Описание обновления 2 для шлюза единой Access 2010

Предварительные условия

Это обновление является накопительным и может применяться для устройств, серверов и виртуальных машин, которые выполняются следующие версии UAG 2010:

• UAG 2010 (RTM)

• UAG 2010 Update 1

• UAG 2010 обновление 1 пакета исправлений 1

Дополнительные сведения о UAG обновления 1 щелкните следующий номер статьи базы знаний Майкрософт:

981323 Описание обновления 1 для шлюза единой Access 2010Дополнительные сведения о пакете обновлений 1 1 UAG исправлений щелкните следующий номер статьи базы знаний Майкрософт:

981932 Описание исправления накопительного пакета обновлений 1 для единой Access Gateway 2010 Update 1

Замечания по установке

Порядок установки при использовании в массив сервер UAG

1. Сначала установите обновление 2 диспетчера массива.

2. Перезагрузите компьютер.

3. Активация конфигурации UAG.

4. Подождите, конфигурация для синхронизации.

5. Установите обновление 2 на первый элемент массива без диспетчера.

6. Перезагрузите компьютер.

7. Повторите для всех остальных элементов массива.

Примечание. При необходимости удаления обновления 2 должна проводиться в обратном порядке.

Необходимость перезагрузки

В сценарии не массивнет необходимости перезагрузить компьютер после установки этого пакета обновления. После установки пакета обновления необходимо активировать конфигурации UAG. Обратите внимание, что выполнение активации UAG завершит все существующие подключения SSL туннелирования приложения на сервер UAG.

В сценариях массива необходима перезагрузка. Описанные выше действия установки массива необходимы для успешного развертывания обновления при использовании массива, не удалось, выполните следующие действия может привести к повреждению массива и потере конфигурации.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Сведения об удалении

Чтобы удалить это обновление, воспользуйтесь одним из следующих методов:

• Войдите в систему как встроенная учетная запись администратора, а затем удалите обновление, используя приложение «программы и компоненты» панели управления.

• Из командной строки с повышенными привилегиями введите следующую команду и нажмите клавишу ВВОД:
  

  msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Сведения о файлах

Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку часовой пояс элемента Дата и время панели управления.

Основные вопросы, включенные в данное обновление

Это обновление устраняет следующие проблемы, которые ранее не описывались в статьях базы знаний Майкрософт.

Проблема 1

Симптом

Администраторы требовать высокую точность управления доступом для своих клиентов виртуальной частной сети (VPN) Secure Socket туннельный протокол (SSTP). Тем не менее Настройка SSTP на UAG создает правило единого доступа, предоставляющий доступ к VPN-клиента к всей внутренней сети.

В следующем тексте из http://technet.microsoft.com/en-us/library/ee522953.aspx по поддерживается использование консоли угроз Management Gateway (TMG) для создания правил, обеспечивающих высокую точность управления доступом для доступа к SSTP VPN:

«Создание правила доступа с помощью консоли управления Forefront TMG, для ограничения пользователей, групп и сетей для детализации доступа при развертывании Forefront UAG для VPN удаленного доступа.»

Тем не менее когда администраторы создают правила доступа для ограничения доступа пользователей, эти правила удалена или перемещена в нижнюю часть политики доступа после активации UAG. Это означает, что правило по умолчанию имеют приоритет и настроенный детальный контроль теряется.

Причина

Причиной этой проблемы является ограничение в разработке интеграции между UAG и динамически создаваемого правила, которые будут развернуты в TMG во время активации UAG.

Решение

Ручное изменение правил TMG поддерживает высокую точность управления доступом, как описано на TechNet амортизируется (и больше не поддерживается после установки обновления 2 UAG) вместо явной поддержки высокую точность управления доступом в консоли управления UAG.

