统一访问网关 2010年 2 更新说明

文章翻译 文章翻译
文章编号: 2288900 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

以 Microsoft Forefront 统一访问网关 (UAG) 2010年相关地址最新问题,这些发行说明。 安装 Forefront 统一访问网关 (UAG) 前,您必须阅读本文档中包含的信息。 本文包含有关此更新的以下信息:
  • 新功能,此更新中包含的改进
  • 此更新中解决问题
  • 如何获取此更新
  • 安装此更新的先决条件
  • 已知的问题

简介

这篇文章的 Forefront UAG 2010 描述更新 2,并提供了安装说明。 更新 2,Forefront UAG 2010 提供以下功能:
  • 客户端组件的增强功能:在 Windows Vista 和 Windows 7 64 位操作系统的 32 位应用程序现在支持 Forefront UAG SSL 应用隧道 (套接字代理) 的组件。 请参阅下的表以了解详细信息,并发出 # 3 的详细信息。
    收起该表格展开该表格
    功能Windows XP 32 位Windows Vista 32 位Windows Vista 64 位Windows 32 位 7Windows 64 位 7Mac 或 Linux
    脱机安装
    在线安装
    终结点检测
    附件擦拭刷
    SSL 隧道组件
    套接字代理
    SSL 隧道的应用程序(网络接口)
    注意:有关浏览器、 操作系统的系统和客户端组件的特定信息的功能和兼容性,请访问下面的 Microsoft TechNet 网页:
    Forefront UAG 终结点的系统要求简介
  • 虚拟桌面结构 (VDI):最前沿 UAG 完全支持发布的 VDI 个人桌面方案通过远程桌面。
  • Citrix 发布支持:最前沿 UAG 完全支持 Citrix 演示服务器 4.5 和更换 Citrix XenApp 5.0。
  • Citrix 客户端计算机支持:最前沿 UAG 支持 64 位操作系统访问 Citrix XenApp 应用程序,其中 XenApp 客户端是 32 位 Windows Vista 和 Windows 7 的计算机。 有关其他详细信息,请参阅下面的问题 # 4。
  • SSTP 用户和组访问控制:最前沿 UAG 现在提供更好地授权机制,它使管理员可以授权 SSTP 访问的各个组。
  • SSL 握手:最前沿 UAG 现在提供了更可靠的处理的 UAG 和已发布的 web 服务器之间的 SSL 握手。
  • 客户端证书的委派:最前沿 UAG 现在将添加一些有限的支持,为应用程序的应用程序服务器进行的协商要求客户端证书凭据的位置。
  • 网络接口的 MAC 地址支持:最前沿 UAG 网络连接器服务器支持的扩展的 MAC 地址范围与更广泛的网络适配器。
为 Forefront UAG 2010 更新 2 中的新功能的详细信息,请参阅下面的 Microsoft 网页"的新 Forefront UAG 中"一节:
介绍适用于 Forefront UAG 产品评估

更多信息

更新信息

下面的文件是可从 Microsoft 下载中心下载:

收起这个图片展开这个图片
下载
立即下载 Forefront 统一访问网关 (UAG) 更新 2 程序包。??

有关如何下载 Microsoft 支持文件的详细信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获取 Microsoft 支持文件
Microsoft 扫描此文件的病毒。 Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。 该文件存储在安全性得到增强的服务器,以帮助防止对该文件进行任何未经授权的更改。

系统必备组件

此更新是累积性,并可应用于装置、 服务器,或虚拟机正在运行以下版本的 UAG 2010 的:
  • UAG 2010 年 (RTM)
  • UAG 2010 更新 1
  • 1 的 UAG 2010 更新汇总 1 修复程序包
有关 UAG 更新 1 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
981323统一访问网关 2010年更新 1 的说明
有关 UAG 更新汇总 1 修复程序包的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
981932汇总 1 修复程序包的统一访问网关 2010年更新 1 的说明

安装说明

安装在使用 UAG 服务器阵列时的顺序
  1. 第一次安装阵列管理器上的更新 2。
  2. 重新启动。
  3. 激活 UAG 配置。
  4. 等待同步配置。
  5. 在第一个管理器阵列成员上安装更新 2。
  6. 重新启动。
  7. 对所有剩余的阵列成员重复。
请注意如果需要,应该相反的顺序进行的更新 2 卸载。

重新启动要求

非数组方案您不必在应用此更新程序包后重新启动计算机。 安装更新程序包后,您必须激活 UAG 配置。 Please note that performing the UAG activation will terminate any existing SSL Application Tunneling connections to the UAG server.

array scenariosrestart is required. The array installation steps above are required for successful deployment of the update when using an array, failure to follow these steps can cause corruption of the array and loss of the configuration.

