではなく、32 ビット版のクライアント オペレーティング システムからアクセスできます。

このシナリオで変更されたのは、64 ビット版の Windows クライアント オペレーティング システムでソケット フォーワード (SF) クライアント コンポーネントを展開する方法が提供され、トンネリング アプリケーションの起動が有効化されたという点です。この実装の制限は次のとおりです。

  • ソケット フォワーダーのサポートは、64 ビット版の Windows Vista および 64 ビット版の Windows 7 に限定されており、他の 64 ビット版のオペレーティング システムはサポートされていません。

  • ソケット フォワーダーは、ユーザーが (WOW64 32 ビット エミュレーションで実行されている) 32 ビット版の Internet Explorer からアクセスする場合のみ、サポートされています。

  • ソケット フォワーダーは、32 ビット版アプリケーション (WOW64 アプリケーション) のみに影響を与え、ネイティブ 64 ビット版アプリケーションには影響を与えません。

更新されたコンポーネントの展開オプションは以下のとおりです。

  • オンライン:SF コンポーネントの展開を実行する標準的な方法です。トンネリング公開方法として SF を使用する UAG ポータル アプリケーションの初回起動時に、コンポーネントがダウンロードされ、インストールされます。

  • オフライン:管理者はスクリプト化された配布ソフトウェアを使用するか、手動インストールで適切な Windows インストーラー アプリケーション (MSI) を展開することもできます。UAG 更新プログラム 2 のインストール後、以下の場所にある UAG サーバーでファイルが使用できるようになります。

    %UAG installation directory%\von\PortalHomePage\

問題 4


現象

64 ビット版の Windows Vista または Window 7 を搭載しているクライアント コンピューターから UAG によって公開される Citrix XenApps 5.0 にはアクセスできません。

原因

これは、UAG 更新プログラム 2 の前に設計されていた UAG クライアント コンポーネントの動作です。

解決策

詳細については、問題 3 の「解決策」セクションを参照してください。

問題 5


現象

エンドポイント ポリシーを作成または編集しようとするときに、「McAfee Total Protection」ポリシーが一覧に 2 回表示されます。2 番目の「McAfee Total Protection」ポリシーを選択すると、以下のようなエラー メッセージが表示されます。

ソース行が見つかりません


原因

この問題は、%UAG installation directory%\von\Conf\PolicyDefinitions.xml ファイルに、同じタイトルと ID を持つ 2 つのエントリが含まれていることが原因で発生します。

解決策

二重エントリの問題は、PolicyDefinitions.xml ファイルから 2 番目のレコードを削除すると解決されます。

問題 6

現象

UAG で公開されるリソースにアクセスすると、クライアントのブラウザーに "証明書の処理中に不明なエラーが発生しました" というエラーが表示されます。また、UAG 管理者は、SSL ネゴシエーション手順の "ハンドシェイク確認状態" 中に SEC_I_CONTINUE_NEEDED が返される UAG サーバーのデバッグ ログで確認できます。その手順に従うと、エラー コード 37 で /InternalSite/InternalError.asp ページがクライアントに返されたことがデバッグ ログに示されます。エラー コード 37 は、"証明書の処理中に不明なエラーが発生しました" というエラー メッセージです。

原因

既存の SSL メカニズムでは、UAG によって公開されたバックエンド サーバーで SSL ハンドシェイクが実行されるときに、正常に処理されないシナリオがあります。SSL のストリーミングでは、不十分なデータまたはハンドシェイク中の過剰な情報の読み取りのいずれかの可能性がある、複雑なシナリオが作成されます。このシナリオの InitializeSecurityContext では、今後の使用のために保存する必要のある追加データをユーザーが渡したことが報告されます (回線経由で多くのデータを読み取った後に考えられます)。

解決策

ハンドシェイク アルゴリズムを拡張し、追加のストリーミングのケースおよびシナリオをサポートします。


問題 7

現象

UAG を経由して公開された HTTPS アプリケーションにアクセスすると、エラー 37 "証明書の処理中に不明なエラーが発生しました。" が表示されます。ユーザーがアプリケーションにアクセスしている間に、管理者がデバッグ ロギングを実行していると、次のエラー メッセージが表示されます。

ERROR:Failed to initialize security context.Returned error:0x90320.

