Симптоми
Да разгледаме следния сценарий:
-
Използвате клиент, който не е уеб прокси клиент като клиент на защитна стена или SecureNAT в корпоративна мрежа.
-
Клиентът се опитва да се свърже с HTTPS уеб сайт чрез сървър, който изпълнява Microsoft Forefront Threat Management Gateway (TMG) 2010. Например клиентът се опитва да се свърже с https://contoso.com.
-
HTTPS проверка е разрешена на сървъра, който изпълнява TMG 2010.
-
HTTPS сайт използва специални базирани на домейновата именна система DNS натоварването алгоритъм в която отговаря DNS сървърът връща различни IP адрес, който има ниска стойност, "Време на живот". В този случай последователни заявки за уеб сайт (contoso.com) доведе до различни IP адреси.
В този случай Клиентът може да не можете да посетите уеб сайта на. Освен това следва да се запишат в регистрационния файл на сървъра, който изпълнява TMG 2010:
Статус 12227 името на SSL сертификат на сървър, предоставен от целевия сървър не отговаря на името на хоста изисква.
Причина
Този проблем възниква поради специални DNS базирани натоварването алгоритъм.
Когато nonweb прокси клиент отваря уеб сайт, като например https://contoso.com, клиентът отстранява самото име и се опитва да установи връзка към IP адреса на местоназначението, като например IP-1слой със защитени сокети (SSL).
Когато е разрешена проверката на HTTPS TMG 2010 осъществява връзка от страна на клиента и се опитва да провери сертификата на сървъра, преди връзката клиент е разрешена. Един от много проверки, които се изпълняват (за пример, валидност и отмяна) проверява правилното уебсайт е е свързан.
Проверката се извършва, както следва:
-
TMG 2010 се чете в този случай полетата Темата и Алтернативното име на темата на извлечените сертификата, например Contoso.com.
-
TMG 2010 се опитва да разреши сертификата с помощта на DNS.
-
TMG 2010 проверява дали резултатът отговаря на IP адреса на местоназначението, която клиентът използва, когато връзката е установена.
Тъй като как натоварването е разрешен за сайта, имена в TMG 2010 дава различен IP адрес, IP-2. Следователно тъй като два IP адреси не са същите (IP-1 срещу IP-2), TMG 2010 отказва връзката.
Решение
За да разрешите този проблем, инсталирайте пакета с актуални корекции, който е описан в следната статия от базата знания на Microsoft:
2735208 Сборен пакет за актуализация 3 за Forefront Threat Management Gateway (TMG) 2010 Service Pack 2Забележка: След като инсталирате тази корекция, можете да конфигурирате изключване домейн Задайте име за проверка на HTTPS проверка IP адрес. Това са имена на домейни, за които се потиска адрес проверка част от проверка на HTTPS. Обаче все още се изпълняват други стъпки за проверка.
Следния скрипт конфигурира изключване домейн име да е тази, която е посочена в началото на скрипта. Сценарият създава домейн име зададете изключването ако той вече не съществува. С помощта на редовни инструменти за управление на TMG като административната конзола и скриптове, администраторът може да попълване DomainNameSet променлива според.
' The domain name set for the exclusion listconst strDomainNameSetName = _
"HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"
Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002
Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
objArray.RuleElements.DomainNameSets, _
strDomainNameSetName, _
strDomainNameSetDescription _
)
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save
function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
On Error Resume Next
Set objDNSet = objDNSets.Item(strDNSetName)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext
On Error GoTo 0
if errNumber = Error_FileNotFound Then
Set objDNSet = objDNSets.Add(strDNSetName)
objDNSet.Description = strDNSetDescription
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If
Set OpenDNSet = objDNSet
end function
function OpenVPSet(objParent, strVpsGUID)
Set objVPSets = objParent.VendorParametersSets
On Error Resume Next
Set OpenVPSet = objVPSets.Item(strVpsGUID)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext
On Error GoTo 0
if errNumber = Error_FileNotFound Then
Set OpenVPSet = objVPSets.Add(strVpsGUID)
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If
end function
Заобикаляне на проблема
За да заобиколите този проблем, конфигурирайте клиентът да действа като уеб прокси клиент. В този случай имена възниква само на сървъра на TMG. Изключете засегнатия клиент от HTTPS проверка или изключват проблемните местоназначението сайт, както е описано в следния уеб сайт на Microsoft:
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Препратки
За повече информация относно терминологията за актуализация на софтуера щракнете върху следния номер на статия, за да я видите в базата данни на Microsoft:
824684 описание на стандартната терминология, използвана за описание на софтуерните актуализации на Microsoft
