Příznaky
Jde o takovouto situaci:
-
V podnikové síti používáte klienta, který není klienta webového serveru proxy například klienta brány firewall nebo klient SecureNAT.
-
Klient se pokusí připojit na web HTTPS pomocí serveru se systémem Microsoft Forefront Threat Management brány (TMG) 2010. Klient se pokusí připojit k https://contoso.com.
-
Kontrolu HTTPS je povolena na serveru se systémem TMG 2010.
-
Web HTTPS používá speciální Domain Name System DNS-based služby Vyrovnávání zatížení algoritmu ve kterém příslušný server DNS vrátí střídání IP adresu, která má nízkou hodnotu "Time to Live". V tomto případě následných dotazů pro web (contoso.com) za následek různé adresy IP.
V tomto případě může být klient nelze procházet web. Následující může být zaznamenána v protokolu aplikace na serveru se systémem TMG 2010:
Stav 12227 název na certifikátu serveru SSL poskytnutých cílového serveru neodpovídá názvu hostitele požadované.
Příčina
K tomuto problému dochází z důvodu zvláštních názvů DNS služby Vyrovnávání zatížení algoritmu.Po otevření webu například https://contoso.com klienta proxy nonweb klienta řeší samotný název a pokusí navázat připojení protokol SSL (Secure Sockets Layer) (SSL) cílovou adresu IP, jako je například IP 1.Pokud je povolena kontrola HTTPS, TMG 2010 naváže připojení jménem klienta a se pokusí ověřit certifikát serveru, než je povoleno připojení klienta. Jeden z mnoha kontrol provedených (pro příklad, platnosti a odvolání) ověří, zda je napojení na správný web.Ověření se provádí následujícím způsobem:
-
TMG 2010 v tomto případě načte Název předmětu a Alternativní název předmětu pole načtená certifikátu, například Contoso.com.
-
TMG 2010 se snaží vyřešit certifikátu pomocí služby DNS.
-
TMG 2010 zkontroluje, zda výsledek odpovídá cílové adrese IP klienta při připojení bylo navázáno.
Z důvodu způsobu Vyrovnávání zatížení je vyřešen pro web, překlad v TMG 2010 dává jinou adresu IP, IP-2. Vzhledem k tomu, že dvě adresy IP nejsou stejné (IP 1 versus IP-2), TMG 2010 proto odmítá připojení.
Řešení
Chcete-li vyřešit tento problém, nainstalujte balíček opravy hotfix, která je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
2735208 aktualizace 3 pro Forefront Threat Management Gateway (TMG) 2010 Service Pack 2Poznámka: Po instalaci této opravy můžete nakonfigurovat vyloučení nastavit název domény pro ověřování HTTPS kontroly IP adresy. Jedná se o názvy domén, pro které je potlačena část ověření adresy HTTPS inspekce. Další kroky pro ověření jsou však stále provádí.Následující skript konfiguruje vyloučení nastavit název domény bude ten, který se nazývá na začátku skriptu. Pokud již neexistuje, vytvoří skript také vyloučení nastavit název domény. Pomocí běžných nástrojů správy TMG například konzoly pro správu a skriptování, můžete naplnit správce DomainNameSet proměnné podle potřeby.
' The domain name set for the exclusion listconst strDomainNameSetName = _ "HTTPS-inspection IP address validation exception"const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"Const Error_FileNotFound = &H80070002Set objArray = CreateObject("FPC.Root").GetContainingArray()Set objDNSet = OpenDNSet( _ objArray.RuleElements.DomainNameSets, _ strDomainNameSetName, _ strDomainNameSetDescription _ )Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentNameobjArray.Savefunction OpenDNSet(objDNSets, strDNSetName, strDNSetDescription) On Error Resume Next Set objDNSet = objDNSets.Item(strDNSetName) ' Save the Err properties in case it needs to be re-raised errNumber = Err.Number errSource = Err.Source errDescription = Err.Description errHelpFile = Err.HelpFile errHelpContext = Err.HelpContext On Error GoTo 0 if errNumber = Error_FileNotFound Then Set objDNSet = objDNSets.Add(strDNSetName) objDNSet.Description = strDNSetDescription Elseif errNumber < 0 Then ' An error other than "file not found" occured -- re-raise the error, ' this time not under "On Error Resume Next" Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext End If Set OpenDNSet = objDNSetend functionfunction OpenVPSet(objParent, strVpsGUID) Set objVPSets = objParent.VendorParametersSets On Error Resume Next Set OpenVPSet = objVPSets.Item(strVpsGUID) ' Save the Err properties in case it needs to be re-raised errNumber = Err.Number errSource = Err.Source errDescription = Err.Description errHelpFile = Err.HelpFile errHelpContext = Err.HelpContext On Error GoTo 0 if errNumber = Error_FileNotFound Then Set OpenVPSet = objVPSets.Add(strVpsGUID) Elseif errNumber < 0 Then ' An error other than "file not found" occured -- re-raise the error, ' this time not under "On Error Resume Next" Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext End Ifend function
Jak potíže obejít
Chcete-li tento problém vyřešit, nakonfigurujte klienta jako klienta webového serveru proxy. Překlad adres IP v tomto případě dochází pouze na serveru TMG. Vyloučit z kontroly HTTPS klientem, nebo, vyloučit problematické cílového webu, jak je uvedeno na následujícím webu Microsoft TechNet:
Stav
Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".
Odkazy
Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft
