Sumário
Estas notas de lançamento do endereço recentes problemas que estão relacionados com a Microsoft Forefront Unified Access Gateway (UAG) 2010. Antes de instalar o Forefront Unified Access Gateway (UAG), tem de ler as informações contidas neste documento. Este artigo contém as seguintes informações sobre esta actualização:
-
Novas funcionalidades e melhoramentos incluídos nesta actualização
-
Problemas resolvidos nesta actualização
-
Como obter esta atualização
-
Pré-requisitos para instalar esta actualização
-
Problemas conhecidos
Introdução
Este artigo descreve actualizações 2 para o Forefront UAG 2010 e fornece instruções de instalação. Actualizações 2 para o Forefront UAG 2010 fornece as seguintes funcionalidades:
-
Melhoramento de componentes de cliente: O componente Forefront UAG SSL aplicação Tunneling (Socket reencaminhador) é agora suportado no Windows Vista e sistemas operativos de 64 bits de Windows 7 para aplicações de 32 bits. Consulte a tabela abaixo para obter detalhes e emitir #3 para obter mais informações.
Funcionalidade
Windows XP de 32 bits
Windows Vista 32 bits
64 bits do Windows Vista
Windows 7, 32 bits
Windows 7 64-bit
Mac ou Linux
Instalação offline
Sim
Sim
Sim
Sim
Sim
N
Instalação online
Sim
Sim
Sim
Sim
Sim
Sim
Detecção de ponto final
Sim
Sim
Sim
Sim
Sim
Sim
Limpa de anexo
Sim
Sim
Sim
Sim
Sim
Sim
Componente de túnel SSL
Sim
Sim
Sim
Sim
Sim
Sim
Reencaminhador de socket
Sim
Sim
Sim
Sim
Sim
N
Aplicação de SSL de túnel (Conexões de rede)
Sim
Sim
Sim
N
N
N
Nota: Para obter informações específicas sobre o componente cliente, sistemas operativos e Browsers funcionalidades e compatibilidade, visite a seguinte página Web da Microsoft TechNet:
Introdução aos requisitos de sistema para pontos finais do Forefront UAG
-
Infra-estrutura de ambiente de trabalho virtual (VDI): Forefront UAG suporta totalmente a ambientes de trabalho remotos através do cenário de ambiente de trabalho pessoal de VDI de publicação.
-
Citrix suporte de publicação: Forefront UAG suporta totalmente Citrix apresentação Server 4.5 e a sua substituição Citrix XenApp 5.0.
-
Suporte de computador do cliente Citrix: Forefront UAG suporta o Windows Vista e Windows 7 computadores com sistemas operativos de 64 bits aceder a aplicações Citrix XenApp em que o cliente de XenApp é de 32 bits. Consulte o problema #4 abaixo para obter detalhes adicionais.
-
SSTP utilizador e grupo de controlo de acesso: Forefront UAG agora fornece um mecanismo de autorização mais preciso que permitem aos administradores autorizar grupos individuais para o acesso SSTP.
-
Handshake de SSL: Forefront UAG fornece agora processamento mais robusto de handshakes de SSL entre UAG e servidores web publicado.
-
Delegação do certificado de cliente: Forefront UAG agora adiciona algum suporte limitado para aplicações onde o application server requer credenciais de certificado de cliente para negociação.
-
Suporte de endereço MAC de conexão de rede: Servidor de conexão de rede do Forefront UAG suporta uma variedade de placas de rede com um intervalo de endereços MAC expandida.
Para mais informações sobre novas funcionalidades de actualização 2 para o Forefront UAG 2010, consulte a secção "O que há de novo no Forefront UAG" a seguinte página Web da Microsoft:
Introdução à avaliação de produtos que se aplica ao Forefront UAG
Mais informações
Informações sobre a atualização
O ficheiro seguinte está disponível para transferência a partir do Centro de transferências da Microsoft:
Transferir o pacote de actualização do Forefront Unified Access Gateway (UAG) 2 agora.
Para mais informações sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
119591 como obter ficheiros de suporte da Microsoft a partir de serviços onlineA Microsoft analisou este ficheiro quanto à presença de virus. A Microsoft utilizou o software de deteção de vírus mais atual, que estava disponível na data em que o ficheiro foi publicado. O ficheiro está armazenado em servidores com segurança melhorada que ajudam a impedir alterações não autorizadas ao ficheiro.
Pré-requisitos
Esta actualização é cumulativa e pode ser aplicada a aparelhos, servidores ou máquinas virtuais que está a executar as seguintes versões do UAG 2010:
-
UAG 2010 (RTM)
-
UAG 2010 actualização 1
-
Pacote de correcções do conjunto de actualizações 1 UAG 2010 actualização 1
Para mais informações sobre o UAG 1, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
981323 descrição da actualização de 1 para Unified Access Gateway 2010Para mais informações sobre o pacote de correcções UAG 1 Colectânea de actualizações 1, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
Descrição de 981932 do pacote de correcções do conjunto de actualizações 1 para Unified Access Gateway 2010 actualização 1
Notas de instalação
Ordem de instalação quando uma matriz de servidor UAG está em utilização
-
Instale primeiro Update 2 no Gestor de matriz.
-
Reiniciar o computador.
-
Active configuração UAG.
-
Aguarde que a configuração sincronizar.
-
Instale o Update 2 o primeiro membro da matriz não gestor.
