Souhrn
Tyto poznámky k verzi adresu nejnovější problémy, které se vztahují k Microsoft bráně Forefront Unified Access Gateway (UAG) 2010. Před instalací produktu Forefront Unified Access Gateway (UAG) musí se přečíst informace obsažené v tomto dokumentu. Tento článek obsahuje následující informace o této aktualizaci:
-
Nové funkce a vylepšení, které jsou zahrnuty v této aktualizaci
-
Problémy, které tato aktualizace řeší
-
Jak získat tuto aktualizaci
-
Požadavky pro instalaci této aktualizace
-
Známé problémy
Úvod
Tento článek popisuje aktualizaci 2 pro Forefront UAG 2010 a obsahuje pokyny k instalaci. Aktualizace 2 pro Forefront UAG 2010 poskytuje následující funkce:
-
Vylepšení součásti klienta: Součást aplikace Forefront UAG SSL aplikace Tunneling (předávání soketu) je nyní podporován v systému Windows Vista a Windows 7 64-bit operační systémy pro 32bitové aplikace. Naleznete v následující tabulce Podrobnosti a vydání #3 Další informace.
Funkce
Windows XP 32-bit
Windows Vista 32-bit
Systém Windows Vista 64-bit
Windows 7 32-bit
Windows 7 64-bit
Mac nebo Linux
Offline instalace
Ano
Ano
Ano
Ano
Ano
Ne
Online instalace
Ano
Ano
Ano
Ano
Ano
Ano
Koncový bod zjišťování
Ano
Ano
Ano
Ano
Ano
Ano
Přílohy stírače
Ano
Ano
Ano
Ano
Ano
Ano
SSL tunelové propojení komponent
Ano
Ano
Ano
Ano
Ano
Ano
Server pro předávání soketu
Ano
Ano
Ano
Ano
Ano
Ne
Tunelové propojení SSL aplikace (Síťový konektor)
Ano
Ano
Ano
Ne
Ne
Ne
Poznámka: Konkrétní informace o prohlížeči, operační systémy a klientské součásti funkce a kompatibilitu, navštivte následující webovou stránku Microsoft TechNet:
Základní informace o systémových požadavcích pro koncové body Forefront UAG
-
Virtual Desktop Infrastructure (VDI): Forefront UAG plně podporuje publikování vzdálené plochy pomocí personal desktop scénář VDI.
-
Citrix publikování podpora: Forefront UAG plně podporuje Citrix prezentace Server 4.5 a jeho nahrazení Citrix XenApp 5.0.
-
Podpora počítačů klientů Citrix: Forefront UAG podporuje systém Windows Vista a Windows 7 počítačů 64bitové operační systémy, přístup k Citrix XenApp aplikací, pokud je klient XenApp 32 bitů. Další podrobnosti naleznete v tématu problém #4 níže.
-
Řízení přístupu SSTP uživatele a skupiny: Forefront UAG nyní nabízí jemnější mechanismus autorizace umožňující správcům povolit jednotlivých skupin pro přístup k SSTP.
-
Ověření SSL metodou Handshake: Forefront UAG nyní poskytuje více robustní zpracování SSL metodou handshake mezi UAG a publikované webové servery.
-
Delegování klientského certifikátu: Forefront UAG nyní přidá některé omezenou podporu pro aplikace, kde aplikační server vyžaduje certifikát pověření klienta pro vyjednávání.
-
Podpora adresu MAC konektor sítě: Forefront UAG síťový konektor Server podporuje širokou škálu síťových adaptérů s rozšířenou rozsah adres MAC.
Další informace o nových funkcích v aktualizaci 2 pro Forefront UAG 2010 naleznete v části "Co je nového v Forefront UAG" na následující webové stránce společnosti Microsoft:
Úvod do hodnocení produktů, která se vztahuje k produktu Forefront UAG
Další informace
Informace o aktualizaci
Následující soubor je k dispozici pro stažení z Microsoft Download Center:
Stáhnout balíček aktualizace Forefront Unified Access Gateway (UAG), 2.
