Unified Access Gateway 2010 の更新プログラム 2 について

文書翻訳 文書翻訳
文書番号: 2288900 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

これらのリリース ノートには、Microsoft Forefront Unified Access Gateway (UAG) 2010 に関連する最新の問題が記載されています。Forefront Unified Access Gateway (UAG) をインストールする前に、このドキュメントに記載されている情報を読む必要があります。この資料では、この更新プログラムに関する以下の情報について説明します。
  • この更新プログラムに含まれている、新機能および機能強化
  • この更新プログラムで解決される問題
  • この更新プログラムの入手方法
  • この更新プログラムをインストールするための必要条件
  • 既知の問題

はじめに

この資料では、Forefront UAG 2010 の更新プログラム 2 とインストール手順について説明します。Forefront UAG 2010 の更新プログラム 2 には、以下の機能があります。
  • クライアント コンポーネントの拡張機能: Forefront UAG SSL アプリケーション トンネリング (ソケット フォワーダー) のコンポーネントは現在、32 ビット用の Windows Vista および Windows 7 64 ビット オペレーティング システムでサポートされています。
    元に戻す全体を表示する
    機能Windows XP (32 ビット)Windows Vista (32 ビット)Windows Vista (64 ビット)Windows 7 (32 ビット)Windows 7 (64 ビット)Mac または Linux
    オフライン インストールありありありありありなし
    オンライン インストールありありありありありあり
    エンドポイント検出ありありありありありあり
    Attachment Wiperありありありありありあり
    SSL トンネリング コンポーネントありありありありありあり
    ソケット フォワーダーありありありありありなし
    SSL アプリケーション トンネリング (ネットワーク コネクタ) ありありありなしなしなし
    注: ブラウザー、オペレーティング システム、およびクライアント コンポーネントの機能および互換性に関する固有の情報については、次の Microsoft TechNet Web ページを参照してください。
    Forefront UAG エンドポイントのシステム要件の概要
  • 仮想デスクトップ インフラストラクチャ (VDI): Forefront UAG は、VDI の個人用デスクトップ シナリオによるリモート デスクトップの公開を完全にサポートしています。
  • Citrix 公開サポート: Forefront UAG は、Citrix Presentation Server 4.5 およびその代替の Citrix XenApp 5.0 を完全にサポートしています。
  • Citrix クライアント コンピューター サポート: Forefront UAG は、64 ビットのオペレーティング システムである Windows Vista および Windows 7 コンピューターから XenApp クライアントが 32 ビットである Citrix XenApp アプリケーションへのアクセスをサポートしています。詳細については、下記の問題 4 を参照してください。
  • SSTP ユーザーとグループのアクセス コントロール: Forefront UAG は現在、管理者が各グループに SSTP アクセス権限を付与することを許可する、詳細な認証メカニズムを提供しています。
  • SSL ハンドシェイク: Forefront UAG は現在、UAG と公開された Web サーバー間の SSL ハンドシェイクについてより堅牢な処理を提供しています。
  • クライアント証明書の委任: Forefront UAG は現在、ネゴシエーション用にクライアント証明書の資格情報を必要とするアプリケーション サーバーにおけるアプリケーションに対して一部の制限された追加サポートを提供しています。
  • ネットワーク コネクタ MAC アドレスのサポート: Forefront UAG ネットワーク コネクタ サーバーは、MAC アドレス範囲が拡張された広範なネットワーク アダプターをサポートしています。
Forefront UAG 2010 更新プログラム 2 の新機能に関する詳細については、以下のマイクロソフト Web ページの「What's new in Forefront UAG」セクションを参照してください。
Forefront UAG に適用する製品評価版の概要

詳細

更新プログラムの情報

以下のファイルは、Microsoft ダウンロード センターからダウンロードできます。

元に戻す画像を拡大する
ダウンロード
Forefront Unified Access Gateway (UAG) 更新プログラム 2 パッケージ??

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下のサポート技術情報番号をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

必要条件

この更新プログラムは累積的で、次のバージョンの UAG 2010 を実行している機器、サーバー、または仮想マシンに適用できます。
  • UAG 2010 (RTM)
  • UAG 2010 更新プログラム 1
  • UAG 2010 更新プログラム 1 ロールアップ 1 修正プログラム パッケージ
UAG 更新プログラム 1 の関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
981323 Unified Access Gateway 2010 の更新プログラム 1 について
UAG 更新プログラム 1 のロールアップ 1 修正プログラム パッケージの関連情報を参照するには、以下のサポート技術情報番号をクリックしてください。
981932 Unified Access Gateway 2010 更新プログラム 1 のロールアップ 1 修正プログラム パッケージの説明

インストールに関する注意

UAG サーバー アレイが使用中である場合のインストール順序
  1. 最初に、アレイ マネージャーに更新プログラム 2 をインストールします。
  2. 再起動します。
  3. UAG 構成をアクティブ化します。
  4. 構成の同期を待機します。
  5. 最初のマネージャー以外のアレイ メンバーに更新プログラム 2 をインストールします。
  6. 再起動します。
  7. 残りの全アレイ メンバーに対して繰り返します。
注: 必要な場合は、逆の順序で更新プログラム 2 をアンインストールする必要があります。