-
Reiniciar o computador.
-
Repita para todos os restantes membros da matriz.
Nota Se necessário, a desinstalação de actualizações 2 deve ser efectuada na ordem inversa.
Requisito de reinício
Em cenários de não-matrizada, não é necessário reiniciar o computador depois de aplicar este pacote de actualização. Tem de activar a configuração de UAG depois de instalar o pacote de actualização. Tenha em atenção que ao efectuar a activação de UAG irá terminar quaisquer ligações de túnel SSL aplicação existentes ao servidor UAG.
Em cenários de matriz , é necessário reiniciar. Os passos de instalação de matriz acima indicados são necessários para implementação com êxito da actualização quando utiliza uma matriz, se não seguir estes passos pode provocar corrupção da matriz e a perda da configuração.
Informações sobre substituição da correção
Esta correção não substitui uma correção disponibilizada anteriormente.
Informações de desinstalação
Para desinstalar esta actualização, utilize um dos seguintes métodos:
-
Inicie sessão como um administrador incorporada e, em seguida, desinstalar a actualização utilizando a aplicação de programas e funcionalidades no painel de controlo.
-
Numa linha de comandos elevada, escreva o seguinte comando e, em seguida, prima ENTER:
msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}
Informações de ficheiro
A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são listadas na hora Universal Coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário no item Data e hora no painel de controlo.
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Agent_win_helper.jar |
Não aplicável |
1,286,015 |
30-Aug-2010 |
13:12 |
Não aplicável |
Clientconf.xml |
Não aplicável |
6,675 |
15-Sep-2010 |
06:41 |
Não aplicável |
Configdatacomlayer.dll |
4.0.1269.200 |
192,400 |
15-Sep-2010 |
08:13 |
x64 |
Configdatalayer.dll |
4.0.1269.200 |
3,871,632 |
15-Sep-2010 |
08:06 |
x64 |
Configmgrcom.exe |
4.0.1269.200 |
199,568 |
15-Sep-2010 |
08:01 |
x64 |
Configmgrcomlayer.dll |
4.0.1269.200 |
2,246,032 |
15-Sep-2010 |
08:15 |
x64 |
Configmgrcore.dll |
4.0.1269.200 |
1,375,632 |
15-Sep-2010 |
08:23 |
x64 |
Configmgrinfra.dll |
4.0.1269.200 |
1,599,888 |
15-Sep-2010 |
08:12 |
x64 |
Configmgrlayer.dll |
4.0.1269.200 |
215,440 |
15-Sep-2010 |
08:05 |
x64 |
Configuration.exe |
4.0.1269.200 |
8,920,976 |
15-Sep-2010 |
08:22 |
x64 |
Detection.js |
Não aplicável |
14,591 |
15-Sep-2010 |
07:20 |
Não aplicável |
Https_whlfiltappwrap_forpor |
Não aplicável |
60,961 |
15-Sep-2010 |
07:19 |
Não aplicável |
Http_whlfiltappwrap_forport |
Não aplicável |
59,475 |
15-Sep-2010 |
07:19 |
Não aplicável |
Install.js |
Não aplicável |
11,218 |
15-Sep-2010 |
07:20 |
Não aplicável |
Installanddetect.asp |
Não aplicável |
12,067 |
15-Sep-2010 |
07:20 |
Não aplicável |
Internalerror.asp |
Não aplicável |
8,344 |
15-Sep-2010 |
07:20 |
Não aplicável |
Internalerror.inc |
Não aplicável |
24,402 |
15-Sep-2010 |
07:20 |
Não aplicável |
Login.asp |
Não aplicável |
24,183 |
15-Sep-2010 |
07:20 |
Não aplicável |
Logoffmsg.asp |
Não aplicável |
7,705 |
30-Aug-2010 |
13:11 |
Não aplicável |
Microsoft.uag.da.messages.d |
4.0.1269.200 |
33,680 |
15-Sep-2010 |
08:14 |
x64 |
Microsoft.uag.transformer.c |
4.0.1269.200 |
6,297,488 |
15-Sep-2010 |
08:02 |
x86 |
Monitormgrcom.exe |
4.0.1269.200 |
151,952 |
15-Sep-2010 |
08:01 |
x64 |
Monitormgrcore.dll |
4.0.1269.200 |
740,240 |
15-Sep-2010 |
08:23 |
x64 |
Monitormgrlayer.dll |
4.0.1269.200 |
354,192 |
15-Sep-2010 |
08:12 |
x64 |
Policy.xml |
Não aplicável |
80,244 |
17-Oct-2010 |
12:16 |
Não aplicável |
Policydefinitions.xml |
Não aplicável |
61,516 |
15-Sep-2010 |
07:15 |
Não aplicável |
Redirecttoorigurl.asp |
Não aplicável |
1,423 |
30-Aug-2010 |
13:11 |
Não aplicável |
Repairinstallation.vbs |
Não aplicável |
3,044 |
30-Aug-2010 |
13:12 |
Não aplicável |
Ruleset_forinternalsite.ini |
Não aplicável |
47,019 |
30-Aug-2010 |
13:11 |
Não aplicável |
Sessionmgrcom.exe |
4.0.1269.200 |
233,872 |
15-Sep-2010 |
08:24 |
x64 |
Sessionmgrcomlayer.dll |
4.0.1269.200 |
1,641,360 |
15-Sep-2010 |
08:02 |
x64 |
Sessionmgrcore.dll |
