Описание на актуализация за Unified Access Gateway 2010 2

Необходими условия:

Тази актуализация е кумулативна и могат да бъдат приложени устройства, сървъри или виртуални машини, които се изпълняват следните версии на UAG 2010:

• UAG 2010 (RTM)

• UAG 2010 актуализация 1

• UAG 2010 1 1 Hotfix пакет

За повече информация относно UAG актуализация 1 щракнете върху следния номер на статия в базата знания на Microsoft:

981323 описание на актуализация 1 за Unified Access Gateway 2010За повече информация относно UAG Update Rollup 1 1 пакет с актуални корекции щракнете върху следния номер на статия в базата знания на Microsoft:

981932 описание на пакета с актуални корекции Rollup 1 Unified Access Gateway 2010 актуализация 1

Инсталирането бележки

Ред на инсталиране, когато масив UAG сървър се използва

1. Инсталирайте актуализация 2 за диспечера на масива първо.

2. Рестартиране.

3. Активиране на UAG конфигурация.

4. Изчакайте конфигурация, за да синхронизирате.

5. Инсталирайте актуализация 2 първия член-мениджър масив.

6. Рестартиране.

7. Повторете за всички останали членове на масив.

Забележка: Ако е необходимо, деинсталиране на актуализация 2 се провежда в обратен ред.

Изискване за рестартиране

В не масив сценариине трябва да рестартирате компютъра след прилагане на този пакет за актуализация. Трябва да активирате конфигурацията на UAG след инсталиране на пакета за актуализация. Имайте предвид, че изпълнението на активиране на UAG ще прекрати всички съществуващи SSL приложение тунелиране връзки на UAG сървър.

В масива сценарии се изисква рестартиране. Масив инсталация горните стъпки са необходими за успешното внедряване на актуализацията при използване на масив, неуспех да изпълните тези стъпки могат да причинят повреждане на набор и загуба на конфигурация.

Информация за заместване на актуалната корекция

Тази актуална корекция не замества издадените актуални корекции.

Информация за деинсталиране

За да деинсталирате тази актуализация, използвайте един от следните методи:

• Влезте в системата като администратор и след деинсталиране на актуализация чрез аплет на програми и компоненти в контролния панел.

• От команден ред с повишени потребителски права въведете следната команда и натиснете ENTER:
  

  msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Файлова информация

Англоезичната версия на тази спешна корекция има файлови атрибути (или по-нови файлови атрибути), които са изброени в следващата таблица. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). При преглед на информацията за файла, преобразувана в местно време. За да намерите разликата между UTC и местното време, използвайте раздела часова зона в елемента "дата и час" в контролния панел.

Фиксирана проблеми, които са включени в тази актуализация

Тази актуализация отстранява следните проблеми, които досега не са били документирани в статии на базата знания на Microsoft.

Проблем 1

Симптом

Администраторите изисква гранули достъп на клиентите си Secure Socket тунелен протокол (SSTP) виртуална частна мрежа (VPN). Обаче конфигурирането SSTP на UAG създава достъп правило, което дава VPN клиента достъп до цялата вътрешна мрежа.

Според следния текст от http://technet.microsoft.com/en-us/library/ee522953.aspx той поддържа да използвате конзолата за Threat Management Gateway (TMG) за създаване на правила, които позволяват гранули достъп за SSTP VPN достъп:

"Създаване на правила за достъп с помощта на конзолата за управление на Forefront TMG за ограничаване на потребители, групи и мрежи за гранули достъп при внедряване на Forefront UAG за достъп до VPN отдалечена мрежа."

Обаче когато администраторите създават достъп правилата за ограничаване на достъпа на потребител, тези правила са премахнати или след активирането на UAG се премества в долната част на правилата за достъп. Това означава, че по подразбиране правило висок приоритет и конфигурирани детайлен контрол се губи.

Причина

Този въпрос се дължи на ограничение при проектирането на интеграция между UAG и динамично генерирани правила, които са разположени на TMG UAG активирането.

