Достъп не може да SNI SSL сайтове през Threat Management портал 2010, ако е разрешено HTTPS проверка

Симптоми

Да разгледаме следния сценарий:

  • Опит за достъп до уеб сайт на слой със защитени сокети (SSL) чрез Microsoft Forefront Threat Management портал 2010.

  • Сайтът използва сървър име индикация (SNI) да определите кой сертификат да служи.

  • Threat Management Gateway HTTPS проверка е разрешена.

  • Threat Management Gateway сървъра използва уеб верижно да изпрати изходящи заявки за уеб прокси сървър.

  • HTTPSiDontUseOldClientProtocols доставчик зададен е разрешена (на KB 2545464).

В този случай нямате достъп до сайта.

Причина

Този проблем възниква, защото Threat Management Gateway изгражда неправилно SNI заглавка, която причинява уеб сървър грешки или грешки при свързване.

Решение

За да разрешите този проблем, трябва да приложите тази актуална корекция на всички Threat Management Gateway масив членове. Тази актуална корекция не е активирана по подразбиране. След като инсталирате тази актуална корекция, трябва да следвате тези стъпки, за да активирате корекцията:

  1. Копирайте следния скрипт в текстов редактор, например Notepad и след това го запишете като UseOriginalHostNameInSslContex.vbs:

    '' Copyright (c) Microsoft Corporation. All rights reserved.
    ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
    ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
    ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
    ' HEREBY PERMITTED.
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
    Const SE_VPS_VALUE = TRUE
    Sub SetValue()
    ' Create the root object.
    Dim root
    ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")
    'Declare the other objects that are needed.
    Dim array ' An FPCArray object
    Dim VendorSets
    ' An FPCVendorParametersSets collection
    Dim VendorSet
    ' An FPCVendorParametersSet object
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets
    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    If Err.Number <> 0 Then
    Err.Clear ' Add the item.
    Set VendorSet = VendorSets.Add( SE_VPS_GUID )
    CheckError
    WScript.Echo "New VendorSet added... " & VendorSet.Name
    Else
    WScript.Echo "Existing VendorSet found... value: " & VendorSet.Value(SE_VPS_NAME)
    End If
    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    Err.Clear
    VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    If Err.Number <> 0 Then
    CheckError
    Else
    VendorSets.Save false, true
    CheckError
    If Err.Number = 0 Then
    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
    End If
    End If
    Else
    WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If
    End Sub
    Sub CheckError()
    If Err.Number <> 0 Then
    WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
    Err.Clear
    End If
    End Sub
    SetValue
  2. Копирайте файла със скрипта Threat Management Gateway масив член и след това щракнете двукратно върху файла, за да стартирате скрипта.

За да се върне към поведението по подразбиране, изпълнете следните стъпки:

  1. Намерете следния ред на скрипта:

    Const SE_VPS_VALUE = true
  2. Промяна на линия на следното:

    Const SE_VPS_VALUE = false
  3. Изпълнете отново скрипта на един от членовете на Threat Management Gateway масив.

Информация за актуалната корекция

Поддържана актуална корекция е налична от поддръжката на Microsoft. Тази актуална корекция обаче е предназначена да коригира само проблема, описан в тази статия. Прилагайте тази корекция само към системи, изпитващи конкретния проблем, описан в тази статия. Може да се проведат допълнителни тестове на тази актуална корекция. Следователно ако не сте силно засегнати от този проблем, препоръчваме да изчакате следващата актуализация на софтуера, който ще съдържа тази корекция.

Ако актуалната корекция е налична за изтегляне, има секция "Налично изтегляне предлага" в горната част на тази статия от базата знания. Ако тази секция не се появява, свържете се с Microsoft за обслужване на клиенти и поддръжка, за да получите актуалната корекция.

Забележка: Ако възникнат допълнителни проблеми или проблеми, трябва да създадете отделна заявка за поддръжка. Обичайните такси за поддръжката ще важат за допълнителни въпроси и проблеми, които не спадат към конкретната актуална корекция. За пълен списък на телефонните номера на Microsoft за обслужване на клиенти и поддръжка или да създадете отделна заявка за поддръжка посетете следния уеб сайт на Microsoft:

http://support.microsoft.com/contactus/?ws=supportЗабележка: Формулярът "Налична актуална корекция изтегляне" показва езиците, за които е налична актуалната корекция. Ако не виждате вашия език, това е защото актуалната корекция не е налична за този език.

Необходими условия:

Трябва да имате Service Pack 2 за Microsoft Forefront Threat Management портал 2010, за да приложите тази актуална корекция.

Информация за рестартиране

Може да се наложи да рестартирате компютъра след прилагане на този пакет с актуални корекции.

Информация за заместване на

Този пакет с актуални корекции не замества издадените актуални пакет.

Англоезичната версия на тази спешна корекция има файлови атрибути (или по-нови файлови атрибути), които са изброени в следващата таблица. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). При преглед на информацията за файла, преобразувана в местно време. За да намерите разликата между UTC и местното време, използвайте раздела часова зона в елемента " Дата и час " в контролния панел.