4.0.1269.200 |
738,192 |
15-Sep-2010 |
08:01 |
x64 |
Sessionmgrinfra.dll |
4.0.1269.200 |
1,197,968 |
15-Sep-2010 |
08:22 |
x64 |
Sessionmgrlayer.dll |
4.0.1269.200 |
200,592 |
15-Sep-2010 |
08:04 |
x64 |
Sfhlprutil.cab |
Não aplicável |
57,194 |
15-Sep-2010 |
08:35 |
Não aplicável |
Shareaccess.exe |
4.0.1269.200 |
492,944 |
15-Sep-2010 |
08:12 |
x64 |
Sslbox.dll |
4.0.1269.200 |
58,768 |
15-Sep-2010 |
08:14 |
x64 |
Sslvpntemplates.xml |
Não aplicável |
28,704 |
30-Aug-2010 |
13:12 |
Não aplicável |
Sslvpn_https_profiles.xml |
Não aplicável |
968 |
17-Oct-2010 |
12:16 |
Não aplicável |
Uagqec.cab |
Não aplicável |
64,842 |
15-Sep-2010 |
08:36 |
Não aplicável |
Uagqessvc.exe |
4.0.1269.200 |
207,760 |
15-Sep-2010 |
08:04 |
x64 |
Uagrdpsvc.exe |
4.0.1269.200 |
144,272 |
15-Sep-2010 |
08:14 |
x64 |
Uninstalluagupdate.cmd |
Não aplicável |
212 |
15-Sep-2010 |
08:41 |
Não aplicável |
Usermgrcom.exe |
4.0.1269.200 |
119,184 |
15-Sep-2010 |
08:01 |
x64 |
Usermgrcore.dll |
4.0.1269.200 |
837,008 |
15-Sep-2010 |
08:01 |
x64 |
Whlasynccomm.dll |
4.0.1269.200 |
107,408 |
15-Sep-2010 |
08:14 |
x64 |
Whlcache.cab |
Não aplicável |
265,768 |
15-Sep-2010 |
08:36 |
Não aplicável |
Whlclientsetup-all.msi |
Não aplicável |
2,964,992 |
15-Sep-2010 |
08:22 |
Não aplicável |
Whlclientsetup-basic.msi |
Não aplicável |
2,964,992 |
15-Sep-2010 |
08:01 |
Não aplicável |
Whlclientsetup-networkconne |
Não aplicável |
2,965,504 |
15-Sep-2010 |
08:04 |
Não aplicável |
Whlclientsetup-networkconne |
Não aplicável |
2,965,504 |
15-Sep-2010 |
08:03 |
Não aplicável |
Whlclientsetup-socketforwar |
Não aplicável |
2,964,992 |
15-Sep-2010 |
08:24 |
Não aplicável |
Whlclntproxy.cab |
Não aplicável |
242,713 |
15-Sep-2010 |
08:35 |
Não aplicável |
Whlcompmgr.cab |
Não aplicável |
689,483 |
15-Sep-2010 |
08:35 |
Não aplicável |
Whlcppinfra.dll |
4.0.1269.200 |
669,584 |
15-Sep-2010 |
08:23 |
x64 |
Whldetector.cab |
Não aplicável |
263,764 |
15-Sep-2010 |
08:36 |
Não aplicável |
Whlfiltappwrap.dll |
4.0.1269.200 |
315,280 |
15-Sep-2010 |
14:02 |
x64 |
Whlfiltappwrap_http.xml |
Não aplicável |
59,475 |
15-Sep-2010 |
13:19 |
Não aplicável |
Whlfiltappwrap_https.xml |
Não aplicável |
60,961 |
15-Sep-2010 |
13:19 |
Não aplicável |
Whlfiltauthorization.dll |
4.0.1269.200 |
311,696 |
15-Sep-2010 |
14:23 |
x64 |
Whlfilter.dll |
4.0.1269.200 |
589,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote.dll |
4.0.1269.200 |
1,037,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote_http.xm |
Não aplicável |
77,404 |
30-Aug-2010 |
13:11 |
Não aplicável |
Whlfiltsecureremote_https.x |
Não aplicável |
80,308 |
17-Oct-2010 |
12:16 |
Não aplicável |
Whlfirewallinfra.dll |
4.0.1269.200 |
444,816 |
15-Sep-2010 |
08:13 |
x64 |
Whlgenlib.dll |
4.0.1269.200 |
511,376 |
15-Sep-2010 |
08:04 |
x64 |
Whlglobalutilities.dll |
4.0.1269.200 |
106,384 |
15-Sep-2010 |
08:05 |
x64 |
Whlinstallanddetect.inc |
Não aplicável |
4,476 |
30-Aug-2010 |
13:11 |
Não aplicável |
Whlio.cab |
Não aplicável |
167,277 |
15-Sep-2010 |
08:35 |
Não aplicável |
Whlioapi.dll |
4.0.1269.200 |
76,176 |
15-Sep-2010 |
08:04 |
x64 |
Whliolic.dll |
4.0.1269.200 |
15,760 |
15-Sep-2010 |
08:22 |
x64 |
Whlios.exe |
4.0.1269.200 |
137,104 |
15-Sep-2010 |
08:24 |
x64 |
Whllln.cab |
Não aplicável |
167,095 |
15-Sep-2010 |
08:36 |
Não aplicável |
Whlllnconf1.cab |
Não aplicável |
6,521 |
15-Sep-2010 |
08:35 |
Não aplicável |
Whlllnconf2.cab |
Não aplicável |
6,610 |
15-Sep-2010 |
08:36 |
Não aplicável |
Whlllnconf3.cab |
Não aplicável |
6,599 |
15-Sep-2010 |
08:35 |
Não aplicável |
Whltrace.cab |
Não aplicável |
254,352 |
15-Sep-2010 |
08:36 |
Não aplicável |
Whltsgauth.dll |
4.0.1269.200 |
184,208 |
15-Sep-2010 |
08:02 |
x64 |
Whltsgconf.dll |
4.0.1269.200 |
87,440 |
15-Sep-2010 |
08:22 |
x64 |
Whlvaw_srv.dll |
4.0.1269.200 |
138,128 |
15-Sep-2010 |
08:05 |
x64 |
Wioconfig.dll |
4.0.1269.200 |
496,528 |
15-Sep-2010 |
08:01 |
x64 |
Problemas corrigidos incluídos nesta actualização
Esta actualização corrige os seguintes problemas não documentados anteriormente num artigo da Base de dados de conhecimento da Microsoft.