修补程序替换信息

此修补程序不替代以前发布的修复程序。

Uninstallation information

To uninstall this update, use one of the following methods:
  • Log on as a built-in administrator, and then uninstall the update by using the Programs and Features applet in Control Panel.
  • From an elevated command prompt, type the following command, and then press ENTER:
    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

文件信息

此修补程序的英文版具有文件属性 (或更高版本的文件属性) 下表中列出。 日期和时间对这些文件列出在协调世界时 (UTC)。 当您查看文件信息时,将转换为本地时间。 To find the difference between UTC and local time, use the Time Zone tab in the Date and Time item in Control Panel.

收起该表格展开该表格
文件名称文件版本文件大小日期时间平台
Agent_win_helper.jar不适用1,286,01530-Aug-201013: 12不适用
Clientconf.xml不适用6,67515-Sep-201006:41不适用
Configdatacomlayer.dll4.0.1269.200192,40015-Sep-201008:13x64
Configdatalayer.dll4.0.1269.2003,871,63215-Sep-201008:06x64
Configmgrcom.exe4.0.1269.200199,56815-Sep-201008:01x64
Configmgrcomlayer.dll4.0.1269.2002,246,03215-Sep-201008:15x64
Configmgrcore.dll4.0.1269.2001,375,63215-Sep-201008:23x64
Configmgrinfra.dll4.0.1269.2001,599,88815-Sep-201008:12x64
Configmgrlayer.dll4.0.1269.200215,44015-Sep-201008:05x64
Configuration.exe4.0.1269.2008,920,97615-Sep-201008:22x64
Detection.js不适用14,59115-9 月-201007: 20不适用
Https_whlfiltappwrap_forpor不适用60,96115-9 月-201007: 19不适用
Http_whlfiltappwrap_forport不适用59,47515-9 月-201007: 19不适用
Install.js不适用11,21815-9 月-201007: 20不适用
Installanddetect.asp不适用12,06715-9 月-201007: 20不适用
Internalerror.asp不适用8,34415-9 月-201007: 20不适用
Internalerror.inc不适用24,40215-9 月-201007: 20不适用
Login.asp不适用24,18315-9 月-201007: 20不适用
Logoffmsg.asp不适用7,70530-8 月-201013: 11不适用
Microsoft.uag.da.messages.d4.0.1269.20033,68015-9 月-201008: 14x64
Microsoft.uag.transformer.c4.0.1269.2006,297,48815-9 月-201008: 02x86
Monitormgrcom.exe4.0.1269.200151,95215-9 月-201008: 01x64
Monitormgrcore.dll4.0.1269.200740,24015-9 月-201008: 23x64
Monitormgrlayer.dll4.0.1269.200354,19215-9 月-201008: 12x64
Policy.xml不适用80,24417-10 月-201012: 16不适用
Policydefinitions.xml不适用61,51615-9 月-201007: 15不适用
Redirecttoorigurl.asp不适用1,42330-8 月-201013: 11不适用
Repairinstallation.vbs不适用3,04430-8 月-201013: 12不适用
Ruleset_forinternalsite.ini不适用47,01930-8 月-201013: 11不适用
Sessionmgrcom.exe4.0.1269.200233,87215-9 月-201008: 24x64
Sessionmgrcomlayer.dll4.0.1269.2001,641,36015-9 月-201008: 02x64
Sessionmgrcore.dll4.0.1269.200738,19215-9 月-201008: 01x64
Sessionmgrinfra.dll4.0.1269.2001,197,96815-9 月-201008: 22x64
Sessionmgrlayer.dll4.0.1269.200200,59215-9 月-201008: 04x64