Явно UAG Администраторы теперь могут предоставить доступ к определенной внутренние сетевые адреса пользователям SSTP VPN, которые являются членами определенных групп Active Directory. Администраторы UAG следует использовать новую вкладку Группы диалогового окна Настройка туннелирования SSL сети для определения детальный политики доступа IP VPN, который состоит из набора правил доступа. Каждое правило определяет набор внутренней сети IP-адреса и диапазоны IP-адресов, членов определенной группы Active Directory можно получить доступ при подключении к SSTP VPN.

Проблема 2


Симптом

Поддержка инфраструктуры виртуальных настольных систем Microsoft (VDI) в UAG реализован не полностью.

Причина

Из-за неправильных пользовательского интерфейса UAG проблемы конфигурации и невозможность поддержки нескольких авторизации в различных ресурсов во время реализации предотвратить VDI работает неправильно.

Решение

Мы внесли структурных изменений для обновления пользовательского интерфейса UAG и поддерживает сценарии личного рабочего стола с более надежной реализации VDI. Сценарий в пул рабочего стола VDI не была реализована и может быть реализован в дальнейшем UAG.

Проблема 3


Симптом

Клиентский компонент UAG для SSL приложение туннелирования (пересылки сокета) не поддерживается на 64-разрядной версии Windows 7 и 64-разрядной версии Windows Vista.

Причина

Это предусмотрено для сохранения UAG клиентских компонентов до выпуска обновления 2 UAG.

Решение

Мы сделали структурных изменений в адрес следующий сценарий:

Существует широкий набор веб-приложений, которые используют пересылки сокета UAG / туннелирования приложения как способ публикации. Например, такие приложения Citrix XenApps и Presentation Server 4.5, а обе программы работают как приложения ActiveX в браузере. До этого обновления из-за технических ограничений, мы запретить развертывание этих методов публикации на 64-разрядной версии операционной системы клиента. Таким образом возможен же опубликованным приложением, которое использует эти методы из 32-разрядной версии клиентская операционная systemss, а не из 64-разрядных операционных системах.

Изменения, внесенные в этом сценарии является предоставление метода развертывания клиентского сокета пересылки (SF) компонентов на 64-разрядной версии Windows клиентские операционные системы, чтобы разрешить открытие туннельного приложений. Ниже перечислены ограничения этой реализации.

• Для пересылки сокета поддерживается только в 64-разрядной версии операционной системы Windows Vista и 64-разрядной версии Windows 7, другой 64-разрядной версии операционных систем не поддерживаются.

• Сервер пересылки сокета поддерживается только при доступе к UAG из 32-разрядной версии Internet Explorer (под управлением эмуляции WOW64 32 бит).

• Сервер пересылки сокета будет взаимодействовать только с 32-разрядными приложениями (WOW64 приложения) и не будет взаимодействовать с 64-разрядных приложений в машинном коде.

Ниже приведены параметры развертывания для обновленных компонентов:

• Интернет: стандартный метод, который выполняет развертывание компонентов SF. Во время самого первого вызова любого приложения портала UAG, использующий SF как метод нисходящей публикации загрузки и установки компонентов.

• Offline: можно также развертывать соответствующие приложения установщика Windows (MSI) на клиентском компьютере с помощью распространения программного обеспечения со сценариями или ручной установки. После установки обновления 2 UAG файлы будут доступны на сервере UAG в следующей папке:
  

  Directory%\von\PortalHomePage\ Установка UAG %

Проблема 4


Симптом

Нет доступа к XenApps Citrix 5.0, которая опубликована с UAG с клиентского компьютера под управлением 64-разрядной версии Windows Vista или Windows 7.

Причина

Это предусмотрено для сохранения UAG клиентских компонентов до выпуска обновления 2 UAG.

Решение

Обратитесь к разделу «Решение», проблема 3 подробные сведения.

Вопрос 5


Симптом

При попытке создать или изменить политику конечной точки в списке политики «McAfee Total Protection» появится два раза. Если выбран второй политики «McAfee Total Protection», появляется сообщение об ошибке, подобное приведенному ниже:

Причина

Эта проблема возникает, так как файл directory%\von\Conf\PolicyDefinitions.xml % UAG установки содержит две записи с тем же именем и идентификатором.