再起動の必要性

アレイ シナリオ以外では、この修正プログラムの適用後、コンピューターの再起動は不要です。更新プログラム パッケージをインストールした後に、UAG 構成をアクティブ化する必要があります。UAG アクティブ化を実行すると、UAG サーバーに対する既存の SSL アプリケーション トンネリング接続が終了することに注意してください。

アレイ シナリオでは、再起動が必要です。アレイの使用時に更新プログラムを正常に展開するには、上記のアレイのインストール手順が必要です。これらの手順に従わなければ、アレイが破損したり、構成が失われたりすることがあります。

修正プログラムの置き換えに関する情報

この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。

アンインストール情報

この更新プログラムをアンインストールするには、次のいずれかの方法を使用します。
  • ビルトイン管理者としてログオンし、コントロール パネルの [プログラムの追加と削除] アプレットを使用して、更新プログラムをアンインストールします。
  • 管理者特権を持つコマンド プロンプトで、次のコマンドを入力し、Enter キーを押します。
    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

ファイル情報

修正プログラム (英語版) のファイル属性は次の表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。これらのファイルの日付と時刻は世界協定時刻 (UTC) で表示されます。ファイル情報に表示される時刻は、ローカル時刻に変換されています。UTC とローカル時刻との時差を確認するには、コントロール パネルの [日付と時刻] の [タイム ゾーン] タブを使用してください。