Решение

Ръчна промяна на TMG правилата за контрол на достъпа на гранули както е описано в TechNet се амортизира (и вече не се поддържа след инсталиране на актуализация 2 UAG) в полза на изрично поддръжка гранули за контрол на достъпа в конзолата за управление на UAG.

UAG администратори да изрично позволява достъп до определена вътрешна мрежа адреси SSTP VPN потребители, които са членове на определени групи на Active Directory. UAG администраторите трябва да използват новия Потребителски групи раздел на диалоговия прозорец на SSL тунел на мрежова конфигурация за дефиниране на гранули IP VPN достъп политика, която се състои от набор от правила за достъп. Всеки член определя набор от вътрешната мрежа IP адреси и IP адреси, които членовете на Active Directory група достъп докато сте свързани към SSTP VPN.

Проблем 2


Симптом

Поддръжката на Microsoft инфраструктура за виртуален работен плот (VDI) в UAG не е изцяло изпълнена.

Причина

Поради подвеждащо ПИ за UAG проблемни конфигурации и невъзможността да поддържат множество разрешение в различни ресурси по време на изпълнение попречи VDI работи правилно.

Решение

Ние сте направили промяна да актуализирате UAG интерфейс и поддържа лична работна станция сценарий на VDI с по-стабилната изпълнение в проекта. Обединени Desktop сценарий на VDI не е реализирана и могат да бъдат прилагани в бъдеща актуализация на UAG.

Проблем 3


Симптом

UAG компонент на клиента за SSL приложение тунелиране (гнездо изпращача) не се поддържа в 64-битова версия на Windows 7 и 64-битова версия на Windows Vista.

Причина

Това е проектиран поведението на компонентите на клиента UAG преди издаването на UAG за актуализация 2.

Решение

Сме направили дизайн промяна се отразява следния сценарий:

Има широк набор от извън уеб приложения, които използват UAG гнездо препращане / прилагане тунелиране като метод за публикуване. Например тези приложения са Citrix XenApps и презентацията Server 4.5 и двамата изпълни като ActiveX приложения в браузъра. Преди тази актуализация поради технически ограничения, ние забрана за разполагане на методите за публикуване на 64-битова версия на клиентски операционни системи. Затова същата публикувано приложение, което използва тези методи могат да бъдат достъпни от 32-битова версия на клиента, работещи systemss вместо от 64-битови операционни системи.

Промяна на този сценарий е да предостави метод на разполагане за клиента на сокет препращане (SF) компоненти на 64-битова версия на клиентски операционни системи Windows да позволи отварянето на тунел приложения. Ограниченията на изпълнението на това решение са следните:

• Поддръжка за сокет изпращача е ограничен до 64-битова версия на Windows Vista и 64-битова версия на Windows 7, други 64-битова версия на операционната система не се поддържат.

• Преден гнездо се поддържа само когато потребителят избере UAG от 32-битова версия на Internet Explorer (работи в WOW64 32 битова емулация).

• Гнездо изпращача само ще взаимодействат с 32-битови приложения (WOW64 приложения) и няма да взаимодействат с основните 64-битовите приложения.

Опции за разполагане на актуализираните компоненти са следните:

• Онлайн: стандартен метод, който извършва разполагане на SF компоненти. В първото извикване на UAG портал приложение, което използва SF като тунелен метод за публикуване компоненти се изтеглят и инсталират.

• Офлайн: администраторите също могат да използват съответното приложение на Windows Installer (MSI) на клиента чрез разпространение на софтуер със скрипт или ръчно инсталиране. След инсталиране на актуализация 2 UAG файловете ще бъдат UAG сървъра в следното местоположение:
  

  % Directory%\von\PortalHomePage\ UAG инсталация

Проблем 4


Симптом

Нямате достъп до Citrix XenApps 5.0, публикуван с UAG от клиентски компютър с 64-битова версия на Windows Vista или Прозорец 7.

Причина

Това е проектиран поведението на компонентите на клиента UAG преди издаването на UAG за актуализация 2.

Решение

Вижте раздела "Решение" на проблема 3 за подробна информация.