Име на файл

Версия на файла

Размер на файла

Дата

Време

Платформа

Authdflt.dll

7.0.9193.650

252,768

22-Apr-15

9:46

x64

Comphp.dll

7.0.9193.650

257,912

22-Apr-15

9:46

x64

Complp.dll

7.0.9193.650

108,032

22-Apr-15

9:46

x64

Cookieauthfilter.dll

7.0.9193.650

682,760

22-Apr-15

9:46

x64

Dailysum.exe

7.0.9193.650

186,288

22-Apr-15

9:46

x64

Diffserv.dll

7.0.9193.650

162,616

22-Apr-15

9:46

x64

Diffservadmin.dll

7.0.9193.650

310,400

22-Apr-15

9:46

x64

Empfilter.dll

7.0.9193.650

711,088

22-Apr-15

9:46

x64

Empscan.dll

7.0.9193.650

267,664

22-Apr-15

9:46

x64

Gwpafltr.dll

7.0.9193.650

191,456

22-Apr-15

9:46

x64

Httpadmin.dll

7.0.9193.650

242,944

22-Apr-15

9:46

x64

Httpfilter.dll

7.0.9193.650

251,208

22-Apr-15

9:46

x64

Isarepgen.exe

7.0.9193.650

79,704

22-Apr-15

9:46

x64

Ldapfilter.dll

7.0.9193.650

189,896

22-Apr-15

9:46

x64

Linktranslation.dll

7.0.9193.650

418,592

22-Apr-15

9:46

x64

Managedapi.dll

7.0.9193.650

80,752

22-Apr-15

9:46

x64

Microsoft.isa.reportingservices.dll

7.0.9193.650

876,328

22-Apr-15

9:46

x64

Microsoft.isa.rpc.managedrpcserver.dll

7.0.9193.650

172,440

22-Apr-15

9:46

x64

Microsoft.isa.rpc.rwsapi.dll

7.0.9193.650

136,920

22-Apr-15

9:46

x64

Mpclient.dll

7.0.9193.650

128,632

22-Apr-15

9:46

x64

Msfpc.dll

7.0.9193.650

1,079,304

22-Apr-15

9:46

x64

Msfpccom.dll

7.0.9193.650

13,446,024

22-Apr-15

9:46

x64

Msfpcmix.dll

7.0.9193.650

569,448

22-Apr-15

9:46

x64

Msfpcsec.dll

7.0.9193.650

386,656

22-Apr-15

9:46

x64

Msfpcsnp.dll

7.0.9193.650

17,112,848

22-Apr-15

9:46

x64

Mspadmin.exe

7.0.9193.650

1,121,552

22-Apr-15

9:46

x64

Mspapi.dll

7.0.9193.650

130,680

22-Apr-15

9:46

x64

Msphlpr.dll

7.0.9193.650

1,279,136

22-Apr-15

9:46

x64

Mspmon.dll

7.0.9193.650

150,232

22-Apr-15

9:46

x64

Mspsec.dll

7.0.9193.650

84,872

22-Apr-15

9:46

x64

Pcsqmconfig.com.xml

Неприложимо

137,103

13-Feb-12

20:24

Неприложимо

Preapi.dll

7.0.9193.650

21,536

22-Apr-15

9:46

x64

Radiusauth.dll

7.0.9193.650

138,408

22-Apr-15

9:46

x64

Ratlib.dll

7.0.9193.650

148,184

22-Apr-15

9:46

x64

Reportadapter.dll

7.0.9193.650

723,888

22-Apr-15

9:46

x86

Reportdatacollector.dll

7.0.9193.650

1,127,648

22-Apr-15

9:46

x86

Softblockfltr.dll

7.0.9193.650

143,552

22-Apr-15

9:46

x64

Updateagent.exe

7.0.9193.650

211,520

22-Apr-15

9:46

x64

W3filter.dll

7.0.9193.650

1,409,416

22-Apr-15

9:46

x64

W3papi.dll

7.0.9193.650

21,024

22-Apr-15

9:46

x64

W3pinet.dll

7.0.9193.650

35,432

22-Apr-15

9:46

x64

W3prefch.exe

7.0.9193.650

341,312

22-Apr-15

9:46

x64

Webobjectsfltr.dll

7.0.9193.650

170,320

22-Apr-15

9:46

x64

Weng.sys

7.0.9193.572

845,440

12-Dec-12

21:31

x64

Wengnotify.dll

7.0.9193.572

154,280

12-Dec-12

21:31

x64

Wploadbalancer.dll

7.0.9193.650

203,840

22-Apr-15

9:46

x64

Wspapi.dll

7.0.9193.650

49,840

22-Apr-15

9:46

x64

Wspperf.dll

7.0.9193.650

131,192

22-Apr-15

9:46

x64

Wspsrv.exe

7.0.9193.650

2,464,136

22-Apr-15

9:46

x64



Допълнителна информация

SNI е се осъществява достъп до SSL Transport Layer Security (TLS) функция, която позволява на клиента да изпрати заглавка на SSL клиент "Здравейте" съобщение, което показва напълно квалифицирани име на домейна (FQDN). Това действие позволява на сървър, за да определите кой сертификат за изпращане на клиента въз основа на заглавката на SNI.

Когато Threat Management Gateway проверка на SSL е разрешен, Threat Management Gateway обработва SSL договарянето да целева уеб сървър и се отбелязва като клиента от уеб сървър SSL предаване.

Threat Management Gateway изгражда заглавката на SNI неправилно с помощта на името на сървър в права посока и не цел името на уеб сървъра, ако са налице следните условия:

  • Threat Management Gateway е веригата прокси сървър.

  • Threat Management Gateway вериги изходящи заявки към сървър в права посока Threat Management Gateway.

  • HTTPSiDontUseOldClientProtocols доставчик зададен е разрешена на KB 2545464.

Това може да предизвика свързване грешки или грешки в уеб сървъра, в зависимост от това как реагира на заглавката на неправилно SNI на уеб сървъра.

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×