InitializeSecurityContext return SEC_INCOMPLETE_CREDENTIALS – Schannel requires client certificate credentials

原因

バックエンド アプリケーション サーバーは、SSL ネゴシエーション ステージ中にクライアント証明書の資格情報を要求するように構成されています。この更新の前には、このような機能はサポートされていませんでした。そのため、ネゴシエーションが失敗し、エラーが表示されます。

解決策

次の 2 つのシナリオで、バックエンド サーバーがクライアント証明書の資格情報を要求する可能性があります。

  • バックエンド アプリケーションサーバーは、証明書のコンテキストを入手するため、クライアント証明書を要求していますが、証明書自身は要求していません。この場合、SEC_INCOMPLETE_CREDENTIALS リターン コードが受信された後に、UAG によるネゴシエーションの再試行を許可するフォールバックが実装されていました。バックエンド サーバーは通常、クライアント証明書を必要としていないため、このネゴシエーションは正常に完了します。

  • バックエンド アプリケーションはクライアント証明書の認証を必要としています。実装されていた設計の変更では、クライアントがクライアント証明書で通過することは許可されていませんが、1 つの有効なクライアント証明書をすべてのユーザーのバックエンド Web サーバーに供給することはできます。

    この場合、UAG 管理者は有効なクライアント証明書を供給し、マシンの証明書として UAG サーバーにインストールする必要があります。

    1. UAG SSLBox モジュールに正しい証明書を取得および入手するには、次の手順を実行します。

      1. MMC コマンドを実行し、管理コンソールを開きます。

      2. [ファイル] メニューをクリックし、[スナップインの追加と削除] をクリックします。

      3. 一覧から [証明書] を選択し、[追加] をクリックします。

      4. コンピューター アカウントを選択して、[完了] をクリックします。

      5. [個人] 証明書ストアを開きます。

      6. 一覧から必要なクライアント認証証明書を選択して、証明書をダブルクリックするか、証明書を右クリックして、[開く] をクリックします。

      7. [詳細] ペインを選択し、下方向にスクロールします。

      8. [拇印] プロパティを選択します。

      9. 以下のペインでプロパティ値を選択し、Ctrl + C を押してその値をコピーします。

      10. 重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

        322756 Windows でレジストリをバックアップおよび復元する方法レジストリ エディター (Regedt32.exe) を起動します。

        b. 次のレジストリ キーを見つけてクリックします。

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。

        ClientCertHash
        データ型: 文字列型 (String)
        値: {the text copied in step 9} [for example:a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
        d. レジストリ エディターを終了します。
        e. 管理者として IISReset を実行し、IIS を再起動します。
        f. UAG 構成をアクティブ化します。

問題 8

現象

ごくまれに、UAG クライアント コンポーネントがインストールされているクライアント コンピューターには、そのクライアントが UAG サーバーと通信している間に Windows イベント ログに毎秒書き込まれる "uagqecsvc" イベント ID 85 ログ メッセージが表示されます。これはエラー警告ですが、これにより、クライアント イベント ログがいっぱいになり、管理者またはヘルプディスクがクライアントの Windows イベント ログ内にある実際のイベントを確認しにくくなります。そのクライアントが IAG サーバーに接続される場合、これらのメッセージは毎秒クライアントに表示されます。

イベント ID:85

ソース: uagqecsvc

種類:エラー

説明:Microsoft Forefront UAG 検疫強制クライアントのコンポーネントは、強制クライアントのコールバック HRESULT 値: 0x8027000E を初期化できません。この問題は、セキュリティ ポリシーでコンポーネントが有効にならない場合に発生することがあります。


クライアント イベント ログ内には、別の関連イベントがあることもあります。

イベント ID:16

ソース: uagqecsvc

ログの名前: Application

説明:Microsoft Forefront UAG 検疫強制クライアントのコンポーネントは、ネットワーク アクセス保護 (NAP) エージェント サービスのステータスを取得できません。システム エラー 1115: システム シャットダウンが実行中です。(0x45b).Microsoft Forefront UAG 検疫強制クライアントのコンポーネントは起動時に、NAP エージェント サービスの設定を照会しようとします。

この問題は UAG または UAG 展開に直接関係はありませんが、一部の展開で、UAG クライアント コンポーネントをインストールしているユーザーは IAG サーバーと UAG サーバーの両方にアクセスできます。