元に戻す全体を表示する
File nameFile versionFile sizeDateTimePlatform
Agent_win_helper.jarNot applicable1,286,01530-Aug-201013:12Not applicable
Clientconf.xmlNot applicable6,67515-Sep-201006:41Not applicable
Configdatacomlayer.dll4.0.1269.200192,40015-Sep-201008:13x64
Configdatalayer.dll4.0.1269.2003,871,63215-Sep-201008:06x64
Configmgrcom.exe4.0.1269.200199,56815-Sep-201008:01x64
Configmgrcomlayer.dll4.0.1269.2002,246,03215-Sep-201008:15x64
Configmgrcore.dll4.0.1269.2001,375,63215-Sep-201008:23x64
Configmgrinfra.dll4.0.1269.2001,599,88815-Sep-201008:12x64
Configmgrlayer.dll4.0.1269.200215,44015-Sep-201008:05x64
Configuration.exe4.0.1269.2008,920,97615-Sep-201008:22x64
Detection.jsNot applicable14,59115-Sep-201007:20Not applicable
Https_whlfiltappwrap_forporNot applicable60,96115-Sep-201007:19Not applicable
Http_whlfiltappwrap_forportNot applicable59,47515-Sep-201007:19Not applicable
Install.jsNot applicable11,21815-Sep-201007:20Not applicable
Installanddetect.aspNot applicable12,06715-Sep-201007:20Not applicable
Internalerror.aspNot applicable8,34415-Sep-201007:20Not applicable
Internalerror.incNot applicable24,40215-Sep-201007:20Not applicable
Login.aspNot applicable24,18315-Sep-201007:20Not applicable
Logoffmsg.aspNot applicable7,70530-Aug-201013:11Not applicable
Microsoft.uag.da.messages.d4.0.1269.20033,68015-Sep-201008:14x64
Microsoft.uag.transformer.c4.0.1269.2006,297,48815-Sep-201008:02x86
Monitormgrcom.exe4.0.1269.200151,95215-Sep-201008:01x64
Monitormgrcore.dll4.0.1269.200740,24015-Sep-201008:23x64
Monitormgrlayer.dll4.0.1269.200354,19215-Sep-201008:12x64
Policy.xmlNot applicable80,24417-Oct-201012:16Not applicable
Policydefinitions.xmlNot applicable61,51615-Sep-201007:15Not applicable
Redirecttoorigurl.aspNot applicable1,42330-Aug-201013:11Not applicable
Repairinstallation.vbsNot applicable3,04430-Aug-201013:12Not applicable
Ruleset_forinternalsite.iniNot applicable47,01930-Aug-201013:11Not applicable
Sessionmgrcom.exe4.0.1269.200233,87215-Sep-201008:24x64
Sessionmgrcomlayer.dll4.0.1269.2001,641,36015-Sep-201008:02x64
Sessionmgrcore.dll4.0.1269.200738,19215-Sep-201008:01x64
Sessionmgrinfra.dll4.0.1269.2001,197,96815-Sep-201008:22x64
Sessionmgrlayer.dll4.0.1269.200200,59215-Sep-201008:04x64
Sfhlprutil.cabNot applicable57,19415-Sep-201008:35Not applicable
Shareaccess.exe4.0.1269.200492,94415-Sep-201008:12x64
Sslbox.dll4.0.1269.20058,76815-Sep-201008:14x64
Sslvpntemplates.xmlNot applicable28,70430-Aug-201013:12Not applicable
Sslvpn_https_profiles.xmlNot applicable96817-Oct-201012:16Not applicable
Uagqec.cabNot applicable64,84215-Sep-201008:36Not applicable
Uagqessvc.exe4.0.1269.200207,76015-Sep-201008:04x64
Uagrdpsvc.exe4.0.1269.200144,27215-Sep-201008:14x64
Uninstalluagupdate.cmdNot applicable21215-Sep-201008:41Not applicable
Usermgrcom.exe4.0.1269.200119,18415-Sep-201008:01x64
Usermgrcore.dll4.0.1269.200837,00815-Sep-201008:01x64
Whlasynccomm.dll4.0.1269.200107,40815-Sep-201008:14x64
Whlcache.cabNot applicable265,76815-Sep-201008:36Not applicable
Whlclientsetup-all.msiNot applicable2,964,99215-Sep-201008:22Not applicable
Whlclientsetup-basic.msiNot applicable2,964,99215-Sep-201008:01Not applicable
Whlclientsetup-networkconneNot applicable2,965,50415-Sep-201008:04Not applicable
Whlclientsetup-networkconneNot applicable2,965,50415-Sep-201008:03Not applicable
Whlclientsetup-socketforwarNot applicable2,964,99215-Sep-201008:24Not applicable
Whlclntproxy.cabNot applicable242,71315-Sep-201008:35Not applicable
Whlcompmgr.cabNot applicable689,48315-Sep-201008:35Not applicable
Whlcppinfra.dll4.0.1269.200669,58415-Sep-201008:23x64
Whldetector.cabNot applicable263,76415-Sep-201008:36Not applicable
Whlfiltappwrap.dll4.0.1269.200315,28015-Sep-201014:02x64
Whlfiltappwrap_http.xmlNot applicable59,47515-Sep-201013:19Not applicable
Whlfiltappwrap_https.xmlNot applicable60,96115-Sep-201013:19Not applicable
Whlfiltauthorization.dll4.0.1269.200311,69615-Sep-201014:23x64
Whlfilter.dll4.0.1269.200589,20015-Sep-201014:22x64
Whlfiltsecureremote.dll4.0.1269.2001,037,20015-Sep-201014:22x64
Whlfiltsecureremote_http.xmNot applicable77,40430-Aug-201013:11Not applicable
Whlfiltsecureremote_https.xNot applicable80,30817-Oct-201012:16Not applicable
Whlfirewallinfra.dll4.0.1269.200444,81615-Sep-201008:13x64
Whlgenlib.dll4.0.1269.200511,37615-Sep-201008:04x64
Whlglobalutilities.dll4.0.1269.200106,38415-Sep-201008:05x64
Whlinstallanddetect.incNot applicable4,47630-Aug-201013:11Not applicable
Whlio.cabNot applicable167,27715-Sep-201008:35Not applicable
Whlioapi.dll4.0.1269.20076,17615-Sep-201008:04x64
Whliolic.dll4.0.1269.20015,76015-Sep-201008:22x64
Whlios.exe4.0.1269.200137,10415-Sep-201008:24x64
Whllln.cabNot applicable167,09515-Sep-201008:36Not applicable
Whlllnconf1.cabNot applicable6,52115-Sep-201008:35Not applicable
Whlllnconf2.cabNot applicable6,61015-Sep-201008:36Not applicable
Whlllnconf3.cabNot applicable6,59915-Sep-201008:35Not applicable
Whltrace.cabNot applicable254,35215-Sep-201008:36Not applicable
Whltsgauth.dll4.0.1269.200184,20815-Sep-201008:02x64
Whltsgconf.dll4.0.1269.20087,44015-Sep-201008:22x64
Whlvaw_srv.dll4.0.1269.200138,12815-Sep-201008:05x64
Wioconfig.dll4.0.1269.200496,52815-Sep-201008:01x64



この更新プログラムで修正される問題

この更新プログラムを適用すると、サポート技術情報の資料にこれまで記載されていなかった以下の問題が修正されます。

問題 1


現象

管理者には、Secure Socket トンネリング プロトコル (SSTP) の仮想プライベート ネットワーク (VPN) クライアント用に詳細なアクセス制御が必要です。ただし、UAG で SSTP を構成すると、内部ネットワーク全体に対する VPN クライアントのアクセスにシングル アクセス ルールが作成されます。

http://technet.microsoft.com/en-us/library/ee522953.aspx の以下のテキストに基づいて、Threat Management Gateway (TMG) コンソールを使用し、SSTP VPN アクセスに対して詳細なアクセス制御を有効にすることがサポートされています。

"VPN リモート ネットワーク アクセス用に Forefront UAG を展開する際にユーザー、グループ、およびネットワークを制限する目的について、Forefront TMG 管理コンソールを使用するアクセス ルールを作成しています。"