Решение

Двойная запись проблема устранена путем удаления вторую запись из файла PolicyDefinitions.xml.

Проблема 6

Symptom

При доступе к ресурсу, опубликованное UAG, клиенты сообщение об ошибке «Неизвестная ошибка при обработке сертификата» в веб-обозревателе. Кроме того администратор UAG может появиться в журналах отладки сервера UAG, SEC_I_CONTINUE_NEEDED возвращается во время этапа согласования SSL «Подтверждение состояние подтверждения». После этого шага отладочные журналы покажет что клиенту кода ошибки 37 возвращается на страницу /InternalSite/InternalError.asp . Код ошибки 37-сообщение об ошибке «Неизвестная ошибка при обработке сертификата.»

Cause

Существующий механизм SSL не правильно ли handli несколько сценариев при выполнении с фонового сервера, опубликованным через UAG SSL-подтверждения. Потоковый характер SSL создает сложные сценарии с вероятность получения либо недостаточно данных или чтение слишком много информации при установлении соединения. В этом случае InitializeSecurityконтексте сообщает, что прошли дополнительные данные, которые должны быть сохранены для использования в будущем (предположительно после считывания дополнительных данных по каналу связи).

Resolution

Алгоритм подтверждения расширена для поддержки дополнительных потоков случаев и сценариев.


Issue 7

Symptom

При доступе к опубликованным приложением HTTPS через UAG, пользователь получает сообщение об ошибке 37: «Неизвестная ошибка при обработке сертификата.» Администратор, который осуществляет регистрацию в журнале отладки (включающий трассировки SSLBOX_BASE) при доступе к пользователю приложения будет отображаться следующее сообщение об ошибке:

Cause

Серверному приложению сервер настроен на запрос учетных данных сертификата клиента на этапе согласования SSL. До выполнения данного обновления Такая функциональная возможность не поддерживается. Таким образом согласования завершилась ошибкой.

Resolution

Существует два возможных сценария, где внутренний сервер запрашивает учетные данные сертификата клиента:

• Серверному приложению сервер запрашивает сертификат клиента, чтобы получить контекст сертификата, но не требуется. Для этого случая, резервным вариантом было реализовано, позволяя UAG попытки получения согласования после SEC_INCOMPLETE_CREDENTIALS код возврата. Обычно конечного сервера не требуется сертификат клиента и это согласование успешно завершено.

• Серверному приложению требуется проверка подлинности сертификата клиента. Изменение макета, который был реализован не позволяет клиенту предоставить доступ через клиентские сертификаты, но не позволяют один действительный сертификат предоставляется на внутреннем веб-сервер для всех пользователей.
  
  В этом случае администратор UAG должен указать действительный клиентский сертификат и установить его на сервер UAG как сертификат компьютера.

  1. Чтобы указать модуль UAG SSLBox для извлечения и получить правильный сертификат, выполните следующие действия.

     1. Выполните команду для открытия консоли управления MMC.

     2. Выберите файли нажмите кнопку Добавить/удалить оснастку.

     3. Выберите сертификаты из списка и нажмите кнопку Добавить.

     4. Выберите учетную запись компьютера и нажмите кнопку Готово.

     5. Откройте хранилище личных сертификатов.

     6. Выберите из списка сертификат проверки подлинности клиента требуется и дважды щелкните сертификат. Правой кнопкой мыши сертификат и нажмите кнопку Открыть.

     7. В области сведений выберите и прокрутите вниз.

     8. Выберите свойство отпечаток .

     9. Выберите значение свойства в панели ниже ссылке и скопируйте его значение, нажав CTRL + C.

     10. Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

         322756 как резервное копирование и восстановление реестра Windowsа. Запустите редактор реестра (Regedt32.exe).
         