Sfhlprutil.cab不适用57,19415-9 月-201008: 35不适用
Shareaccess.exe4.0.1269.200492,94415-9 月-201008: 12x64
Sslbox.dll4.0.1269.20058,76815-9 月-201008: 14x64
Sslvpntemplates.xml不适用28,70430-8 月-201013: 12不适用
Sslvpn_https_profiles.xml不适用96817-10 月-201012: 16不适用
Uagqec.cab不适用64,84215-9 月-201008: 36不适用
Uagqessvc.exe4.0.1269.200207,76015-9 月-201008: 04x64
Uagrdpsvc.exe4.0.1269.200144,27215-9 月-201008: 14x64
Uninstalluagupdate.cmd不适用21215-9 月-201008: 41不适用
Usermgrcom.exe4.0.1269.200119,18415-9 月-201008: 01x64
Usermgrcore.dll4.0.1269.200837,00815-9 月-201008: 01x64
Whlasynccomm.dll4.0.1269.200107,40815-9 月-201008: 14x64
Whlcache.cab不适用265,76815-9 月-201008: 36不适用
Whlclientsetup all.msi不适用2,964,99215-9 月-201008: 22不适用
Whlclientsetup basic.msi不适用2,964,99215-9 月-201008: 01不适用
Whlclientsetup networkconne不适用2,965,50415-9 月-201008: 04不适用
Whlclientsetup networkconne不适用2,965,50415-9 月-201008: 03不适用
Whlclientsetup socketforwar不适用2,964,99215-9 月-201008: 24不适用
Whlclntproxy.cab不适用242,71315-9 月-201008: 35不适用
Whlcompmgr.cab不适用689,48315-9 月-201008: 35不适用
Whlcppinfra.dll4.0.1269.200669,58415-9 月-201008: 23x64
Whldetector.cab不适用263,76415-9 月-201008: 36不适用
Whlfiltappwrap.dll4.0.1269.200315,28015-9 月-201014: 02x64
Whlfiltappwrap_http.xml不适用59,47515-9 月-201013: 19不适用
Whlfiltappwrap_https.xml不适用60,96115-9 月-201013: 19不适用
Whlfiltauthorization.dll4.0.1269.200311,69615-9 月-201014: 23x64
Whlfilter.dll4.0.1269.200589,20015-9 月-201014: 22x64
Whlfiltsecureremote.dll4.0.1269.2001,037,20015-9 月-201014: 22x64
Whlfiltsecureremote_http.xm不适用77,40430-8 月-201013: 11不适用
Whlfiltsecureremote_https.x不适用80,30817-10 月-201012: 16不适用
Whlfirewallinfra.dll4.0.1269.200444,81615-9 月-201008: 13x64
Whlgenlib.dll4.0.1269.200511,37615-9 月-201008: 04x64
Whlglobalutilities.dll4.0.1269.200106,38415-9 月-201008: 05x64
Whlinstallanddetect.inc不适用4,47630-8 月-201013: 11不适用
Whlio.cab不适用167,27715-9 月-201008: 35不适用
Whlioapi.dll4.0.1269.20076,17615-9 月-201008: 04x64
Whliolic.dll4.0.1269.20015,76015-9 月-201008: 22x64
Whlios.exe4.0.1269.200137,10415-9 月-201008: 24x64
Whllln.cab不适用167,09515-9 月-201008: 36不适用
Whlllnconf1.cab不适用6,52115-9 月-201008: 35不适用
Whlllnconf2.cab不适用6,61015-9 月-201008: 36不适用
Whlllnconf3.cab不适用6,59915-9 月-201008: 35不适用
Whltrace.cab不适用254,35215-9 月-201008: 36不适用
Whltsgauth.dll4.0.1269.200184,20815-9 月-201008: 02x64
Whltsgconf.dll4.0.1269.20087,44015-9 月-201008: 22x64
Whlvaw_srv.dll4.0.1269.200138,12815-9 月-201008: 05x64
Wioconfig.dll4.0.1269.200496,52815-9 月-201008: 01x64