Проблем 5


Симптом

При опит за създаване или редактиране на крайни правила, правилата на "McAfee общо защита" се появява два пъти в списъка. Ако изберете втория "McAfee общо защита" правила, получавате съобщение за грешка, подобно на следното:

Причина

Този проблем възниква, защото файла % UAG инсталация directory%\von\Conf\PolicyDefinitions.xml съдържа два записа в същото заглавие и ИД.

Решение

Счетоводство проблемът е решен чрез премахване на втория запис от файла PolicyDefinitions.xml.

Брой 6

Symptom

Когато получите достъп до ресурс, който е публикуван от UAG, клиентите получават съобщение за грешка "Възникна неизвестна грешка при обработка на сертификата" в браузъра. Освен това администраторът на UAG може да видите в UAG сървър грешки регистрационни файлове, които SEC_I_CONTINUE_NEEDED се връща по време на SSL съгласуване стъпка "Ръкостискане Confirm държава." След тази стъпка debug регистрационни файлове ще покаже, че страницата /InternalSite/InternalError.asp се връща на клиента с код на грешка 37. Код на грешка 37 е съобщението за грешка "Възникна неизвестна грешка при обработка на сертификата."

Cause

Механизмът на SSL не неправилно handli няколко сценария когато извършва SSL ръкостискане със сървърни публикувани през UAG сървър. Поток естеството на SSL създава сложен сценарий с възможност за получаване или недостатъчни данни или твърде много информация по време на ръкостискане. В този случай InitializeSecurityконтекст съобщава, че са преминали допълнителни данни, които трябва да бъдат запазени за използване в бъдеще (вероятно след прочетете повече данни в тел).

Resolution

Ръкостискане алгоритъм се разширява да поддържа допълнителни поток случаи и сценарии.


Issue 7

Symptom

Когато получите достъп до публикуваните HTTPS приложение чрез UAG, потребителят получава грешка 37: "Възникна неизвестна грешка при обработка на сертификата." Администратор, който прави регистрационния файл за грешки (което включва проследяване SSLBOX_BASE) докато потребителят има достъп до приложението ще видите следното съобщение за грешка:

Cause

Сървърни приложения сървърът е конфигуриран да поиска клиентски сертификат идентификационни данни по време на SSL съгласуване етап. Преди тази актуализация не е поддържа тези функции. Затова договарянето е неуспешна с грешка.

Resolution

Има две възможни сценарии, където сървърни сървъра пита за идентификационни данни на клиентски сертификат:

• Сървърни приложения сървър изисква сертификат на клиент, за да получите сертификата контекст, но не го изисква. За този случай резервен вариант е приложена позволява UAG да опитате предаване след SEC_INCOMPLETE_CREDENTIALS връща код е получил. Обикновено сървърната не изисква сертификат на клиент и това предаване на данни завърши успешно.

• Сървърни приложения, изисква сертификат за удостоверяване на клиента. Промяна на проекта, който се реализира не позволява на клиента да стигне до клиентски сертификати, но не позволяват един валиден клиентски сертификат на сървърна уеб сървър за всички потребители.
  
  За този случай UAG администраторът трябва да предостави валиден клиентски сертификат и да го инсталирате UAG сървър машина сертификат.

  1. За указания модул UAG SSLBox да изтеглите и да получите правилния сертификат, изпълнете следните стъпки:

     1. Изпълнете командата MMC, за да отворите конзолата за управление.

     2. Щракнете върху файлаи след това щракнете върху Add/Remove Snap-in.

     3. Изберете сертификати от списъка и натиснете Добави.

     4. Изберете акаунт и след това щракнете върху Готово.

     5. Отворете лично хранилище на сертификати.

     6. Изберете сертификат за удостоверяване изисква клиент от списъка и щракнете двукратно върху сертификата. Или с десния бутон върху сертификата и след това щракнете върху Отвори.

     7. Изберете екрана с подробни данни и превъртете надолу.

     8. Изберете свойство на пръстов отпечатък .

     9. Изберете стойността на свойството на панела долу и копирате стойността му като натиснете CTRL + C.

     10. Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:

         322756 създаване на резервно копие и възстановяване на системния регистър в Windowsa. Стартирайте редактора на системния регистър (Regedt32.exe).
         