         б. Найдите и выделите следующий раздел реестра:
         
         

         HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
         c. в меню Правка выберите пункт Добавить значениеи добавьте следующий параметр реестра:

         Имя значения: ClientCertHash
         Тип данных: строка
         Значение: {текст скопирован на шаге 9} [например: a7 36 4b ЦС 87 3f переменного тока 10 d5 4b 0f ЦС 83 9e 9e 74 c8 3e ОС 8b]
         d. Выйдите из редактора реестра.
         e. Запустите команду IISReset, как администратор, чтобы перезапустить службы IIS.
         е. Активация конфигурации UAG.

Проблема 8

Symptom

В некоторых редких случаях клиентских компьютеров, на которых установлены компоненты клиента UAG на них сообщение об ошибке «uagqecsvc» событие ID 85 журнала записываются в журналы событий Windows при связи клиента с сервером UAG каждую минуту. Хотя это оповещение ЛОЖЬ, это заполняется журналы событий клиента, что затрудняет для администраторов или справочной службы из выявлению реальных событий в журналах событий Windows клиента. Эти сообщения будут всегда отображаться на клиентском компьютере каждую минуту при подключении клиента к серверу IAG.

Также возможно другого связанные события в журнале событий клиента.

Несмотря на то, что эта проблема не связаны непосредственно UAG или развертываний UAG, возможна с некоторых развертываниях пользователей, имеющих клиентские компоненты UAG, установленную на них будет доступ IAG и UAG серверов.

Cause

Клиентские компоненты UAG статусом компонент службы «uagqecsvc» с отображаемым именем из «Microsoft Forefront UAG клиент принудительного карантина для» какие запросы конечной точки работоспособности с помощью NAP и сообщает о состоянии обратно к модулю защиты доступа к сети на UAG. В некоторых редких случаях эта проблема будут отображаться в развертываниях UAG как служба повторно пытается повторно привязать сервер UAG. Привязка будет выполняться в цикл с тайм-аутом минуты до соединения.

Кроме того, начиная с 3 IAG Пакет обновления 2 обновления, были перенесены IAG UAG клиентских компонентов. Поэтому служба uagqecsvc также установлена на клиентских компьютерах, подключающихся к любому серверу IAG, имеющий клиентские компоненты 2 обновления Пакет обновления 3. Поскольку функциональные возможности обнаружения конечной точки NAP в IAG не существует, клиент, использующий UAG компоненты, установленные на их продолжит попробовать подключиться к службе UAG NAP каждую минуту в процессе создания вышеупомянутые журнала корреляции в журнале событий Windows.

Resolution

В более ранних версиях клиентских компонентов по умолчанию время ожидания между повторными попытками установки для взаимодействия с агентом UAG NAP обнаружения был установлен до минуты он является был изменен в UAG обновления 2 на один час. Для администраторов, которым необходимо изменить это значение предоставляется возможность вручную задать время ожидания для клиента.

Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:

322756 как резервное копирование и восстановление реестра WindowsПользователи или Администраторы можно вручную определить на любом клиентском компьютере тайм-аута в миллисекундах. Чтобы сделать это, выполните следующие действия.

1. Запустите редактор реестра (Regedt32.exe).

2. Найдите и выделите следующий раздел реестра:
   

   HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC

3. В меню Правка выберите пункт Добавить значениеи добавьте следующий параметр реестра:

   Имя значения: InitRetryTimeout
   Тип данных: REG_DWORD
   Основание системы счисления: десятичная
   Значение: (по умолчанию используется время в миллисекундах 360000, но это значение должно быть
   задать размер затем 6000)

4. Закройте редактор реестра.

5. Перезагрузите компьютер.

Проблема 9
Симптом

(Администратор UAG) имеется UAG, установленные на сервере, на котором выполняется локализованная версия языка APAC Windows 2008 R2. При попытке создания магистральных UAG, появляется сообщение об ошибке и создание канала связи остановлена.