此更新中包含的固定的问题

此更新解决了以前未记录在 Microsoft 知识库文章中的以下问题。

问题 1


症状

管理员需要为其安全套接字隧道协议 (SSTP) 虚拟专用网络 (VPN) 客户端的精细的访问控制。 但是,配置 SSTP UAG 上创建一个访问规则,给整个内部网络的 VPN 客户端的访问。

根据要从 http://technet.microsoft.com/en-us/library/ee522953.aspx 如下支持使用威胁管理网关 (TMG) 控制台创建为 SSTP VPN 访问启用精细的访问控制的规则:

"创建访问规则使用 Forefront TMG 管理控制台中的限制用户、 组和精细的访问的网络的远程网络的 VPN 访问部署 Forefront UAG 时的目的"。

但是,管理员在创建访问规则来限制用户访问时这些规则被删除或 UAG 激活后移动到底部的访问策略。 这意味着默认规则优先,并且已配置的精确地控制将会丢失。

原因

此问题是由 UAG 和部署到 TMG UAG 激活过程中动态生成的规则之间集成的设计中的限制引起的。

解决方法

手动修改 TMG 规则,以支持精细的访问控制,如在 TechNet 上所述的折旧 (和 UAG 更新 2 的安装后不再支持) 中的显式支持 UAG 管理控制台中的精细的访问控制。

UAG 管理员现在可以显式启用特定的内部网络地址属于特定 Active Directory 组成员的 SSTP VPN 用户的访问。 UAG 管理员应使用新的用户组SSL 网络隧道配置对话框来定义粒度包含的一组访问规则的 IP VPN 访问策略选项卡。 每个规则定义一组内部的网络 IP 地址和特定的 Active Directory 组的成员可以访问到 SSTP VPN 连接时的 IP 地址范围。

问题 2


症状

Microsoft 虚拟桌面基础结构 (VDI) 支持 UAG 中的未完全实现。

原因

由于一个令人误解的 UAG 用户界面的有问题的配置和支持不同的资源中的 multi-authorization,在实施过程中无法阻止 VDI 正常工作。

解决方法

我们所做更改来更新 UAG UI 和支持 VDI 的个人桌面方案,使用更可靠的实现的设计。 VDI 的共用桌面方案未实现,并可能在将来的更新的 UAG 中实现。

问题 3


症状

在 64 位版本的 Windows 7 和 64 位版本的 Windows Vista 上不支持 UAG 客户端组件,用于 SSL 应用隧道 (套接字代理)。

原因

这是设计的 UAG 客户端组件的 UAG 更新 2 版本之前的行为。

解决方法

我们已经进行设计更改来解决以下情形:

没有使用 UAG 套接字发送的非 web 应用程序的宽度设置 / 发布方法为隧道的应用程序。 例如对于此类应用程序是 Citrix XenApps 和演示文稿服务器 4.5,并且它们都作为 ActiveX 应用程序在浏览器中运行。 前此更新中,但由于的技术的限制中我们禁止这些发布的方法上的客户端操作系统的 64 位版本的部署。 Therefore, the same published application that uses those methods may be accessed from 32-bit version of client operating systemss instead of from 64-bit operating systems.

The change made for this scenario is to provide a method of deployment for the Socket Forwarding (SF) client components on 64-bit version of Windows client operating systems to enable opening of tunneled applications. The limitations of this implementation are as follows:
  • Support for Socket Forwarder is limited to 64-bit version of Windows Vista and 64-bit version of Windows 7, other 64-bit version of operating systems are not supported.
  • Socket Forwarder is only supported when users access UAG from the 32-bit version of Internet Explorer (running in WOW64 32 bit emulation).
  • Socket Forwarder will only interact with 32-bit applications (WOW64 applications) and will not interact with native 64-bit applications.
The following are the deployment options for the updated components:
  • Online: The standard method that performs deployment of SF components. On the very first invocation of any UAG portal application that uses SF as the tunneling publishing method, the components are downloaded and installed.
  • Offline: Administrators can also deploy the appropriate Windows Installer application (MSI) on a client by using scripted software distribution or by manual installation. After the installation of UAG Update 2 the files will be available on the UAG server in the following location:
    %UAG installation directory%\von\PortalHomePage\
问题 4


症状

You cannot access Citrix XenApps 5.0 that is published with UAG from a client computer that is running a 64-bit version of Windows Vista or Window 7.

