Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Problembeschreibung

Betrachten Sie das folgende Szenario:

  • Verwenden Sie einen Client, der nicht Web Proxy-Client wie einen Firewallclient oder eines SecureNAT-Clients im Unternehmensnetzwerk an.

  • Der Client versucht, an eine HTTPS-Website über einen Server mit Microsoft Forefront Threat Management Gateway (TMG) 2010 anschließen. Beispielsweise versucht der Client, Verbindung mit https://contoso.com.

  • HTTPS-Überprüfung ist auf dem Server aktiviert, die TMG 2010 ausgeführt wird.

  • Die HTTPS-Website verwendet einen speziellen DNS Domain Name System-basierten Lastenausgleich Algorithmus in dem zuständige DNS-Server eine IP-Adresse abwechselnde zurückgibt, die einen niedrigen Wert für "Gültigkeitsdauer hat". In diesem Fall führen nachfolgende Abfragen für die Website (contoso.com) unterschiedliche IP-Adressen.


In diesem Szenario kann der Client die Website durchsuchen möglich. Darüber hinaus kann die folgenden im Anwendungsprotokoll auf dem Server protokolliert, die TMG 2010 ausgeführt wird:

Status 12227 der Namen auf das SSL-Zertifikat vom Zielserver entspricht nicht den Namen des Hosts angefordert.

Ursache

Dieses Problem tritt aufgrund der speziellen DNS-basierte Lastenausgleichsalgorithmus.

Wenn ein Nonweb-Proxy-Client eine Website wie https://contoso.com geöffnet wird, der Client löst den Namen selbst und versucht, Secure Sockets Layer (SSL) Verbindung zu der IP-Zieladresse wie z. B. IP-1.

Wenn HTTPS-Überprüfung aktiviert ist, wird eine Verbindung für den Client TMG 2010 und versucht, das Zertifikat zu überprüfen, bevor die Verbindung aktiviert ist. Viele Kontrollen (z. B. Gültigkeitsdauer und Sperrung erfolgen) stellt sicher, dass die richtige Website verbunden ist.

Die Überprüfung erfolgt folgendermaßen:

  1. TMG 2010 liest in diesem Fall Bereich Antragstellernamen und Alternativen Antragstellernamen abgerufenen Zertifikat z. B. Contoso.com.

  2. TMG 2010 versucht, das Zertifikat mit DNS auflösen.

  3. TMG 2010 überprüft, ob das Ergebnis der IP-Zieladresse übereinstimmt, die der Client verwendet, wenn die Verbindung hergestellt wurde.


Wie Lastenausgleich wird eliminiert die Website Auflösung TMG 2010 eine andere IP-Adresse, IP-2ergibt. Da zwei IP-Adressen nicht derselben (IP-1 gegenüber IP-2) sind, wird TMG 2010 daher die Verbindung verweigert.

Problemlösung

Um dieses Problem zu beheben, installieren Sie das Hotfix-Paket beschrieben wird im folgenden Artikel der Microsoft Knowledge Base:

2735208 Updaterollup 3 für Forefront Threat Management Gateway (TMG) 2010 Servicepack 2Hinweis Nachdem Sie dieses Update installieren, können Sie einen Ausschluss Domänennamensatz für IP-HTTPS-Überprüfung Bestätigung konfigurieren. Diese sind Domänennamen für die Validierung Adressteil HTTPS-Inspektion unterdrückt wird. Andere Validierungsschritte werden jedoch weiterhin ausgeführt.

Das folgende Skript konfiguriert den Ausschluss Domänennamensatz, die am Anfang des Skripts lautet. Das Skript erstellt auch Domänennamensatz ausschließen, wenn es nicht bereits vorhanden ist. Mithilfe der regulären TMG wie die Verwaltungskonsole scripting und kann der Administrator DomainNameSet Variable entsprechend auffüllen.


' The domain name set for the exclusion listconst strDomainNameSetName = _
    "HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"


Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002

Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
                    objArray.RuleElements.DomainNameSets, _
                    strDomainNameSetName, _
                    strDomainNameSetDescription _
                    )
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save

function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
    On Error Resume Next
    Set objDNSet = objDNSets.Item(strDNSetName)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set objDNSet = objDNSets.Add(strDNSetName)
        objDNSet.Description = strDNSetDescription
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
    End If

    Set OpenDNSet = objDNSet
end function

function OpenVPSet(objParent, strVpsGUID)
    Set objVPSets = objParent.VendorParametersSets
    On Error Resume Next
    Set OpenVPSet = objVPSets.Item(strVpsGUID)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set OpenVPSet = objVPSets.Add(strVpsGUID)
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
     End If
end function


PROBLEMUMGEHUNG

Um dieses Problem zu umgehen, konfigurieren Sie den Client als Web Proxy-Client fungieren. In Fall diesem Auflösung nur auf dem Server TMG. HTTPS-Überprüfung schließen Sie der betroffenen Clients aus, oder schließen Sie problematische Zielwebsite aus, wie auf der folgenden Microsoft TechNet-Website:

Quellen und Ziele Ausschließen von HTTPS-Überprüfung

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Referenzen

Um weitere Informationen zur Terminologie für Softwareupdates zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:

824684 Erläuterung von der standardmäßigen Standardbegriffen bei Microsoft Softwareupdates

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×