原因

UAG クライアント コンポーネントには、"Microsoft Forefront UAG Quarantine Enforcement Client" の表示名を持つコンポーネント サービス "uagqecsvc" があります。これは、NAP を使用してエンドポイントの正常性の状態を照会し、その状態を UAG の NAP モジュールに報告します。ごくまれに、この問題は UAG サーバーにバインドするためのサービスの再試行として UAG 展開に繰り返し表示されます。接続できるまで、バインドは 1 秒のタイムアウトのループで実行されます。

また、IAG Service Pack 2 更新プログラム 3 以降では、UAG クライアント コンポーネントは IAG に移植されました。そのため、uagqecsvc サービスは、Service Pack 2 更新プログラム 3 のある任意の IAG サーバーに接続しているクライアント コンポーネントにもインストールされます。NAP エンドポイント検出機能は IAG には存在しないため、UAG コンポーネントをインストールしているクライアントでは、Windows イベント ログに記載されている上記のログを生成するプロセスで、1 秒ごとの UAG NAP サービスへの接続試行が続行されます。

解決策

以前のバージョンのクライアント コンポーネントでは、UAG NAP 検出エージェントとの通信を再試行する際の既定のタイムアウトが 1 分に設定されていましたが、UAG 更新プログラム 2 では 1 時間に変更されました。この値を変更する管理者向けに、クライアントでのタイムアウトを手動で定義する方法が用意されています。

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。

322756 Windows でレジストリをバックアップおよび復元する方法コンピューターのユーザーまたは管理者は、クライアント コンピューターにおいてタイムアウトをミリ秒単位で手動で定義できます。これを行うには、以下の手順を実行します。

  1. レジストリ エディター (Regedt32.exe) を起動します。

  2. 次のレジストリ キーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC

  3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。

    値の名前:InitRetryTimeout
    データ型: REG_DWORD
    基数: 10 進
    値: (ミリ秒単位の時間 360000 が既定値ですが、この値は
    6000 を超える値に設定する必要があります)

  4. レジストリ エディターを終了します。

  5. コンピューターを再起動します。

問題 9
現象

ユーザー (UAG 管理者) が、ローカライズされた APAC 言語バージョンの Windows 2008 R2 を搭載しているサーバーに UAG をインストールします。UAG にトランクを作成しようとすると、エラー メッセージが表示され、トランクの作成が停止されます。

たとえば、UAG にトランクを作成しようとすると、空のウィンドウ、予期しないエラー メッセージ、または頻繁な MMC のクラッシュが発生します。

原因

この問題は、システム リソースの誤った操作が原因で発生します。一部の Western 言語版以外のオペレーティング システム (韓国語版/日本語版/中国語版) で UAG を実行すると、これらの誤った操作により、エラーが表示されます。

解決策

これらのシステム リソースにアクセスするコードを修正します。

問題 10


現象

エンドポイント セッション クリーンアップ コンポーネントは、エンドポイントの再起動後に実行が開始されません。また、再起動後にクライアント コンポーネント フォルダーをポイントするエクスプローラーのウィンドウが表示されます。

原因

再起動前に、エンドポイント セッション クリーンアップ コンポーネントによって "Run" キーの下にレジストリ値が書き込まれます。このレジストリ値によって、再起動後に Windows でエンドポイント セッション クリーンアップ コンポーネントを自動的に起動することが可能になります。ところが、このレジストリ キーのパス値は、スペースを含む実行可能ファイルのパスです。そのため、エラーが発生します。

解決策

“Run” キーの下に書き込まれる Attachment Wiper 実行可能ファイルをポイントするパス値は現在、エラーを回避するため、引用符で囲まれた文字列で記述されています。

問題 11


現象

UAG を経由して公開される Exchange Server 2007 Outlook Web Application (OWA) の言語設定オプションにアクセスしようとすると、次のエラー メッセージがクライアントに送信されます、

制限された URL にアクセスしようとしました。


原因

この問題は、Exchange Server 2007 OWA の製品版のテンプレートに URL"/owa/languageselection.aspx" 用の RuleSet エントリがないことが原因で発生します。UAG RuleSet メカニズムでは、ホワイト リストにない URL にはアクセスできません。