原因

This is the designed behavior of the UAG client components before the release of UAG Update 2.

解决方法

Refer to the “Resolution” section of Issue 3 for detailed information.

问题 5


症状

When you try to create or edit an endpoint policy, the “McAfee Total Protection” policy appears two times on the list. If you select the second “McAfee Total Protection” policy, you receive an error message that resembles the following:

source line could not be located

原因

This issue occurs because the %UAG installation directory%\von\Conf\PolicyDefinitions.xml file contains two entries that have the same title and ID.

解决方法

The double entry issue is resolved by removing the second record from the PolicyDefinitions.xml file.

问题 6

症状

When you access a resource that is published by UAG, clients receive an error "An unknown error occurred while processing the certificate" in the browser. Also, the UAG administrator may see in UAG server debug logs thatSEC_I_CONTINUE_NEEDEDis returned during the SSL negotiation step "Handshake Confirm State." Following that step the debug logs will show that the/InternalSite/InternalError.asppage is returned to the client together with error code 37. Error Code 37 is the error message "An unknown error occurred while processing the certificate."

原因

The existing SSL mechanism does not correctly handli several scenarios when it performs SSL handshake with a back-end server published through UAG. The streaming nature of SSL creates a complicated scenario with a possibility of receiving either insufficient data or reading too much information during the handshake. In this scenario,InitializeSecurityContextreports that you have passed additional data that must be saved for use in the future (presumably after you read more data across the wire).

解决方法

The handshake algorithm is extended to support additional streaming cases and scenarios.


问题 7

症状

当您通过 UAG 访问已发布的 HTTPS 应用程序时,用户会收到错误 37:"未知的错误处理证书时出现" 正在执行的操作 (包括 SSLBOX_BASE 跟踪) 的调试日志记录的管理员时用户访问该应用程序将看到以下错误消息:
错误: 无法初始化安全上下文。 返回错误: 0x90320。

InitializeSecurityContext 返回 SEC_INCOMPLETE_CREDENTIALS – Schannel 要求客户端证书凭据
原因

后端应用程序服务器被配置为在 SSL 协商阶段要求客户端证书凭据。 此更新之前不支持这样的功能。 因此,在协商失败,出现错误。

解决方法

有两个可能的方案后端服务器要求客户端证书凭据的位置:
  • 后端应用程序服务器请求获得一个证书上下文的客户端证书,但不需要它。 对于这种情况下回退已实现允许重试后的协商 UAG 在SEC_INCOMPLETE_CREDENTIALS接收的返回代码。 通常在后端服务器不要求客户端证书,此协商成功完成。
  • 后端应用程序需要客户端证书身份验证。 已实现的设计更改不允许为提供客户端传递到客户端证书,但不会允许到后端 web 服务器的所有用户提供一个有效的客户端证书。

    这种情况 UAG 管理员应提供有效的客户端证书,并作为一个机器证书的 UAG 服务器上安装它。
    1. 若要指示 UAG SSLBox 模块检索并获取正确的证书,请按照下列步骤:
      1. 运行 MMC 命令,以打开管理控制台。
      2. 单击文件然后单击添加/删除管理单元.
      3. 选择证书从列表,然后单击添加.
      4. 选择计算机帐户,然后单击完成.
      5. 打开在个人证书存储区。
      6. 从列表中选择所需的客户端身份验证证书,并双击该 certificate.Or,用鼠标右键单击证书,然后单击打开.
      7. 选择在详细信息窗格,并向下的滚动。
      8. 选择指纹在属性中。
      9. 在面板 bellow 中选择该属性值,通过按 CTRL + C 复制它的值。
      10. 重要此节、 方法,或任务包含告诉您如何修改注册表的步骤。 但是,如果注册表修改不当可能会出现严重问题。 因此,请确保您认真执行这些步骤。 附加的保护备份注册表之前对其进行修改。 然后,您可以在出现问题时还原注册表。 有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
        322756如何备份和还原在 Windows 注册表
        a.启动注册表编辑器 (Regedt32.exe)。

        b. Locate and then click the following key in the registry:

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. On the编辑menu, clickAdd Value, and then add the following registry value:
        Value name:ClientCertHash
        Data type:String
        Value: {the text copied in step 9} [for example:a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
        d. Exit Registry Editor.
        e. Run IISReset as an administrator to restart IIS.
        f. Activate the UAG Configuration.
问题 8

症状

In some rare cases client computers that have UAG Client Components installed on them receive a "uagqecsvc" event ID 85 log message written to the Windows Event logs every minute when that client is communicating with a UAG Server. Although this a false alarm, this fills up the client event logs making it difficult for administrators or the helpdesk from spotting real events in the client’s Windows Event logs. These messages will always be displayed on the client every minute if that client connects to an IAG server.
Event ID: 85

Source: uagqecsvc

Type: Error

Description: The Microsoft Forefront UAG Quarantine Enforcement Client component cannot initialize the enforcement client callback HRESULT value: 0x8027000E. This issue may occur if security policies do not enable the component.

There may also be another related event in the client event logs.
Event ID: 16

Source: uagqecsvc

Log Name: Application

Description: The Microsoft Forefront UAG Quarantine Enforcement Client component cannot retrieve the status of the Network Access Protection (NAP) Agent service. System error 1115: A system shutdown is in progress. (0x45b). When the Microsoft Forefront UAG Quarantine Enforcement Client component starts, it attempts to query settings of the NAP agent service.

Although this issue is not directly related to UAG or to UAG deployments, it is possible that with some deployments users who have the UAG client components installed on them will access both IAG and UAG servers.

原因

UAG Client Components have a component service "uagqecsvc" with a display name of "Microsoft Forefront UAG Quarantine Enforcement Client" which queries endpoint health status by using NAP and reports the status back to the NAP module on UAG. In some rare cases this issue will be seen in UAG deployments as the service re-tries repeatedly to bind to the UAG server. The bind will run in loop with a minute time-out until it can connect.

Additionally starting with IAG Service Pack 2 Update 3, the UAG Client Components were ported to IAG. Therefore the uagqecsvc service is also installed on client computers that connect to any IAG server that has Service Pack 2 Update 3 client components. Because NAP endpoint detection functionality does not exist in IAG, the client that has the UAG components installed on them will continue to try to connect to the UAG NAP service every minute, in the process generating the previously mentioned log messaged in the Windows Event logs.

解决方法

In the earlier versions of the Client Components the default time-out for retries to communicate with the UAG NAP detection agent was set to a minute, it is been changed in UAG Update 2 to one hour. For administrators who want to modify this value a way to manually define the time-out on the client is provided.

重要此节、 方法,或任务包含告诉您如何修改注册表的步骤。 但是,如果注册表修改不当可能会出现严重问题。 因此,请确保您认真执行这些步骤。 附加的保护备份注册表之前对其进行修改。 然后,您可以在出现问题时还原注册表。 有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
Computer users or administrators can manually define on any client computer the time-out in milliseconds. 若要执行此操作,请按照下列步骤:
  1. Start Registry Editor (Regedt32.exe).
  2. Locate and then click the following key in the registry:
    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
  3. 上将编辑在菜单中,单击添加值然后添加以下注册表值:
    值名称:InitRetryTimeout
    数据类型: REG_DWORD
    基数: 十进制
    值: (时间中毫秒 360000 是默认设置中,但此值必须是
    设置大然后 6000)
  4. 退出注册表编辑器。
  5. 重新启动计算机。
问题 9
症状

您 (UAG 管理员) 可以运行的 Windows 2008 R2 本地化的亚太地区语言版本的服务器上安装的 UAG。 当试图创建一个主干上 UAG 时收到错误消息和中继的创建已停止。