         б. Намерете и след това щракнете върху следния ключ в системния регистър:
         
         

         HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
         c. в менюто Редактиране щракнете върху Добавяне на стойности след това добавете следната стойност в системния регистър:

         Име на стойност: ClientCertHash
         Тип данни: низ
         Стойност: {текста копирали в стъпка 9} [например: a7 36 4б ca 87 3е 10 ac d5 4б 0f ca 83 9д 9д 74 c8 3e да 8б]
         г. Затворете редактора на системния регистър.
         д. изпълни IISReset като администратор, за да рестартирате IIS.
         f. активирате UAG конфигурация.

Брой 8

Symptom

В някои редки случаи клиентски компютри, които имат UAG клиент компоненти, инсталирани на тях съобщение "uagqecsvc" event ID 85 регистъра се записват в регистрационни файлове за Windows всяка минута, когато клиентът е комуникацията с UAG сървър. Въпреки това фалшиво аларма, това запълни клиента събития, което затруднява администратори или helpdesk от зацапване реални събития в регистрационни файлове на клиента Windows. Тези съобщения ще винаги се показва на клиента всяка минута ако клиентът се свързва с IAG сървър.

Може да има и друго свързано събитие в регистрационни файлове за клиента.

Въпреки че този проблем не е свързан директно UAG или UAG инсталации, е възможно, с някои инсталации потребители, които имат UAG клиент компоненти, инсталирани на тях ще използвате IAG и UAG сървъри.

Cause

UAG клиентски компоненти имат компонент услуги "uagqecsvc" с име за показване на "Microsoft Forefront UAG карантина клиента" кои заявки крайни здравето състояние чрез ДРЯМКА и отчита състояние на ДРЯМКА модул на UAG. В някои редки случаи проблемът ще се разглежда в UAG разполагания услугата повторно многократно се опитва да се свързват с UAG сървър. Името ще работи в контур с малко време за изчакване, докато той може да се свърже.

Освен това започва с IAG Service Pack 2 актуализация 3, UAG клиентски компоненти са преминаване към IAG. Затова услугата uagqecsvc също е инсталирана на клиентски компютри, които се свързват с всеки IAG сървър с клиентски компоненти на Service Pack 2 актуализация 3. Тъй като ДРЯМКА крайни откриване функционалност не съществува в IAG, клиент с UAG компоненти, инсталирани на тях ще продължи да се опитате да се свържете с услугата UAG ДРЯМКА всяка минута, в процеса на генериране на регистрационния файл на гореспоменатите messaged в регистрационни файлове за Windows.

Resolution

В по-ранни версии на клиентски компоненти на изчакване по подразбиране за повторни опити за комуникация с UAG ДРЯМКА откриване агент е създадена за една минута то се променя в UAG актуализация 2 за един час. Предоставя се начин за ръчно определяне на времето за изчакване на клиента за администратори, които искате да промените тази стойност.

Важно: Този раздел, метод или задача съдържат информация за модифициране на системния регистър. Въпреки това при неправилно модифициране на регистъра може да възникнат сериозни проблеми. Поради тази причина, трябва внимателно да изпълните тези стъпки. За допълнителна защита направете резервно копие на регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите системния регистър. За повече информация как да направите резервно копие и как да извършите възстановяване на системния регистър, щракнете върху следния номер на статия, за да видите статията в базата със знания на Microsoft:

322756 създаване на резервно копие и възстановяване на системния регистър в WindowsКомпютърни потребители и администратори да ръчно зададете на всеки клиентски компютър изчакване в милисекунди. За да направите това, изпълнете следните стъпки:

1. Стартирайте редактора на системния регистър (Regedt32.exe).

2. Намерете и след това щракнете върху следния ключ в системния регистър:
   

   HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC

3. В менюто Редактиране щракнете върху Добавяне на стойности след това добавете следната стойност в системния регистър:

   Име на стойност: InitRetryTimeout
   Тип данни: REG_DWORD
   Корен: десетичен
   Стойност: (време в милисекунди 360000 е по подразбиране, но тази стойност трябва да бъде
   Задайте по-големи след 6000)

4. Затворете редактора на системния регистър.