Problema 1
Sintoma
Os administradores requerem o controlo de acesso granular para os seus clientes de rede privada virtual (VPN) SSTP (Secure Socket Tunneling Protocol ()). No entanto, a configuração de SSTP num UAG cria uma regra de acesso único que permite o acesso de cliente de VPN para toda a rede interna.
Em conformidade com o seguinte texto de http://technet.microsoft.com/en-us/library/ee522953.aspx, é suportada para utilizar a consola de gestão de ameaça Gateway (TMG) para criar regras que activar o controlo de acesso granular para acesso de VPN SSTP:
"Criação de regras de acesso utilizando a consola de gestão de TMG Forefront, para limitar os utilizadores, grupos e redes de acesso granular quando implementar o Forefront UAG VPN remoto para acesso à rede."
No entanto, quando os administradores criar regras de acesso para limitar o acesso de utilizador, estas regras são removidas ou movidas para a parte inferior da política de acesso após a activação de UAG. Isto significa que a regra predefinida tem precedência e o controlo granular configurado é perdido.
Causa
Este problemas é causado por uma limitação do design da integração entre UAG e as regras geradas dinamicamente que são implementadas no TMG durante a activação de UAG.
Resolução
Modificação manual das regras TMG para suportar o controlo de acesso granular conforme descrito no TechNet é depreciada (e já não é suportada depois da instalação do UAG Update 2) em favor de suporte explícito granular de controlo de acesso na consola de gestão de UAG.
Administradores UAG agora podem activar explicitamente o acesso a endereços de rede interno especial para utilizadores de SSTP VPN que são membros de grupos do Active Directory particulares. Os administradores UAG devem utilizar o novo separador de Grupos de utilizadores da caixa de diálogo Configuração de túnel de rede de SSL para definir a política de acesso IP VPN granular, que consiste num conjunto de regras de acesso. Cada regra define um conjunto de endereços IP de rede interna e os intervalos de endereços IP que os membros de um determinado grupo do Active Directory podem aceder enquanto estiver ligado a SSTP VPN.
Problema 2
Sintoma
Suporte para Microsoft infra-estrutura de ambiente de Trabalho Virtual (VDI) no UAG não está totalmente implementado.
Causa
Devido a uma IU de UAG enganosa, configurações problemáticas e incapacidade para suportar múltiplas autorização diferentes recursos durante a execução impedir VDI de funcionar correctamente.
Resolução
Vamos ter efectuado uma alteração para actualizar a IU UAG e suporta o cenário de ambiente de trabalho pessoal de VDI com uma implementação mais robusta estrutura. O cenário de ambiente de trabalho de processos em pool de VDI não foi implementado e poderá ser implementado numa futura actualização de UAG.
Problema 3
Sintoma
O componente de cliente UAG para SSL aplicação Tunneling (Socket reencaminhador) não é suportado na versão de 64 bits do Windows 7 e a versão de 64 bits do Windows Vista.
Causa
Este é o comportamento dos componentes de cliente UAG antes da disponibilização do UAG Update 2.
Resolução
Foram feitas uma alteração para abordar o cenário seguinte estrutura:
Existem larga definido de aplicativos da web não utilizam o reencaminhamento de Socket UAG / aplicação túnel como um método de publicação. Por exemplo, estas aplicações são Citrix XenApps e apresentação Server 4.5 e ambos executam como aplicações de ActiveX no browser. Antes desta actualização, devido a limitações técnicas, a Microsoft não permitir a implementação desses métodos de publicação na versão de 64 bits dos sistemas operativos cliente. Por conseguinte, a mesma aplicação publicada que utiliza esses métodos pode ser acedida de versão de 32 bits do cliente systemss em vez de sistemas operativos de 64 bits de funcionamento.
A alteração efectuada para este cenário é fornecer um método de implementação para o cliente de reencaminhamento de Socket (SF) componentes na versão de 64 bits dos sistemas operativos de cliente de Windows para permitir a abertura de aplicações de túnel. As limitações desta implementação são os seguintes:
-
Suporte para o reencaminhador de Socket é limitado a versão de 64 bits do Windows Vista e a versão de 64 bits do Windows 7, outra versão de 64 bits dos sistemas operativos não são suportadas.