例如,空白窗口、 意外的错误消息或频繁 MMC 尝试 UAG 上创建一个主干时,会发生崩溃。

原因

由于不正确的系统资源的操作的会出现此问题。 操作系统 (朝鲜语/日语/中文) 的某些非西欧语言版本上运行 UAG 时,这些不正确的操作会导致出现故障。

解决方法

负责访问这些系统资源的代码被固定。

问题 10


症状

端点会话清理组件不能启动的终结点重新启动后执行。 此外,浏览器窗口将打开指向客户端组件的文件夹后重新启动。

原因

在重新启动之前, 端点会话清理组件写入运行项下的注册表值。 此注册表值允许 Windows 重新启动后自动启动端点会话清理组件。 但是,此路径的值的注册表项是一个可执行文件的路径包含空格。 因此,出现故障。

解决方法

指向运行的项写入该附件擦拭刷可执行文件的路径值现在写为带引号的字符串,以防止出现任何故障。

问题 11


症状

当您尝试访问的语言设置选项在 Exchange Server 2007 Outlook Web 应用程序 (OWA) 通过 UAG 发布的以下错误消息将被发送到客户端。

您试图访问受限制的 URL。

原因

此问题发生的原因为 Exchange Server 2007 OWA 次外框模板用于在 URL"/owa/languageselection.aspx 没有规则集条目"。 UAG 规则集机制不允许任何不是白色列表中的 URL 来访问。

解决方法

Exchange 2007 OWA 发布以允许访问此 URL 资源的添加新规则。 在这种情况下新的规则"ExchangePub2007_Rule36"允许"/owa/languageselection.aspx"的 url 访问。

问题 12


症状

当一个用户试图访问一个 UAG 网站或试图访问该应用程序中用书签标记的路径,而不是 UAG 登录路径时,用户接收到一个 500 内部服务器错误,无法访问该站点。

请注意UAG 站点使用 ADFS 进行身份验证,并直接请求已发布的应用程序。

原因

当 UAG 被配置为使用 ADFS 进行身份验证时,安全令牌服务 (STS) 和 UAG 内部站点之间会出现几个重定向。 如果不按预期的方式完成该 redirectes,UAG 将返回错误。 当用户试图在直接访问已发布的资源,而不是在门户网站的 re-routing 过程被中断。 因此,发生内部服务器错误。

解决方法

此更新中解决此问题。

问题 13

症状

当管理员正在配置一个 ActiveDirectory 类型的身份验证存储库时,管理员不能设置组嵌套值为"无限"。 UAG 规范组嵌套字段的值可能为空。 However, when the field is blank and the configuration is saved and activated, the value is set back to "0" unexpectedly.

请注意The UAG MMC needs to be closed and re-opened in order to get the value of "0" visible. As UAG specification, "0" means that there is no group nesting. Therefore, group nesting does not work as expected.

原因

This issue occurs because the correct value for the group nesting field cannot be stored in the configuration. Therefore, the correct value cannot be applied to both the GUI and the authentication functions.

解决方法

The value in the configuration is now properly stored and updated when the group nesting value is deleted from the GUI Additionally, the value is properly applied to the authentication functions.

请注意Microsoft recommends setting the value to be the lowest number that is required for the authorization in UAG. You can set the value to higher than 2 levels of nesting due to the potential delay and the required resources. If higher than 2 levels are required for a deployment, you must test the impact of these changes before the system is deployed in production. In extreme cases, these settings can cause both the UAG server and any DCs that are being used for authentication by UAG to crash because of high resource demands.

Issue 14


症状

When you try to close the Network connector (NC) server configuration window after you enable the NC server, you may receive the following error message:

Wrong Network Connector parameters, invalid segment address

原因

The SSL Network Tunneling service can be used only when the physical network adapters have MAC addresses that begin with "00".

解决方法

The SSL Network Tunneling service can be used even though the physical network adapters have MAC addresses that begin with "00".

Issue 15


症状

UAG was released with only partial support for Citrix XenApp 5.

When you want to publish Citrix without errors, they were obligated to follow the steps that are provided in the following Microsoft website:
Introduction to how to publish Citrix XenApp 5.x with UAG 2010

原因

This issue occurs because the support for Citrix is broken.

解决方法

The steps that are provided in the above to properly publish Citrix XenApp 5.0 are now included in this update.