ただし、管理者がアクセス ルールを作成してユーザーのアクセスを制限する場合、UAG をアクティブ化した後に、これらのルールは削除されるか、アクセス ポリシーの最下部に移動されます。これは、既定のルールが優先され、構成した詳細な制御が失われることを意味しています。

原因

この問題は、UAG と、UAG アクティブ化の際に TMG に展開される動的に生成されたルールとの統合の設計における制限が原因で発生します。

解決策

TechNet で説明されているように、TMG ルールの手動修正による詳細なアクセス制御のサポート (UAG 更新プログラム 2 のインストール後にはサポートされなくなります) ではなく、UAG 管理コンソールでの詳細なアクセス制御の明示的なサポートが優先されます。

UAG 管理者は現在、特別な Active ディレクトリ グループのメンバーである SSTP VPN ユーザーの特別な内部ネットワーク アドレスに対してアクセス許可を明示的に有効にすることができます。UAG 管理者は、[SSL ネットワーク トンネリング構成] ダイアログ ボックスの新しい [ユーザー グループ] タブを使用して、アクセス ルールのセットを構成する詳細な IP VPN アクセス ポリシーを定義する必要があります。各ルールでは、SSTP VPN への接続時に特別な Active ディレクトリ グループのメンバーがアクセスできる、内部ネットワーク IP アドレスおよび IP アドレス範囲のセットを定義します。

問題 2


現象

マイクロソフト仮想デスクトップ インフラストラクチャ (VDI) の UAG におけるサポートは完全に実装されていません。

原因

紛らわしい UAG UI が原因で、構成で問題が発生していることと、実装中に別のリソースで複数の認証をサポートできないことにより、VDI は正常に動作しません。

解決策

UAG UI を更新し、より堅牢な実装で VDI のパーソナル デスクトップ シナリオをサポートするように、設計を変更しました。VDI のプール デスクトップシナリオは、実装されませんでしたが、UAG の今後の更新プログラムで実装される可能性があります。

問題 3


現象

Forefront UAG SSL アプリケーション トンネリング (ソケット フォワーダー) の UAG クライアント コンポーネントは、64 ビット版の Windows 7 および 64 ビット版の Windows Vista でサポートされていません。

原因

これは、UAG 更新プログラム 2 の前に設計されていた UAG クライアント コンポーネントの動作です。

解決策

以下のシナリオに対応するため、設計を変更しました。

公開方法として UAG ソケット フォワード/アプリケーション トンネリングを使用する Web アプリケーションの広範なセットがあります。たとえば、このようなアプリケーションは Citrix XenApps および Presentation Server 4.5 で、両方ともブラウザーで ActiveX アプリケーションとして実行されます。この更新プログラムの前には、技術的な限界のため、64 ビット版のクライアント オペレーティング システムでこれらの公開方法の展開は許可していません。そのため、それらの方法を使用する公開済みの同じアプリケーションは、64 ビット版のオペレーティング システムではなく、32 ビット版のクライアント オペレーティング システムからアクセスできます。

このシナリオで変更されたのは、64 ビット版の Windows クライアント オペレーティング システムでソケット フォーワード (SF) クライアント コンポーネントを展開する方法が提供され、トンネリング アプリケーションの起動が有効化されたという点です。この実装の制限は次のとおりです。
  • ソケット フォワーダーのサポートは、64 ビット版の Windows Vista および 64 ビット版の Windows 7 に限定されており、他の 64 ビット版のオペレーティング システムはサポートされていません。
  • ソケット フォワーダーは、ユーザーが (WOW64 32 ビット エミュレーションで実行されている) 32 ビット版の Internet Explorer からアクセスする場合のみ、サポートされています。
  • ソケット フォワーダーは、32 ビット版アプリケーション (WOW64 アプリケーション) のみに影響を与え、ネイティブ 64 ビット版アプリケーションには影響を与えません。
更新されたコンポーネントの展開オプションは以下のとおりです。
  • オンライン:SF コンポーネントの展開を実行する標準的な方法です。トンネリング公開方法として SF を使用する UAG ポータル アプリケーションの初回起動時に、コンポーネントがダウンロードされ、インストールされます。
  • オフライン:管理者はスクリプト化された配布ソフトウェアを使用するか、手動インストールで適切な Windows インストーラー アプリケーション (MSI) を展開することもできます。UAG 更新プログラム 2 のインストール後、以下の場所にある UAG サーバーでファイルが使用できるようになります。
    %UAG installation directory%\von\PortalHomePage\
問題 4


現象

64 ビット版の Windows Vista または Window 7 を搭載しているクライアント コンピューターから UAG によって公開される Citrix XenApps 5.0 にはアクセスできません。

原因

これは、UAG 更新プログラム 2 の前に設計されていた UAG クライアント コンポーネントの動作です。

解決策

詳細については、問題 3 の「解決策」セクションを参照してください。

問題 5


現象

エンドポイント ポリシーを作成または編集しようとするときに、「McAfee Total Protection」ポリシーが一覧に 2 回表示されます。2 番目の「McAfee Total Protection」ポリシーを選択すると、以下のようなエラー メッセージが表示されます。

