Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
-
Sie konfigurieren einen IPSec-VPN-Standort-zu-Standort-Tunnel (Internet Protocol Security) oder eine PPTP-VPN-Standort-zu-Standort-VPN-Verbindung zwischen einer Microsoft Forefront Threat Management Gateway (TMG) 2010-Arraybereitstellung mit mehreren Mitgliedern und einer anderen Website. Und Sie können erfolgreich auf Ressourcen über den Tunnel zugreifen.
-
Sie aktivieren den integrierten Netzwerklastenausgleich (Network Load Balancing, NLB) im TMG 2010-Array.
-
Sie versuchen, auf Ressourcen auf einer anderen Website zuzugreifen.
In diesem Szenario funktioniert der IPSec-Tunnel nicht, und Sie können nicht auf die Ressourcen auf beiden Seiten des Tunnels zugreifen.Hinweis Der Umfang dieses Problems ist tatsächlich größer als IPSec-Standort-zu-Standort-VPN. Das hier beschriebene Problem kann in allen arraybasierten TMG 2010-Bereitstellungen auftreten, für die integrierter NLB aktiviert ist, wenn NLB-WMI-Ereignisse wie Knoten Konvergenz ausgelöst werden. Ein Standort-zu-Standort-VPN, auf dem NLB aktiviert ist, ist das am besten sichtbare Beispiel.
Ursache
Dieses Problem tritt auf, weil TMG 2010 falsche DACLs (Discretionary Access Control Lists) für die com-Dienste definiert, die von TMG 2010 verfügbar gemacht werden. Diese DACLs verhindern, dass NLB-WMI-Ereignisbenachrichtigungen von TMG-Diensten akzeptiert werden. Daher wird der interne NLB-Status von TMG nicht aktualisiert, und unter Komponenten, die vom NLB-Zustand abhängen, wie etwa IPSec-Filterdefinitionen, werden nicht ordnungsgemäß initialisiert.
Fehlerbehebung
Service Pack-Informationen
Dieses Problem wurde in Forefront TMG 2010 Service Pack 1 behoben.Weitere Informationen dazu, wie Sie Forefront TMG 2010 Service Pack 1 erhalten, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
981324 Liste der Probleme, die in Forefront Threat Management Gateway 2010 Service Pack 1 behoben wurden
Informationen zum Update
Gehen Sie wie folgt vor, um das Problem zu beheben:
-
Anwenden des Updates für Forefront TMG 2010, das im Microsoft Download Center zur Verfügung steht: laden Sie jetzt das Update für das Forefront TMG 2010 (KB 980674)-Paket herunter. Wenn Sie weitere Informationen zum Herunterladen von Microsoft-Supportdateien erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
119591 So erhalten Sie Microsoft Support-Dateien im InternetMicrosoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.
-
Starten Sie den Computer neu, auf dem Forefront TMG 2010 ausgeführt wird.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.Dieses Problem wurde zuerst in Forefront TMG 2010 Service Pack 1 behoben.