Например, пустые окна, сообщениями неожиданных ошибок или частых MMC сбои возникают при попытке создания магистральных UAG.

Причина

Эта проблема возникает из-за неправильного манипуляции системных ресурсов. Эти манипуляции с неправильным привести к отказу при запуске UAG в некоторых версиях языка не западной операционных систем (корейский и японский и китайский).

Решение

Код, обеспечивающий доступ к этим ресурсам системы фиксированной.

Вопрос 10


Симптом

Конечная точка сеанса очистки компонентов не запускается для выполнения после перезагрузки конечной точки. Кроме того в окне обозревателя открывается, указывающий на папку компоненты клиента после перезагрузки.

Причина

Перед перезагрузкой конечная точка сеанса очистки компонентов записывает значения реестра в разделе «Запуск». Это значение реестра позволяет Windows для автоматического запуска после перезагрузки компонента сеанса очистки конечной точки. Однако этот путь реестра значение исполняемый путь, содержащий пробелы. Таким образом возникает ошибка.

Решение

Значение пути, указывающего на исполняемый файл Wiper вложения, записываются в раздел «Запуск» теперь записывается как строка в кавычках, чтобы предотвратить сбои.

Вопрос 11


Симптом

При попытке получить доступ к языковой настройки параметров в Exchange Server 2007 веб-приложения (Outlook), опубликованный через UAG следующее сообщение об ошибке будет отправлено клиенту.

Причина

Эта проблема возникает из-за нехватки шаблон для Exchange Server 2007 OWA не имеет записи набора правил для URL"/owa/languageselection.aspx». Механизм правил UAG не разрешает доступ к любой URL-адрес, который не включен в белый список.

Решение

Для Exchange 2007 OWA публикации для доступа к этому ресурсу URL-адрес добавляется новое правило. В этом случае новое правило «ExchangePub2007_Rule36» предоставляет доступ к URL-АДРЕСУ «/owa/languageselection.aspx».

Проблема 12


Симптом

Когда пользователь пытается получить доступ к узлу UAG или пытается открыть закладку путь внутри приложения, а не путь входа UAG, пользователь получает 500 Внутренняя ошибка сервера и не может получить доступ к узлу.

Примечание. Узел UAG использует ADFS для проверки подлинности и запросов опубликованных приложений напрямую.

Причина

При настройке служб ADFS для проверки подлинности UAG несколько перенаправления происходят от службы маркеров безопасности (STS) и внутренний узел UAG. Если redirectes не выполняется ожидаемым образом, UAG возвращает ошибки. Когда пользователь пытается получить прямой доступ к опубликованным ресурсов вместо узла портала, re-routing процесса разрывается. Таким образом возникает внутренняя ошибка сервера.

Решение

Эта проблема устранена в данное обновление.

Проблема 13

Симптом

Когда администратор выполняет настройку хранилища ActiveDirectory тип проверки подлинности, администратор не может задать группу вложенности значение «unlimited». В соответствии со спецификацией UAG значение поля вложения группы может быть пустым. Тем не менее если это поле пусто, сохраняется и активации конфигурации имеет значение обратно на «0» неожиданно.

Примечание. UAG MMC необходимо закрыть и повторно открыть для получения отображается значение «0». Как спецификация UAG «0» означает, что не вложенные группы. Таким образом вложенные группы не работает должным образом.

Причина

Эта проблема возникает из-за правильное значение в поле вложения группы не может быть сохранен в конфигурации. Таким образом правильным значением не может применяться для пользовательского интерфейса и функций проверки подлинности.

Решение

Значение в конфигурации теперь правильно хранится и обновляется при удалении вложения значение группы из графического интерфейса Кроме того, значение надлежащим образом применяются к функции проверки подлинности.