ソース行が見つかりません

原因

この問題は、%UAG installation directory%\von\Conf\PolicyDefinitions.xml ファイルに、同じタイトルと ID を持つ 2 つのエントリが含まれていることが原因で発生します。

解決策

二重エントリの問題は、PolicyDefinitions.xml ファイルから 2 番目のレコードを削除すると解決されます。

問題 6

現象

UAG で公開されるリソースにアクセスすると、クライアントのブラウザーに "証明書の処理中に不明なエラーが発生しました" というエラーが表示されます。また、UAG 管理者は、SSL ネゴシエーション手順の "ハンドシェイク確認状態" 中に SEC_I_CONTINUE_NEEDED が返される UAG サーバーのデバッグ ログで確認できます。その手順に従うと、エラー コード 37 で /InternalSite/InternalError.asp ページがクライアントに返されたことがデバッグ ログに示されます。エラー コード 37 は、"証明書の処理中に不明なエラーが発生しました" というエラー メッセージです。

原因

既存の SSL メカニズムでは、UAG によって公開されたバックエンド サーバーで SSL ハンドシェイクが実行されるときに、正常に処理されないシナリオがあります。SSL のストリーミングでは、不十分なデータまたはハンドシェイク中の過剰な情報の読み取りのいずれかの可能性がある、複雑なシナリオが作成されます。このシナリオの InitializeSecurityContext では、今後の使用のために保存する必要のある追加データをユーザーが渡したことが報告されます (回線経由で多くのデータを読み取った後に考えられます)。

解決策

ハンドシェイク アルゴリズムを拡張し、追加のストリーミングのケースおよびシナリオをサポートします。


問題 7

現象

UAG を経由して公開された HTTPS アプリケーションにアクセスすると、エラー 37 "証明書の処理中に不明なエラーが発生しました。" が表示されます。ユーザーがアプリケーションにアクセスしている間に、管理者がデバッグ ロギングを実行していると、次のエラー メッセージが表示されます。
ERROR:Failed to initialize security context.Returned error:0x90320.

InitializeSecurityContext return SEC_INCOMPLETE_CREDENTIALS ? Schannel requires client certificate credentials
原因

バックエンド アプリケーション サーバーは、SSL ネゴシエーション ステージ中にクライアント証明書の資格情報を要求するように構成されています。この更新の前には、このような機能はサポートされていませんでした。そのため、ネゴシエーションが失敗し、エラーが表示されます。

解決策

次の 2 つのシナリオで、バックエンド サーバーがクライアント証明書の資格情報を要求する可能性があります。
  • バックエンド アプリケーションサーバーは、証明書のコンテキストを入手するため、クライアント証明書を要求していますが、証明書自身は要求していません。この場合、SEC_INCOMPLETE_CREDENTIALS リターン コードが受信された後に、UAG によるネゴシエーションの再試行を許可するフォールバックが実装されていました。バックエンド サーバーは通常、クライアント証明書を必要としていないため、このネゴシエーションは正常に完了します。
  • バックエンド アプリケーションはクライアント証明書の認証を必要としています。実装されていた設計の変更では、クライアントがクライアント証明書で通過することは許可されていませんが、1 つの有効なクライアント証明書をすべてのユーザーのバックエンド Web サーバーに供給することはできます。

    この場合、UAG 管理者は有効なクライアント証明書を供給し、マシンの証明書として UAG サーバーにインストールする必要があります。
    1. UAG SSLBox モジュールに正しい証明書を取得および入手するには、次の手順を実行します。
      1. MMC コマンドを実行し、管理コンソールを開きます。
      2. [ファイル] メニューをクリックし、[スナップインの追加と削除] をクリックします。
      3. 一覧から [証明書] を選択し、[追加] をクリックします。
      4. コンピューター アカウントを選択して、[完了] をクリックします。
      5. [個人] 証明書ストアを開きます。
      6. 一覧から必要なクライアント認証証明書を選択して、証明書をダブルクリックするか、証明書を右クリックして、[開く] をクリックします。
      7. [詳細] ペインを選択し、下方向にスクロールします。
      8. [拇印] プロパティを選択します。
      9. 以下のペインでプロパティ値を選択し、Ctrl + C を押してその値をコピーします。
      10. 重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
        322756 Windows でレジストリをバックアップおよび復元する方法
        レジストリ エディター (Regedt32.exe) を起動します。

        b. 次のレジストリ キーを見つけてクリックします。

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
        ClientCertHash
        データ型: 文字列型 (String)
        値: {the text copied in step 9} [for example:a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
        d. レジストリ エディターを終了します。
        e. 管理者として IISReset を実行し、IIS を再起動します。
        f. UAG 構成をアクティブ化します。
問題 8