-
Reencaminhador de socket só é suportado quando os utilizadores acedem UAG da versão de 32 bits do Internet Explorer (em execução no WOW64 32 bit emulação).
-
Reencaminhador de socket só irão interagir com aplicações de 32 bits (WOW64 aplicações) e não irão interagir com aplicações de 64 bits nativas.
Seguem-se as opções de implementação para os componentes actualizados:
-
Online: O método padrão que efectua a implementação de componentes de SF. No primeira invocação de qualquer aplicação de portal UAG utiliza SF como o método de publicação na utilização de túnel, os componentes são transferidos e instalados.
-
Offline: os administradores também podem implementar a aplicação adequada do Windows Installer (MSI) num cliente utilizando a distribuição de software em script ou instalação manual. Após a instalação do UAG Update 2, os ficheiros estarão disponíveis no servidor UAG na seguinte localização:
% UAG instalação directory%\von\PortalHomePage\
Problema 4
Sintoma
Não é possível aceder Citrix XenApps 5.0 que é publicado com UAG de um computador cliente que esteja a executar uma versão de 64 bits do Windows Vista ou 7 da janela.
Causa
Este é o comportamento dos componentes de cliente UAG antes da disponibilização do UAG Update 2.
Resolução
Consulte a secção "Resolução" de 3 de emissão para obter informações detalhadas.
Problema 5
Sintoma
Quando tenta criar ou editar uma política de ponto final, a política "McAfee Total Protection" aparece duas vezes na lista. Se seleccionar a segunda política de "McAfee Total Protection", receberá uma mensagem de erro semelhante à seguinte:
Não foi possível localizar a linha origem
Causa
Este problema ocorre porque o ficheiro de directory%\von\Conf\PolicyDefinitions.xml de instalação do % UAG contém duas entradas que tenham o mesmo título e o ID.
Resolução
O dupla entrada problema é resolvido removendo o segundo registo do ficheiro PolicyDefinitions.xml.
Problema 6
Symptom
Quando acede a um recurso que é publicado pelo UAG, os clientes receber um erro "Ocorreu um erro desconhecido ao processar o certificado" no browser. Além disso, poderá ver o administrador UAG nos registos de depuração de servidor UAG SEC_I_CONTINUE_NEEDED devolvido durante o passo de negociação de SSL "Handshake confirmar State". Após esse passo, o debug registos irão mostrar que a página de /InternalSite/InternalError.asp é devolvida ao cliente juntamente com o código de erro 37. Código de erro 37 é a mensagem de erro "Ocorreu um erro desconhecido ao processar o certificado."
Cause
O mecanismo SSL existente não não está correctamente handli vários cenários quando efectua o handshake de SSL com um servidor de back-end publicado através de UAG. A natureza de transmissão em sequência de SSL cria um cenário complicado, com a possibilidade de receber dados insuficientes ou de demasiadas informações durante o handshake de leitura. Neste cenário, InitializeSecurityrelatórios decontexto que tenham transmitido dados adicionais que devem ser guardados para utilização no futuro (provavelmente depois ler mais dados através da).
Resolution
O algoritmo de handshake é expandido para suportar cenários e transmissão em sequência de casos adicionais.
Issue 7
Symptom
Quando acede a uma aplicação de HTTPS publicada através de UAG, o utilizador recebe o erro 37: "Ocorreu um erro desconhecido ao processar o certificado." Um administrador que está a fazer o registo de depuração (que inclui o rastreio SSLBOX_BASE) enquanto o utilizador está a aceder a aplicação será apresentada a seguinte mensagem de erro:
Erro: não foi possível inicializar o contexto de segurança. Devolveu o erro: 0x90320.
SEC_INCOMPLETE_CREDENTIALS de retorno de InitializeSecurityContext – Schannel requer credenciais de certificado de cliente
Cause
O servidor de aplicação back-end está configurado para pedir credenciais de certificado de cliente durante a fase de negociação de SSL. Antes desta actualização não era suportada essa funcionalidade. Por conseguinte, a negociação falhou com erro.
Resolution
Existem dois cenários possíveis em que o servidor back-end está a pedir credenciais do certificado de cliente:
-
O servidor de aplicação back-end está a pedir um certificado de cliente para obter um contexto de certificado, mas não necessita do mesmo. Para este incidente que uma reversão foi implementada permitindo UAG repetir a negociação após o código de retorno de SEC_INCOMPLETE_CREDENTIALS é recebida. Normalmente, o servidor back-end não requer o certificado de cliente e esta negociação é concluída com êxito.
-
A aplicação de back-end requer autenticação de certificados de cliente. A alteração de estrutura que foi implementada não permite o cliente forneça pass-through certificados de cliente mas não permitir que um certificado de cliente válido único ser fornecido ao servidor back-end web para todos os utilizadores.
Para este incidente, o administrador UAG deve fornecer um certificado de cliente válido e instalá-lo no servidor UAG como um certificado de máquina.-
Para instruir o módulo de UAG SSLBox para obter e obter o certificado correcto, siga estes passos:
-
Execute o comando MMC para abrir a consola de gestão.
-
Clique em ficheiroe, em seguida, clique em Adicionar/Remover Snap-in.
-
Seleccione os certificados na lista e, em seguida, clique em Adicionar.