5. Рестартирайте компютъра.

Проблем 9
Симптом

(UAG администратор) имате UAG сървър, който изпълнява локализирана АТР езикова версия на Windows 2008 R2. При опит за създаване на информационния канал на UAG, получавате съобщение за грешка и създаване на информационен канал е спряна.

Празни прозорци, неочаквана грешка, или често MMC сривове се случи при опит за създаване на информационния канал на UAG.

Причина

Този проблем възниква поради неправилна манипулации на системни ресурси. Тези неправилни манипулации доведе до грешка, когато стартирате UAG някои-Западна езикови версии на операционни системи (корейски/японски/китайски).

Решение

Код, който е отговорен за достъп до тези системни ресурси е решен.

Брой 10


Симптом

Крайна точка сесия почистване компонент не започва да се изпълни след рестартиране на крайна точка. Освен това explorer отваря прозорец, който сочи към клиента компоненти папка след рестартиране.

Причина

Преди рестартиране крайни сесия почистване компонент пише стойност в системния регистър под бутона "Run". Тази стойност на системния регистър позволява Windows да стартира крайни сесия почистване компонент автоматично след рестартиране. Но този път стойност на ключ от системния регистър е път изпълнимия файл, който съдържа интервали. Затова неизправност.

Решение

Път стойността, която сочи към прикачения файл почистване изпълним файл, който е записан под бутона "Run" сега се записва като низ в кавички за предотвратяване на всякакви повреди.

Проблем 11


Симптом

При опит за зареждане на езиковата настройка опции в Exchange Server 2007 Outlook уеб приложение (OWA), които са публикувани през UAG, следното съобщение за грешка се изпраща на клиента.

Причина

Този проблем възниква, защото извън полето шаблон за Exchange Server 2007 OWA няма запис в набора от правила за URL"/owa/languageselection.aspx". Механизъм за UAG набор от правила не позволява достъпа до всеки URL адрес, който не е в бял списък.

Решение

Новото правило се добавя за Exchange 2007 OWA публикуване да разреши достъп до този ресурс URL. В този случай новото правило "ExchangePub2007_Rule36" позволява достъп до URL адреса "/owa/languageselection.aspx".

Брой 12


Симптом

Когато потребител се опита за достъп до сайта UAG или опита за достъп до отметки път в рамките на приложението, а не UAG вход път, потребителят получава 500 вътрешна грешка в сървъра и е в състояние да влезете в сайта.

Забележка: UAG сайтът използва ADFS за удостоверяване и директно поиска публикувано приложение.

Причина

Когато UAG е конфигуриран да използва ADFS за удостоверяване, няколко пренасочвания възникнат между защита маркер услуга (STS) и UAG вътрешен сайт. Ако redirectes не се извършва по очаквания начин, UAG връща грешка. Когато потребител се опита да осъществяват достъп до публикуваните ресурс вместо портален сайт, премаршрутиране процесът е прекъсната. Затова Вътрешна сървърна грешка.

Решение

Този проблем е решен в тази актуализация.

Брой 13

Симптом

Когато администраторът е ActiveDirectory тип удостоверяване на хранилище, администраторът не може да зададе група вложени стойността на "неограничен". По спецификация на UAG стойността на полето вложени група може да бъде празен. Обаче когато полето е празно и конфигурация се записва и активиран, стойността е зададена обратно на "0" неочаквано.

Забележка: MMC UAG трябва да се затвори и отново да се виждат стойността на "0". Като UAG спецификацията "0" означава, че няма гнездо не група. Затова група гнездо не работи според очакванията.

Причина

Този проблем възниква, защото правилната стойност за група вложени поле не може да се съхранява в конфигурацията. Затова правилната стойност не може да се приложи към GUI и функциите на удостоверяване.

Решение

Стойността на конфигурацията се съхранява и актуализира, когато групата вложени стойността се изтрива от GUI освен правилно, стойността е правилно удостоверяване функции.

