OPRAVA: Klient proxy nonweb v prostředí Forefront Threat Management brány (TMG) 2010 nelze otevřít některé weby s vyrovnáváním zatížení, pokud je povolena kontrola TMG HTTPS

Příznaky

Jde o takovouto situaci:

  • V podnikové síti používáte klienta, který není klienta webového serveru proxy například klienta brány firewall nebo klient SecureNAT.

  • Klient se pokusí připojit na web HTTPS pomocí serveru se systémem Microsoft Forefront Threat Management brány (TMG) 2010. Klient se pokusí připojit k https://contoso.com.

  • Kontrolu HTTPS je povolena na serveru se systémem TMG 2010.

  • Web HTTPS používá speciální Domain Name System DNS-based služby Vyrovnávání zatížení algoritmu ve kterém příslušný server DNS vrátí střídání IP adresu, která má nízkou hodnotu "Time to Live". V tomto případě následných dotazů pro web (contoso.com) za následek různé adresy IP.


V tomto případě může být klient nelze procházet web. Následující může být zaznamenána v protokolu aplikace na serveru se systémem TMG 2010:

Stav 12227 název na certifikátu serveru SSL poskytnutých cílového serveru neodpovídá názvu hostitele požadované.

Příčina

K tomuto problému dochází z důvodu zvláštních názvů DNS služby Vyrovnávání zatížení algoritmu.

Po otevření webu například https://contoso.com klienta proxy nonweb klienta řeší samotný název a pokusí navázat připojení protokol SSL (Secure Sockets Layer) (SSL) cílovou adresu IP, jako je například IP 1.

Pokud je povolena kontrola HTTPS, TMG 2010 naváže připojení jménem klienta a se pokusí ověřit certifikát serveru, než je povoleno připojení klienta. Jeden z mnoha kontrol provedených (pro příklad, platnosti a odvolání) ověří, zda je napojení na správný web.

Ověření se provádí následujícím způsobem:

  1. TMG 2010 v tomto případě načte Název předmětu a Alternativní název předmětu pole načtená certifikátu, například Contoso.com.

  2. TMG 2010 se snaží vyřešit certifikátu pomocí služby DNS.

  3. TMG 2010 zkontroluje, zda výsledek odpovídá cílové adrese IP klienta při připojení bylo navázáno.


Z důvodu způsobu Vyrovnávání zatížení je vyřešen pro web, překlad v TMG 2010 dává jinou adresu IP, IP-2. Vzhledem k tomu, že dvě adresy IP nejsou stejné (IP 1 versus IP-2), TMG 2010 proto odmítá připojení.

Řešení

Chcete-li vyřešit tento problém, nainstalujte balíček opravy hotfix, která je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:

2735208 aktualizace 3 pro Forefront Threat Management Gateway (TMG) 2010 Service Pack 2Poznámka: Po instalaci této opravy můžete nakonfigurovat vyloučení nastavit název domény pro ověřování HTTPS kontroly IP adresy. Jedná se o názvy domén, pro které je potlačena část ověření adresy HTTPS inspekce. Další kroky pro ověření jsou však stále provádí.

Následující skript konfiguruje vyloučení nastavit název domény bude ten, který se nazývá na začátku skriptu. Pokud již neexistuje, vytvoří skript také vyloučení nastavit název domény. Pomocí běžných nástrojů správy TMG například konzoly pro správu a skriptování, můžete naplnit správce DomainNameSet proměnné podle potřeby.


' The domain name set for the exclusion listconst strDomainNameSetName = _
"HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"


Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002

Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
objArray.RuleElements.DomainNameSets, _
strDomainNameSetName, _
strDomainNameSetDescription _
)
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save

function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
On Error Resume Next
Set objDNSet = objDNSets.Item(strDNSetName)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext

On Error GoTo 0

if errNumber = Error_FileNotFound Then
Set objDNSet = objDNSets.Add(strDNSetName)
objDNSet.Description = strDNSetDescription
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If

Set OpenDNSet = objDNSet
end function

function OpenVPSet(objParent, strVpsGUID)
Set objVPSets = objParent.VendorParametersSets
On Error Resume Next
Set OpenVPSet = objVPSets.Item(strVpsGUID)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext

On Error GoTo 0

if errNumber = Error_FileNotFound Then
Set OpenVPSet = objVPSets.Add(strVpsGUID)
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If
end function


Jak potíže obejít

Chcete-li tento problém vyřešit, nakonfigurujte klienta jako klienta webového serveru proxy. Překlad adres IP v tomto případě dochází pouze na serveru TMG. Vyloučit z kontroly HTTPS klientem, nebo, vyloučit problematické cílového webu, jak je uvedeno na následujícím webu Microsoft TechNet:

Kromě zdrojů a cílů ze spisu HTTPS

Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".

Odkazy

Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:

824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×