-
Seleccione a conta de computador e, em seguida, clique em Concluir.
-
Abra o arquivo de certificados pessoais .
-
Seleccione o certificado de autenticação de cliente necessário a partir da lista e faça duplo clique sobre o certificado. Ou, com o botão direito do certificado e, em seguida, clique em Abrir.
-
Seleccione o painel de Detalhes e se deslocar para baixo.
-
Seleccione a propriedade de impressão digital .
-
Seleccione o valor da propriedade em fole o painel e copiar o respectivo valor premindo CTRL + C.
-
Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 como efectuar cópias de segurança e restaurar o registo no Windowsr. Inicie o Editor de registo (Regedt32.exe).
b. Localize e, em seguida, clique na seguinte chave no registo:HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
c. no menu Editar , clique em Adicionar valore, em seguida, adicione o seguinte valor de registo:Nome do valor: ClientCertHash
Tipo de dados: cadeia
Valor: {o texto copiado na etapa 9} [por exemplo: a7 36 4b AC 3. of 87 CA 10 d5 4b 0f AC 83 9e 9e 74 c8 3e imobilizado 8b]
d. sair do Editor de registo.
e. Execute IISReset como administrador para reiniciar o IIS.
f. Active a configuração de UAG.
-
-
Problema 8
Symptom
Em alguns casos raros computadores clientes que tenham instalado os componentes de cliente UAG recebem uma mensagem de registo de evento ID 85 "uagqecsvc" escrita nos registos de eventos do Windows a cada minuto quando esse cliente está a comunicar com um servidor UAG. Apesar de isto um falso alarme, isto é preenchida os registos de eventos do cliente que torna difícil para os administradores ou o suporte técnico da informações reais eventos nos registos de eventos do Windows do cliente. Estas mensagens serão sempre apresentadas no cliente a cada minuto se de que o cliente liga a um servidor do IAG.
ID do evento: 85
Origem: uagqecsvc
Tipo: erro
Descrição: O componente de cliente de imposição de quarentena do Microsoft Forefront UAG não é possível inicializar a chamada de retorno de cliente de imposição valor HRESULT: 0x8027000E. Este problema poderá ocorrer se as políticas de segurança não activar o componente.
Poderá também existir outro evento relacionado nos registos de eventos do cliente.
ID do evento: 16
Origem: uagqecsvc
Nome de registo: aplicação
Descrição: O componente de cliente de imposição de quarentena do Microsoft Forefront UAG não é possível obter o estado do serviço de agente de protecção de acesso de rede (NAP). Erro de sistema 1115: um encerramento do sistema está em curso. (0x45b). componente quando o Microsoft Forefront UAG quarentena cliente de imposição é iniciado, tenta definições de consulta do serviço de agente NAP.
Apesar deste problema não está directamente relacionado com UAG ou implementações de UAG, é possível que, com algumas implementações os utilizadores que tenham os componentes de cliente UAG instalados acederá servidores IAG e UAG.
Cause
Componentes de cliente UAG têm um componente service "uagqecsvc" com um nome a apresentar do "Microsoft Forefront UAG quarentena cliente de imposição" Estado de saúde de ponto final que consultas utilizando NAP e comunica o estado novamente para o módulo NAP no UAG. Em alguns casos raros este problema será visualizado em implementações de UAG tal como o serviço novamente tenta repetidamente a ligação ao servidor UAG. O enlace será executado num ciclo com um limite de tempo de minuto até que pode ligar.
Os componentes de cliente UAG começando IAG Service Pack 2 actualizações 3 para além disso, foram transportados para IAG. Por conseguinte, o serviço uagqecsvc também é instalado em computadores cliente que ligar a qualquer servidor IAG que tenha componentes de cliente do Service Pack 2, 3 de actualização. Uma vez que a funcionalidade de detecção de ponto final NAP não existe no IAG, o cliente que tenha os componentes UAG instalados nos mesmos irá continuar a tentar estabelecer ligação com o serviço UAG NAP minuto, o processo de geração do registo mencionado anteriormente eletrónico nos registos de eventos do Windows.
Resolution
Em versões anteriores dos componentes de cliente, o tempo limite predefinido de tentativas comunicar com o agente de detecção de UAG NAP tiver sido definido para um minuto, é foi alterado no UAG actualização 2 para uma hora. Para os administradores que pretendam modificar este valor é fornecida uma forma de definir manualmente o limite de tempo no cliente.
Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectue o backup do Registro antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
322756 como efectuar cópias de segurança e restaurar o registo no WindowsOs utilizadores do computador ou os administradores podem defina manualmente em qualquer computador cliente o limite de tempo em milissegundos. Para tal, siga estes passos:
-
Inicie o Editor de Registo (Regedt32.exe).
-
Localize e, em seguida, clique na seguinte chave no registo:
HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
-
No menu Editar , clique em Adicionar valor e, em seguida, adicione o seguinte valor de registo:
Nome do valor: InitRetryTimeout
Tipo de dados: REG_DWORD
Radix: Decimal
Valor: (tempo em milissegundos 360000 é a predefinição mas este valor tem de ser
Definir maior, em seguida, 6000) -
Sair do Editor de Registo.
-
Reinicie o computador.
Problema 9
Sintoma
(Administrador UAG) tem UAG instalado num servidor que esteja a executar uma versão de idioma APAC localizada do Windows 2008 R2. Quando tenta criar um tronco UAG, recebe uma mensagem de erro e a criação do tronco está parada.
Por exemplo, o windows em branco, mensagens de erro inesperadas ou MMC frequente falhas ocorrem quando tenta criar um tronco UAG.
Causa
Este problema ocorre devido a manipulações incorrectas de recursos do sistema. Estas manipulações incorrectas conduzir a uma falha quando executar UAG em algumas versões de idioma não ocidental dos sistemas operativos (coreano/japonês/chinês).
Resolução
O código que é responsável por aceder a estes recursos do sistema é fixa.
Problema 10
Sintoma
Componente de limpeza de sessão de ponto final não é iniciado executar após um reinício de um ponto final. Além disso, é aberta uma janela do explorer que aponta para a pasta de componentes de cliente após um reinício.
Causa
Antes de reiniciar, o componente de limpeza de sessão de ponto final escreve um valor de registo na chave 'Executar'. Este valor de registo permite ao Windows iniciar o componente de limpeza do ponto final sessão automaticamente após um reinício. No entanto, este valor do caminho da chave de registo é um caminho de executável que contém espaços. Por conseguinte, ocorre uma falha.
Resolução
O valor do caminho que aponta para o executável limpa de anexo que é escrito na chave 'Executar' agora é escrito como uma cadeia entre aspas para impedir que quaisquer falhas.
Problema 11
Sintoma
Quando tenta aceder a linguagem de definição de opções no Exchange Server 2007 Outlook Web aplicação (OWA) que são publicados através de UAG, a seguinte mensagem de erro será enviada ao cliente.
Tentou aceder a um URL restrito.
Causa
Este problema ocorre porque o fora do modelo de caixa para OWA do Exchange Server 2007 não tem uma entrada de RuleSet para o URL"/owa/languageselection.aspx". O mecanismo de UAG RuleSet não permite o acesso a qualquer URL que não esteja na lista branca.
Resolução
É adicionada uma nova regra para o OWA do Exchange 2007 para permitir o acesso a este recurso de URL de publicação. Neste caso, a nova regra de "ExchangePub2007_Rule36" permite o acesso ao URL "/owa/languageselection.aspx".
Problema 12
Sintoma
Quando um utilizador tenta aceder a um site UAG ou tenta aceder a um caminho marcado dentro da aplicação e não o caminho de início de sessão UAG, o utilizador recebe um erro de servidor interno 500 e não conseguir aceder ao site.
Nota O site UAG utiliza ADFS para autenticação e pedidos directamente de uma aplicação publicada.
Causa
Quando UAG está configurado para utilizar ADFS para autenticação, redireccionamentos várias ocorrem entre o serviço de Token segurança (STS) e o site interno UAG. Se o redirectes não são feitos da maneira esperada, UAG devolve erros. Quando um utilizador tenta aceder directamente a um recurso publicado em vez do site de portal, o processo de reencaminhamento é interrompido. Por conseguinte, ocorre o erro interno do servidor.
Resolução
Este problema foi corrigido nesta actualização.
Problema 13
Sintoma
Quando um administrador está a configurar um repositório de autenticação de tipo ActiveDirectory, o administrador não é possível definir o valor de aninhamento de grupo para "ilimitado". Em conformidade com a especificação de UAG, o valor do campo de aninhamento de grupo pode estar em branco. No entanto, quando o campo estiver vazio e a configuração é guardada e activada, o valor é reposto a "0" inesperadamente.
Nota A MMC UAG tem de ser fechado e reaberto por forma a obter o valor de "0" visíveis. Como especificação de UAG, o "0" significa que não existe nenhum aninhamento de grupos. Por conseguinte, o aninhamento de grupos não funciona conforme esperado.
Causa
Este problema ocorre porque o valor correcto para o campo de aninhamento de grupo não pode ser armazenado na configuração. Por conseguinte, o valor correcto não é possível aplicar a GUI e as funções de autenticação.
Resolução
O valor na configuração é agora correctamente guardado e actualizado quando o valor de aninhamento de grupo é eliminado da interface gráfica para além disso, o valor é aplicado correctamente as funções de autenticação.
Nota A Microsoft recomenda a definição do valor como o número mais baixo que é necessário para a autorização em UAG. Pode definir o valor mais elevado do que 2 níveis de aninhamento devido ao potencial atraso e os recursos necessários. Se superior a 2 níveis são necessários para uma implementação, tem de testar o impacto destas alterações antes do sistema é implementado na produção. Em casos extremos, estas definições podem fazer com que servidor UAG e DC que estão a ser utilizados para autenticação por UAG a falha devido a exigências de recursos de alta.
Problema 14
Sintoma
Quando tenta fechar a janela de configuração de servidor de conexão (NC) de rede depois de activar o servidor de NC, poderá receber a seguinte mensagem de erro:
Parâmetros incorrectos de conexão de rede, endereço de segmento inválido
Causa
O serviço SSL de túnel de rede pode ser utilizado apenas quando as placas de rede física têm endereços MAC que começam com "00".
Resolução
O serviço SSL de túnel de rede pode ser utilizado, apesar das placas de rede física têm endereços MAC que começam com "00".
Problema 15
Sintoma
UAG foi editada com suporte apenas parcial, de 5 de XenApp da Citrix.
Quando pretende publicar Citrix sem erros, estes foram obrigadas a seguir os passos que são fornecidos no seguinte Web site da Microsoft:
Introdução ao como publicar Citrix XenApp 5. x com UAG 2010
Causa
Este problema ocorre porque o suporte para Citrix é interrompido.
Resolução
Os passos que são fornecidos para publicar correctamente Citrix XenApp 5.0 acima estão agora incluídos nesta actualização.
Problema 16
Sintoma
O produto de AV "Trend Micro OfficeScan antivírus" ou "Trend Micro PC-Cillin Anti-Virus" é seleccionado a partir da interface gráfica do utilizador. Neste caso, quando criar uma política e, em seguida, aplicar a política para uma aplicação, recebe a seguinte mensagem de erro durante a activação:
Não foi possível localizar a linha origem
Causa
Este problema ocorre porque o algoritmo de validação de sintaxe de política falha dependências que são requeridas por estas políticas específicas.
Resolução
Algoritmo de validação de sintaxe de política são adicionadas as dependências que são requeridas por estas políticas depois de instalar esta actualização.
Problemas conhecidos
-
Depois de instalar esta actualização a placa de rede SSL de túnel de rede torna-se invisível na janela ligações de rede. Este comportamento ocorre por predefinição. Para se certificar de que a placa de rede é instalado abrir Gestor de dispositivos e a entrada de selecção 'Mostrar dispositivos ocultos' no menu Ver.
-
Por vezes a operação de actualização de desinstalação pode falhar com uma mensagem de erro, especifica que não é possível localizar o ficheiro de instalação "FirefrontUAG.msi" ou com o erro de instalação 1269.
-
Abra o menu ' Iniciar ' e escreva Mostrar ficheiros e pastas ocultos.
-
Na janela aberta definições avançadas de desmarcar a opção Ocultar ficheiros protegidos do funcionamento sistema (recomendado) em prima ' OK '.
-
Abra uma janela de linha de comandos elevada e escreva UninstallUagUpdate.
-
Aguarde alguns minutos para a reparação da base de dados de instalação, se for necessário.
Nota Poderá receber uma mensagem que informa sobre a necessidade de uma reparação.
-
-
O suporte de Citrix XenApp é apenas para a versão 5.0. Versões posteriores não são suportadas.
-
Esta versão suporta apenas o cenário de ambiente de trabalho pessoal de VDI. Cenário de ambiente de trabalho em pool não é actualmente suportado.
-
Reencaminhamento de socket está disponível em 7 de janela e Vista clientes de 64 bits para aplicações de 32 bits (WOW64 aplicações). Não está disponível para aplicações de 64 bits nativo.
-
Publicação OWA para Exchange 2010 Service Pack 1 por UAG requer modificação manual de um AppWrap e modificações a RuleSets. Um artigo sobre os passos necessários para efectuar este procedimento for publicado na de blogue da equipa do produto UAG http://blogs.technet.com/b/edgeaccessblog/. Os passos descritos no artigo serão integrados numa actualização futura de UAG.
-
Serviços de cliente de suporte do Microsoft (CSS) não é possível fornecer suporte a clientes que utilizarem beta, não RTM, ou não-geralmente-(GA) produtos disponíveis, tais como o Internet Explorer 9 Beta. Suporte para IE9 será incluído numa actualização futura após a disponibilização oficialmente IE9.
Problemas conhecidos com matrizes e balanceamento de carga na rede (NLB)
-
Quando tenta aderir dois servidores para a matriz mesma ao mesmo tempo, o armazenamento de matriz pode estar danificado. Se isto acontecer, restaure as definições de cópia de segurança.
-
Quando elimina um IPv6 endereço IP virtual (VIP) na consola de gestão do Forefront UAG, o endereço poderá não ser totalmente removido. Para contornar este problema, elimine manualmente o endereço da placa de rede no Centro de partilha de rede e e na consola de gestão do Forefront UAG.
-
Forefront UAG poderá não detectar que um membro da matriz que utiliza integrado NLB perde a conectividade de rede (por exemplo, uma ISP-falha do sistema). Neste cenário, o Forefront UAG podem continuar a encaminhar tráfego para o servidor não disponível. Para evitar este problema, desactive as placas internas e externas de membros da matriz offline. Active as placas novamente depois de problemas de conectividade estiverem resolvidos.
-
Se tiver o Microsoft System Center Operations Manager 2007 implementadas na organização, pode monitorizar o estado de placas de rede de membro de matriz. Para tal, siga estes passos:
-
Certifique-se de que os pacotes de gestão do sistema operativo Windows Server e Windows Server 2008 NLB estão instalados em cada membro da matriz.
-
Utilize Operations Manager 2007 para detectar a placas de rede desligadas de membros da matriz.
Nota Operations Manager 2007 relatórios de problemas do seguinte modo:-
Se existir um problema com a placa que está ligado à rede interna, Operations Manager 2007 indica que não foi detectado nenhum heartbeat.
-
Se existir um problema com a placa que está ligado à rede externa, Operations Manager 2007 comunica um problema de NLB de Windows.
-
-
-
Quando cria um tronco de redireccionamento para um tronco HTTPS numa matriz que não tenha o balanceamento de carga em activado, tem de atribuir manualmente os endereços IP do tronco redireccionamento para cada membro da matriz. Esta tarefa é descrita no seguinte artigo:
Introdução para a instalação de actualizações 1 numa matriz, utilizando o NLB