解決策

Exchange 2007 OWA パブリッシングに新しいルールが追加され、このような URL リソースにアクセスできるようになりました。この場合、新しいルール " ExchangePub2007_Rule36 " により、URL "/owa/languageselection.aspx" にアクセスできます。

問題 12


現象

ユーザーが UAG サイトにアクセスしようとするか、UAG ログイン パスではなく、アプリケーション内のお気に入りに登録されたパスにアクセスしようとすると、500 内部サーバー エラーが表示され、そのサイトにアクセスできません。

注: UAG サイトでは認証に ADFS を使用するため、公開されたアプリケーションが直接要求されます。

原因

認証で ADFS を使用するように UAG が構成されている場合、セキュリティ トークン サービスと UAG 内部サイトの間でいくつかのリダイレクトが発生します。リダイレクトが予期される方法で実行されない場合、UAG はエラーを返します。ポータル サイトではなく公開されたリソースにユーザーが直接アクセスしようとすると、再ルーティング プロセスが破損します。そのため、内部サーバー エラーが発生します。

解決策

この問題は、今回の更新プログラムで修正されます。

問題 13

現象

管理者が ActiveDirectory タイプの認証レポジトリを構成している場合、グループの入れ子の値は "unlimited" に設定できません。UAG の仕様によっては、グループの入れ子フィールドが空欄になる可能性があります。ところが、フィールドが空欄であるときに構成が保存およびアクティブ化されると、その値は突然 "0" に設定されます。

注: "0" の値を表示するには、UAG MMC を閉じて、再度開く必要があります。UAG の仕様では、"0" はグループの入れ子がないことを意味します。そのため、グループの入れ子は正常に機能しません。

原因

この問題は、グループの入れ子フィールドの正しい値を構成に保存できないことが原因で発生します。そのため、正しい値は GUI と認証機能の両方に適用できません。

解決策

構成の値は現在、グループの入れ子値が GUI から削除されるときに、適切に保存および更新されます。また、その値は認証機能に正しく適用されます。

注: UAG での認証に必要な最小値に設定することをお勧めします。遅延の可能性と必要なリソースのため、入れ子の 2 レベルよりも大きい値に設定することができます。展開のために 2 レベルよりも大きい値が必要な場合、システムを運用環境に展開する前に、これらの変更の影響度をテストする必要があります。極端な場合、これらの設定は、高いリソース要求のため、UAG サーバーと UAG による認証に使用している DC の両方がクラッシュする原因になる可能性があります。

問題 14


現象

ネットワーク コネクタ (NC) サーバーを有効にした後、そのサーバーの構成ウィンドウを閉じようとすると、次のエラー メッセージが表示されることがあります。

ネットワーク コネクタのパラメーターが正しくありません。無効なセグメント アドレスです


原因

SSL ネットワーク トンネリング サービスは、物理ネットワーク アダプターに "00" で始まる MAC アドレスがある場合のみ、使用できます。

解決策

SSL ネットワーク トンネリング サービスは、物理ネットワーク アダプターに "00" で始まる MAC アドレスがある場合にも、使用できます。

問題 15


現象

Citrix XenApp 5 の一部のみをサポートしている UAG がリリースされました。

エラーなしで Citrix を公開するには、次のマイクロソフト Web サイトに記載されている手順を実行する必要がありました。

Introduction to how to publish Citrix XenApp 5.x with UAG 2010
原因

この問題は、Citrix のサポートが壊れていることが原因で発生します。

解決策

この更新プログラムには、Citrix XenApp 5.0 を正常に公開するための上記の手順が含まれています。

問題 16


現象

AV 製品 "Trend Micro OfficeScan Anti-Virus" または "Trend Micro PC-Cillin Anti-Virus" は GUI で選択されます。この場合、ポリシーを作成し、そのポリシーをアプリケーションに適用すると、アクティブ化の際に次のエラー メッセージが表示されます。

ソース行が見つかりません


原因

この問題は、ポリシーの構文検証アルゴリズムでこれらの特別なポリシーに必要な依存関係が失われることが原因で発生します。

解決策

これらの特別なポリシーに必要な依存関係は、この更新プログラムをインストールした後に、ポリシーの構文検証アルゴリズムに追加されます。

既知の問題


  • この更新プログラムをインストールした後に、SSL ネットワーク トンネリング アダプターはネットワーク接続ウィンドウに表示されなくなります。この動作は仕様です。ネットワーク アダプターがインストールされていることを確認するには、デバイス マネージャーを開き、表示ウィンドウで ‘非表示のデバイスの表示’ エントリを選択します。