Примечание. Корпорация Майкрософт рекомендует значение быть наименьшим номером, который необходим для авторизации в UAG. Можно присвоить значение больше, чем 2 уровней вложения из-за возможных задержек и необходимых ресурсов. Если выше, чем 2 уровня необходимы для развертывания, необходимо проверить влияние этих изменений перед развертыванием в производственной системе. В крайних случаях эти параметры могут привести к сервер UAG и все контроллеры домена, которые используются для проверки подлинности, UAG сбой из-за требований высокую загрузку ресурсов.

Проблема 14


Симптом

При попытке закрыть окно конфигурации сервера сетевой разъем (NC) после включения сервера NC, может появиться следующее сообщение об ошибке:

Причина

Туннелирование SSL сетевой службы может использоваться только в том случае, когда физические сетевые адаптеры имеют MAC-адреса, начинающиеся с «00».

Решение

Туннелей SSL сетевой службы может использоваться, даже если физические сетевые адаптеры MAC-адреса, начинающиеся с «00».

Проблема 15


Симптом

Частичная поддержка Citrix XenApp 5 была выпущена UAG.

Если вы хотите опубликовать Citrix без ошибок, они обязательно выполните инструкции, содержащиеся в веб-узел Майкрософт:

Общие сведения о том, как опубликовать Citrix XenApp 5.x с UAG 2010
Причина

Эта проблема возникает из-за разрыва поддержка Citrix.

Решение

Действия, предоставляемые, чтобы должным образом опубликовать Citrix XenApp 5.0 теперь включены в данное обновление.

Проблема 16


Симптом

Антивирусный продукт «Trend Micro OfficeScan антивирусной программы» или «Trend Micro PC-Cillin антивирусные» выбирается из графического интерфейса пользователя. В этом случае при создании политики и затем применить политику к приложению, появляется следующее сообщение об ошибке при активации:

Причина

Эта проблема возникает из-за алгоритма проверки синтаксиса политики промахов зависимости, необходимые для этих конкретных политик.

Решение

После установки этого обновления зависимостей, которые требуются эти политики будут добавлены алгоритм проверки синтаксиса политики.

Известные проблемы с массивами и балансировки сетевой нагрузки (NLB)

• При попытке присоединения двух серверов тот же массив в то же время хранения массива может быть поврежден. В этом случае восстановите параметры из резервной копии.

• При удалении IPv6 виртуальный IP-адрес (VIP) в консоли управления Forefront UAG адреса не могут полностью удалены. Чтобы обойти эту проблему, вручную удалите адрес от сетевого адаптера в центре управления сетями и общим доступом и консоль управления Forefront UAG.

• Forefront UAG может не обнаружить, что элементом массива, который использует встроенный NLB теряет связь с сетью (например, системы ISP-ошибка). В этом случае Forefront UAG продолжить маршрутизацию трафика на сервер недоступен. Чтобы избежать этой проблемы, отключите адаптеры внутренних и внешних элементов массива в автономном режиме. После разрешения проблемы подключения снова включите адаптеры.

• Если у вас есть Microsoft System Center Operations Manager 2007 в организации развернуты, можно отслеживать состояние сетевых адаптеров элементов массива. Чтобы сделать это, выполните следующие действия.
  

  • Убедитесь, что установлены пакеты управления операционной системы Windows Server и Windows Server 2008 NLB на каждого члена массива.

  • Используйте для поиска отключенных сетевых адаптеров на члены массива Operations Manager 2007.
    Примечание. Operations Manager 2007 сообщает о проблемах следующим образом:
    

    • Если проблема с адаптер, подключенный к внутренней сети, Operations Manager 2007 сообщает обнаружения без подтверждения.

    • Если проблема с адаптер, подключенный к внешней сети, Operations Manager 2007 сообщает о проблеме балансировки сетевой Нагрузки Windows.

• При создании магистральных перенаправления для магистральных HTTPS в массиве, не активирована Балансировка нагрузки, необходимо вручную назначить магистральных перенаправление IP-адреса для каждого члена массива. Эта задача описана в следующей статье:
  

  Введение в установке обновления 1 в массив с помощью балансировки сетевой Нагрузки