Issue 16


症状

The AV product "Trend Micro OfficeScan Anti-Virus" or "Trend Micro PC-Cillin Anti-Virus" is selected from the GUI. In this case, when you create a policy and then apply the policy to an application, you receive the following error message during the activation:

Source Line could not be located

原因

This issue occurs because the policy syntax validation algorithm misses dependencies that are required by these particular policies.

解决方法

The dependencies that are required by these policies are added to policy syntax validation algorithm after you install this update.

已知的问题

  • After you install this update the SSL Network Tunneling network adapter becomes invisible in the Network Connections window. This behavior is by design. To make sure that the network adapter is installed open Device Manager and select ‘Show Hidden Devices’ entry on the View menu.
  • Sometimes the uninstall update operation may fail with an error message, specifying that the installation file “FirefrontUAG.msi” cannot be found or with the installation error 1269.
    1. Open Start menu and typeShow hidden files and folders.
    2. In the opened window advanced settings clear theHide protected operation system files (Recommended)option and press确定.
    3. Open an elevated Command Prompt window and typeUninstallUagUpdate.
    4. Wait several minutes for the installation database repair if it is required.
      请注意You might receive a message that informs you of the need for a repair.

  • Citrix XenApp support is only for version 5.0. Later versions are not supported.
  • This release only supports the Personal Desktop scenario of VDI. Pooled desktop scenario is currently not supported.
  • Socket Forwarding is available on Window 7 and Vista 64 bit clients for 32 bit applications (WOW64 applications). It is not available for native 64 bit applications.
  • Publishing OWA for Exchange 2010 Service Pack 1 by UAG requires manual modification of an AppWrap and modifications to the RuleSets. An article about the steps that are required to do this is published on the UAG Product team bloghttp://blogs.technet.com/b/edgeaccessblog/. The steps that are described in the article will be integrated into a future update of UAG.
  • Microsoft Customer Support Services (CSS) cannot provide support to customers if they use beta, non-RTM, or non-generally-available (GA) products such as Internet Explorer 9 Beta. Support for IE9 will be included in a future update after IE9 is officially released.

Known issues with Arrays and Network Load Balancing (NLB)

  • When you try to join two servers to the same array at the same time, the array storage may be corrupted. If this happens, restore the settings from backup.
  • 您在删除 IPv6 虚拟 IP 地址 (VIP) Forefront UAG 管理控制台中的时可能不会完全删除该地址。 要变通解决此问题,手动删除从网络适配器在网络和共享中心和 Forefront UAG 管理控制台中的地址。
  • 最前沿 UAG 可能无法检测到它使用集成 NLB 的阵列成员失去网络连接 (如 ISP 系统的故障)。 在这种情况下 Forefront UAG 可能会继续将通信路由到不可用的服务器。 若要不必本期禁用脱机阵列成员的内部和外部适配器。 解决连接问题之后再次启用该适配器。
  • 如果您在组织中部署的 Microsoft 系统中心操作管理器 2007年,您可以监视阵列成员的网络适配器的状态。 若要执行此操作,请按照下列步骤:
    • 请确保在每个阵列成员上安装了 Windows Server 操作系统和 Windows Server 2008 NLB 管理包。
    • 使用操作管理器 2007年检测阵列成员上的已断开的网络适配器。
      请注意操作管理器 2007年报告问题,如下所示:
      • 如果连接到内部网络的适配器有问题操作管理器 2007年报告检测到没有心跳。
      • 如果连接到外部网络适配器有问题操作管理器 2007年报告 Windows NLB 问题。
  • 当没有启用的负载平衡的数组中创建的一个 HTTPS 主干的重定向主干时,必须为每个阵列成员手动分配重定向中继的 IP 地址。 下面的文章中介绍了此任务:
    介绍如何使用 NLB 的阵列上安装更新 1


属性

文章编号: 2288900 - 最后修改: 2010年11月4日 - 修订: 1.0
这篇文章中的信息适用于:
  • Microsoft Forefront Unified Access Gateway 2010
关键字:?
kbexpertiseinter kbinfo kbsurveynew atdownload kbmt KB2288900 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2288900
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com