現象

ごくまれに、UAG クライアント コンポーネントがインストールされているクライアント コンピューターには、そのクライアントが UAG サーバーと通信している間に Windows イベント ログに毎秒書き込まれる "uagqecsvc" イベント ID 85 ログ メッセージが表示されます。これはエラー警告ですが、これにより、クライアント イベント ログがいっぱいになり、管理者またはヘルプディスクがクライアントの Windows イベント ログ内にある実際のイベントを確認しにくくなります。そのクライアントが IAG サーバーに接続される場合、これらのメッセージは毎秒クライアントに表示されます。
イベント ID:85

ソース: uagqecsvc

種類:エラー

説明:Microsoft Forefront UAG 検疫強制クライアントのコンポーネントは、強制クライアントのコールバック HRESULT 値: 0x8027000E を初期化できません。この問題は、セキュリティ ポリシーでコンポーネントが有効にならない場合に発生することがあります。

クライアント イベント ログ内には、別の関連イベントがあることもあります。
イベント ID:16

ソース: uagqecsvc

ログの名前: Application

説明:Microsoft Forefront UAG 検疫強制クライアントのコンポーネントは、ネットワーク アクセス保護 (NAP) エージェント サービスのステータスを取得できません。システム エラー 1115: システム シャットダウンが実行中です。(0x45b).Microsoft Forefront UAG 検疫強制クライアントのコンポーネントは起動時に、NAP エージェント サービスの設定を照会しようとします。

この問題は UAG または UAG 展開に直接関係はありませんが、一部の展開で、UAG クライアント コンポーネントをインストールしているユーザーは IAG サーバーと UAG サーバーの両方にアクセスできます。

原因

UAG クライアント コンポーネントには、"Microsoft Forefront UAG Quarantine Enforcement Client" の表示名を持つコンポーネント サービス "uagqecsvc" があります。これは、NAP を使用してエンドポイントの正常性の状態を照会し、その状態を UAG の NAP モジュールに報告します。ごくまれに、この問題は UAG サーバーにバインドするためのサービスの再試行として UAG 展開に繰り返し表示されます。接続できるまで、バインドは 1 秒のタイムアウトのループで実行されます。

また、IAG Service Pack 2 更新プログラム 3 以降では、UAG クライアント コンポーネントは IAG に移植されました。そのため、uagqecsvc サービスは、Service Pack 2 更新プログラム 3 のある任意の IAG サーバーに接続しているクライアント コンポーネントにもインストールされます。NAP エンドポイント検出機能は IAG には存在しないため、UAG コンポーネントをインストールしているクライアントでは、Windows イベント ログに記載されている上記のログを生成するプロセスで、1 秒ごとの UAG NAP サービスへの接続試行が続行されます。

解決策

以前のバージョンのクライアント コンポーネントでは、UAG NAP 検出エージェントとの通信を再試行する際の既定のタイムアウトが 1 分に設定されていましたが、UAG 更新プログラム 2 では 1 時間に変更されました。この値を変更する管理者向けに、クライアントでのタイムアウトを手動で定義する方法が用意されています。

重要: このセクション、方法、またはタスクには、レジストリの変更方法が記載されています。レジストリを誤って変更すると、深刻な問題が発生することがあります。レジストリを変更する際には十分に注意してください。万一に備えて、編集の前にレジストリをバックアップしてください。問題が発生した場合でも、レジストリを復元できます。レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
コンピューターのユーザーまたは管理者は、クライアント コンピューターにおいてタイムアウトをミリ秒単位で手動で定義できます。これを行うには、以下の手順を実行します。
  1. レジストリ エディター (Regedt32.exe) を起動します。
  2. 次のレジストリ キーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
  3. [編集] メニューの [値の追加] をクリックし、次のレジストリ値を追加します。
    値の名前:InitRetryTimeout
    データ型: REG_DWORD
    基数: 10 進
    値: (ミリ秒単位の時間 360000 が既定値ですが、この値は
    6000 を超える値に設定する必要があります)
  4. レジストリ エディターを終了します。
  5. コンピューターを再起動します。
問題 9
現象

ユーザー (UAG 管理者) が、ローカライズされた APAC 言語バージョンの Windows 2008 R2 を搭載しているサーバーに UAG をインストールします。UAG にトランクを作成しようとすると、エラー メッセージが表示され、トランクの作成が停止されます。

たとえば、UAG にトランクを作成しようとすると、空のウィンドウ、予期しないエラー メッセージ、または頻繁な MMC のクラッシュが発生します。

原因

この問題は、システム リソースの誤った操作が原因で発生します。一部の Western 言語版以外のオペレーティング システム (韓国語版/日本語版/中国語版) で UAG を実行すると、これらの誤った操作により、エラーが表示されます。

解決策

これらのシステム リソースにアクセスするコードを修正します。

問題 10


現象

エンドポイント セッション クリーンアップ コンポーネントは、エンドポイントの再起動後に実行が開始されません。また、再起動後にクライアント コンポーネント フォルダーをポイントするエクスプローラーのウィンドウが表示されます。