Забележка: Microsoft препоръчва Задаване на стойност да бъде ниска номера, който е необходим за разрешаване на UAG. Можете да зададете стойността на по-висока от 2 нива на гнездо потенциални закъснение и необходимите ресурси. Ако по-висока от 2 нива са необходими за разполагане, трябва да тествате влиянието на тези промени, преди системата е разположена в производството. В изключителни случаи тези настройки могат да причинят UAG сървъра и всички домейнови контролери, които се използват за удостоверяване от UAG да се срине заради висока ресурс изисквания.

Въпрос 14


Симптом

Когато се опитате да затворите прозореца мрежов конектор (NC) сървър конфигурация, след като разрешите NC сървъра, можете да получите следното съобщение за грешка:

Причина

SSL тунел мрежова услуга може да се използва само когато физически мрежови адаптери имат MAC адреси, които започват с "00".

Решение

SSL тунел мрежова услуга може да се използва, въпреки че физически мрежови адаптери имат MAC адреси, които започват с "00".

Въпрос 15


Симптом

UAG е издаден само частично подкрепа на Citrix XenApp 5.

Когато искате да публикувате Citrix без грешки, те са задължени да следвате стъпките, които са дадени в следния уебсайт на Microsoft:

Въведение в как да публикувате Citrix XenApp 5.x с UAG 2010
Причина

Този проблем възниква, защото поддръжката на Citrix е прекъсната.

Решение

Стъпките, които са предоставени в по-горе се публикуват правилно Citrix XenApp 5.0 сега са включени в тази актуализация.

Проблем 16


Симптом

AV продукт "Trend Micro OfficeScan Anti-Virus" или "Trend Micro PC-Cillin Anti-Virus" е избрана от GUI. В този случай при създаване на правила и след това приложете правилата приложение, получавате следното съобщение за грешка при активиране:

Причина

Този проблем възниква, защото алгоритъм за проверка на правила синтаксис пропуска зависимости, които се изискват от тези конкретни политики.

Решение

Зависимости, които се изискват от тези правила се добавят към правила синтаксис алгоритъм за проверка, след като инсталирате тази актуализация.

Известни проблеми с масиви и балансиране на мрежата натоварване (NLB)

• При опит да се присъедини към два сървъра на една и съща масив едновременно, масив диск може да е повреден. Ако това се случи, възстанови настройките от резервно копие.

• Когато изтриете IPv6 виртуален IP адрес (VIP) в конзолата за управление на Forefront UAG, адрес може да не бъде премахната изцяло. За да заобиколите този проблем, ръчно да изтриете адрес от мрежовата карта в мрежа и споделяне център и в конзолата за управление на Forefront UAG.

• Forefront UAG не може да открие, че член масив, който използва интегрирана NLB губи мрежова връзка (например интернет доставчик-повреда в системата). В този случай Forefront UAG могат да продължат да насочват трафик към недостъпен сървър. За да избегнете този проблем, забранете вътрешни и външни адаптери офлайн масив членове. Разрешете карти отново след проблеми са решени.

• Ако имате Microsoft System Center Operations Manager 2007 разположени във вашата организация, можете да следите състоянието на масива член мрежови карти. За да направите това, изпълнете следните стъпки:
  

  • Уверете се, че операционната система Windows Server и Windows Server 2008 NLB пакети за управление са инсталирани на всеки член на масива.

  • Използвайте Operations Manager 2007 за откриване на изключен мрежови карти на членовете на масива.
    Забележка: Operations Manager 2007 отчита следните проблеми:
    

    • Ако има проблем с адаптер, който е свързан с вътрешната мрежа, Operations Manager 2007 съобщава, че пулсираща не е открит.

    • Ако има проблем с адаптер, който е свързан към външен мрежа, Operations Manager 2007 отчита Windows NLB проблем.

• Когато създавате пренасочване информационен канал за HTTPS trunk масив, който не е разрешен балансиране на натоварването, трябва ръчно да присвоите IP адреса на информационния канал пренасочване за всеки масив. Тази задача е описан в следната статия:
  

  Въведение за това как да инсталирате актуализация 1 на масив посредством NLB