  • 更新プログラムをアンインストールする処理に失敗し、インストール ファイル "FirefrontUAG.msi" が見つからないことを示すエラーメッセージか、インストール エラー 1269 のエラーメッセージが表示されることがあります。

    1. [スタート] メニューを開き、[すべてのファイルとフォルダーを表示する] を選択します。

    2. 開いたウィンドウの詳細設定で [保護されたオペレーティング システム ファイルを表示しない (推奨)] オプションをオフにして、[OK] を押します。

    3. 管理者としてコマンド プロンプト ウィンドウを開き、「UninstallUagUpdate」と入力します。

    4. 必要な場合には、インストール データベースの修復を数分待機します。
      注: 修復の必要性を通知するメッセージが表示されることがあります。


  • Citrix XenApp のサポートはバージョン 5.0 のみです。以降のバージョンはサポートされません。

  • このリリースは、VDI のパーソナル デスクトップ シナリオのみをサポートしています。プールされたデスクトップシナリオは現在、サポートされていません。

  • ソケット フォーワードは、32 ビット アプリケーション (WOW64 アプリケーション) 用の Window 7 および Window Vista の 64 ビット クライアントで使用できます。ネイティブの 64 ビット アプリケーションでは使用できません。

  • UAG で Exchange 2010 Service Pack 1 の OWA を公開するには、AppWrap の手動修正と RuleSets の修正が必要です。これを実行するのに必要な手順に関する資料は、UAG 製品チームのブログで公開されています。http://blogs.technet.com/b/edgeaccessblog/.資料で説明されている手順は、UAG の今後の更新プログラムに統合されます。

  • Internet Explorer 9 ベータ版などのベータ版、非 RTM、または安定版 (GA) でない製品を使用している場合、Microsoft Customer Support Services (CSS) ではサポートを提供できません。IE9 のサポートは今後、IE9 が公式にリリースされた後に含まれます。

アレイとネットワーク負荷分散 (NLB) の既知の問題

  • 2 つのサーバーを同じアレイに同時接続しようとすると、アレイ ストレージが破損することがあります。これが発生する場合は、バックアップから設定を復元します。

  • Forefront UAG 管理コンソールで IPv6 仮想 IP アドレス (VIP) を削除しても、完全に削除されないことがあります。この問題を回避するには、ネットワークと共有センターおよび Forefront UAG 管理コンソールのネットワーク アダプターからアドレスを手動で削除します。

  • Forefront UAG は、統合された NLB を使用するアレイ メンバーのネットワーク接続が失われたことを検出できないことがあります。この場合、Forefront UAG では、使用できないサーバーのトラフィックのルーティングが続行されることがあります。この問題を回避するには、オフライン アレイ メンバーの内部アダプターおよび外部アダプターを無効にします。接続問題が解決した後に、アダプターを再度有効にします。

  • Microsoft System Center Operations Manager 2007 を組織に導入すると、アレイ メンバーのネットワーク アダプターの状態を監視できます。これを行うには、以下の手順を実行します。

    • Windows Server Operating System および Windows Server 2008 NLB 管理パックが各アレイ メンバーにインストールされていることを確認します。

    • Operations Manager 2007 を使用して、アレイ メンバー上で接続が切断されているネットワーク アダプターを検出します。
      注: Operations Manager 2007 では、以下のように問題が報告されます。

      • 内部ネットワークに接続しているアダプターに問題がある場合は、Operations Manager 2007 ではハートビートが検出されないことが報告されます。

      • 外部ネットワークに接続しているアダプターに問題がある場合は、Operations Manager 2007 では Windows NLB 問題が報告されます。

  • 負荷分散が有効でないアレイで HTTPS トランク用のリダイレクト トランクを作成する場合は、各アレイ メンバーにリダイレクト トランクの IP アドレスを手動で割り当てる必要があります。この作業は、次の資料で説明されています。

    NLB を使用してアレイに更新プログラム 1 をインストールする方法の概要



ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×