原因

再起動前に、エンドポイント セッション クリーンアップ コンポーネントによって "Run" キーの下にレジストリ値が書き込まれます。このレジストリ値によって、再起動後に Windows でエンドポイント セッション クリーンアップ コンポーネントを自動的に起動することが可能になります。ところが、このレジストリ キーのパス値は、スペースを含む実行可能ファイルのパスです。そのため、エラーが発生します。

解決策

“Run” キーの下に書き込まれる Attachment Wiper 実行可能ファイルをポイントするパス値は現在、エラーを回避するため、引用符で囲まれた文字列で記述されています。

問題 11


現象

UAG を経由して公開される Exchange Server 2007 Outlook Web Application (OWA) の言語設定オプションにアクセスしようとすると、次のエラー メッセージがクライアントに送信されます、

制限された URL にアクセスしようとしました。

原因

この問題は、Exchange Server 2007 OWA の製品版のテンプレートに URL"/owa/languageselection.aspx" 用の RuleSet エントリがないことが原因で発生します。UAG RuleSet メカニズムでは、ホワイト リストにない URL にはアクセスできません。

解決策

Exchange 2007 OWA パブリッシングに新しいルールが追加され、このような URL リソースにアクセスできるようになりました。この場合、新しいルール " ExchangePub2007_Rule36 " により、URL "/owa/languageselection.aspx" にアクセスできます。

問題 12


現象

ユーザーが UAG サイトにアクセスしようとするか、UAG ログイン パスではなく、アプリケーション内のお気に入りに登録されたパスにアクセスしようとすると、500 内部サーバー エラーが表示され、そのサイトにアクセスできません。

: UAG サイトでは認証に ADFS を使用するため、公開されたアプリケーションが直接要求されます。

原因

認証で ADFS を使用するように UAG が構成されている場合、セキュリティ トークン サービスと UAG 内部サイトの間でいくつかのリダイレクトが発生します。リダイレクトが予期される方法で実行されない場合、UAG はエラーを返します。ポータル サイトではなく公開されたリソースにユーザーが直接アクセスしようとすると、再ルーティング プロセスが破損します。そのため、内部サーバー エラーが発生します。

解決策

この問題は、今回の更新プログラムで修正されます。

問題 13

現象

管理者が ActiveDirectory タイプの認証レポジトリを構成している場合、グループの入れ子の値は "unlimited" に設定できません。UAG の仕様によっては、グループの入れ子フィールドが空欄になる可能性があります。ところが、フィールドが空欄であるときに構成が保存およびアクティブ化されると、その値は突然 "0" に設定されます。

: "0" の値を表示するには、UAG MMC を閉じて、再度開く必要があります。UAG の仕様では、"0" はグループの入れ子がないことを意味します。そのため、グループの入れ子は正常に機能しません。

原因

この問題は、グループの入れ子フィールドの正しい値を構成に保存できないことが原因で発生します。そのため、正しい値は GUI と認証機能の両方に適用できません。

解決策

構成の値は現在、グループの入れ子値が GUI から削除されるときに、適切に保存および更新されます。また、その値は認証機能に正しく適用されます。

: UAG での認証に必要な最小値に設定することをお勧めします。遅延の可能性と必要なリソースのため、入れ子の 2 レベルよりも大きい値に設定することができます。展開のために 2 レベルよりも大きい値が必要な場合、システムを運用環境に展開する前に、これらの変更の影響度をテストする必要があります。極端な場合、これらの設定は、高いリソース要求のため、UAG サーバーと UAG による認証に使用している DC の両方がクラッシュする原因になる可能性があります。

問題 14


現象

ネットワーク コネクタ (NC) サーバーを有効にした後、そのサーバーの構成ウィンドウを閉じようとすると、次のエラー メッセージが表示されることがあります。

ネットワーク コネクタのパラメーターが正しくありません。無効なセグメント アドレスです

原因

SSL ネットワーク トンネリング サービスは、物理ネットワーク アダプターに "00" で始まる MAC アドレスがある場合のみ、使用できます。

解決策

SSL ネットワーク トンネリング サービスは、物理ネットワーク アダプターに "00" で始まる MAC アドレスがある場合にも、使用できます。

問題 15


現象

Citrix XenApp 5 の一部のみをサポートしている UAG がリリースされました。

エラーなしで Citrix を公開するには、次のマイクロソフト Web サイトに記載されている手順を実行する必要がありました。
Introduction to how to publish Citrix XenApp 5.x with UAG 2010

原因

この問題は、Citrix のサポートが壊れていることが原因で発生します。

解決策

この更新プログラムには、Citrix XenApp 5.0 を正常に公開するための上記の手順が含まれています。

問題 16


現象

AV 製品 "Trend Micro OfficeScan Anti-Virus" または "Trend Micro PC-Cillin Anti-Virus" は GUI で選択されます。この場合、ポリシーを作成し、そのポリシーをアプリケーションに適用すると、アクティブ化の際に次のエラー メッセージが表示されます。

ソース行が見つかりません

原因

この問題は、ポリシーの構文検証アルゴリズムでこれらの特別なポリシーに必要な依存関係が失われることが原因で発生します。

解決策

これらの特別なポリシーに必要な依存関係は、この更新プログラムをインストールした後に、ポリシーの構文検証アルゴリズムに追加されます。

既知の問題

  • この更新プログラムをインストールした後に、SSL ネットワーク トンネリング アダプターはネットワーク接続ウィンドウに表示されなくなります。この動作は仕様です。ネットワーク アダプターがインストールされていることを確認するには、デバイス マネージャーを開き、表示ウィンドウで ‘非表示のデバイスの表示’ エントリを選択します。
  • 更新プログラムをアンインストールする処理に失敗し、インストール ファイル "FirefrontUAG.msi" が見つからないことを示すエラーメッセージか、インストール エラー 1269 のエラーメッセージが表示されることがあります。
    1. [スタート] メニューを開き、[すべてのファイルとフォルダーを表示する] を選択します。
    2. 開いたウィンドウの詳細設定で [保護されたオペレーティング システム ファイルを表示しない (推奨)] オプションをオフにして、[OK] を押します。
    3. 管理者としてコマンド プロンプト ウィンドウを開き、「UninstallUagUpdate」と入力します。
    4. 必要な場合には、インストール データベースの修復を数分待機します。
      : 修復の必要性を通知するメッセージが表示されることがあります。

  • Citrix XenApp のサポートはバージョン 5.0 のみです。以降のバージョンはサポートされません。
  • このリリースは、VDI のパーソナル デスクトップ シナリオのみをサポートしています。プールされたデスクトップシナリオは現在、サポートされていません。
  • ソケット フォーワードは、32 ビット アプリケーション (WOW64 アプリケーション) 用の Window 7 および Window Vista の 64 ビット クライアントで使用できます。ネイティブの 64 ビット アプリケーションでは使用できません。
  • UAG で Exchange 2010 Service Pack 1 の OWA を公開するには、AppWrap の手動修正と RuleSets の修正が必要です。これを実行するのに必要な手順に関する資料は、UAG 製品チームのブログで公開されています。http://blogs.technet.com/b/edgeaccessblog/.資料で説明されている手順は、UAG の今後の更新プログラムに統合されます。
  • Internet Explorer 9 ベータ版などのベータ版、非 RTM、または安定版 (GA) でない製品を使用している場合、Microsoft Customer Support Services (CSS) ではサポートを提供できません。IE9 のサポートは今後、IE9 が公式にリリースされた後に含まれます。

アレイとネットワーク負荷分散 (NLB) の既知の問題

  • 2 つのサーバーを同じアレイに同時接続しようとすると、アレイ ストレージが破損することがあります。これが発生する場合は、バックアップから設定を復元します。
  • Forefront UAG 管理コンソールで IPv6 仮想 IP アドレス (VIP) を削除しても、完全に削除されないことがあります。この問題を回避するには、ネットワークと共有センターおよび Forefront UAG 管理コンソールのネットワーク アダプターからアドレスを手動で削除します。
  • Forefront UAG は、統合された NLB を使用するアレイ メンバーのネットワーク接続が失われたことを検出できないことがあります。この場合、Forefront UAG では、使用できないサーバーのトラフィックのルーティングが続行されることがあります。この問題を回避するには、オフライン アレイ メンバーの内部アダプターおよび外部アダプターを無効にします。接続問題が解決した後に、アダプターを再度有効にします。
  • Microsoft System Center Operations Manager 2007 を組織に導入すると、アレイ メンバーのネットワーク アダプターの状態を監視できます。これを行うには、以下の手順を実行します。
    • Windows Server Operating System および Windows Server 2008 NLB 管理パックが各アレイ メンバーにインストールされていることを確認します。
    • Operations Manager 2007 を使用して、アレイ メンバー上で接続が切断されているネットワーク アダプターを検出します。
      : Operations Manager 2007 では、以下のように問題が報告されます。
      • 内部ネットワークに接続しているアダプターに問題がある場合は、Operations Manager 2007 ではハートビートが検出されないことが報告されます。
      • 外部ネットワークに接続しているアダプターに問題がある場合は、Operations Manager 2007 では Windows NLB 問題が報告されます。
  • 負荷分散が有効でないアレイで HTTPS トランク用のリダイレクト トランクを作成する場合は、各アレイ メンバーにリダイレクト トランクの IP アドレスを手動で割り当てる必要があります。この作業は、次の資料で説明されています。


プロパティ

文書番号: 2288900 - 最終更新日: 2010年11月22日 - リビジョン: 2.0
この資料は以下の製品について記述したものです。
  • Microsoft Forefront Unified Access Gateway 2010
キーワード:?
kbexpertiseinter kbinfo kbsurveynew atdownload KB2288900
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com