Pro více informací o tom, jak stahovat soubory podpory společnosti Microsoft, klepněte na následující číslo článku v databázi Microsoft Knowledge Base:
119591 jak získat soubory podpory společnosti Microsoft ze serverů služeb onlineMicrosoft zkontroloval tento soubor na přítomnost virů. Společnost Microsoft použila aktuální antivirový software, který byl k dispozici k datu, kdy byl soubor vydán. Soubor je uložen na zabezpečených serverech, které pomáhají zabránit neoprávněným změnám v souboru.
Předpoklady
Tato aktualizace je kumulativní a lze použít pro zařízení, serverů nebo virtuálních počítačů, které jsou spuštěny následující verze UAG 2010:
-
UAG 2010 (RTM)
-
UAG 2010 aktualizace 1
-
Balíček opravy Hotfix Rollup 1 UAG 2010 aktualizace 1
Další informace o UAG aktualizace 1 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
981323 Popis aktualizace 1 pro Unified Access Gateway 2010Další informace o kumulativní aktualizaci 1 UAG 1 balíčku oprav hotfix klepněte na následující číslo článku databáze Microsoft Knowledge Base:
981932 Popis balíčku opravy hotfix Rollup 1 pro Unified Access Gateway 2010 aktualizace 1
Poznámky k instalaci
Pořadí instalace, když do pole UAG server je používán
-
Nejprve nainstalujte aktualizaci 2 array manager.
-
Restartování počítače.
-
Aktivujte UAG konfigurace.
-
Čekání na synchronizaci konfigurace.
-
První člen pole bez správce nainstalujte aktualizaci 2.
-
Restartování počítače.
-
Opakujte u všech zbývajících členů pole.
Poznámka: V případě potřeby odinstalace aktualizace 2 by měly být provedeny v obráceném pořadí.
Požadavek na restartování
V případech mimo polenení nutné restartovat počítač po instalaci tohoto balíčku aktualizace. Je nutné aktivovat UAG konfigurace po instalaci balíčku aktualizace. Poznámka: provedení aktivace UAG bude ukončena všechna existující tunelové propojení SSL aplikace připojení k serveru UAG.
Ve scénářích pole je vyžadováno restartování. Výše uvedené kroky instalace pole vyžadovaná pro úspěšné nasazení aktualizace při použití pole, nedodržení tohoto postupu může způsobit poškození matice a ztrátě konfigurace.
Informace o nahrazení opravy hotfix
Tato oprava hotfix nenahrazuje dříve vydanou opravu hotfix.
Informace o odinstalaci
Chcete-li odinstalovat tuto aktualizaci, použijte jednu z následujících metod:
-
Přihlásit jako správce vestavěné a potom odinstalujte aktualizaci pomocí apletu programy a funkce v Ovládacích panelech.
-
Z příkazového řádku se zvýšenými oprávněními zadejte následující příkaz a stiskněte klávesu ENTER:
msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}
Informace o souborech
Anglická verze této opravy hotfix má atributy (nebo pozdější atributy souborů) uvedené v následující tabulce. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Při zobrazení informací o souboru je převeden na místní čas. Chcete-li najít rozdíl mezi časem UTC a místním časem, použijte kartu časové pásmo v položce datum a čas v okně Ovládací panely.
Název souboru |
Verze souboru |
Velikost souboru |
Datum |
Čas |
Platforma |
---|---|---|---|---|---|
Agent_win_helper.jar |
Není k dispozici |
1,286,015 |
30-Aug-2010 |
13:12 |
Není k dispozici |
Clientconf.xml |
Není k dispozici |
6,675 |
15-Sep-2010 |
06:41 |
Není k dispozici |
Configdatacomlayer.dll |
4.0.1269.200 |
192,400 |
15-Sep-2010 |
08:13 |
x64 |
Configdatalayer.dll |
4.0.1269.200 |
3,871,632 |
15-Sep-2010 |
08:06 |
x64 |
Configmgrcom.exe |
4.0.1269.200 |
199,568 |
15-Sep-2010 |
08:01 |
x64 |
Configmgrcomlayer.dll |
4.0.1269.200 |
2,246,032 |
15-Sep-2010 |
08:15 |
x64 |
Configmgrcore.dll |
4.0.1269.200 |
1,375,632 |
15-Sep-2010 |
08:23 |
x64 |
Configmgrinfra.dll |
4.0.1269.200 |
1,599,888 |
15-Sep-2010 |
08:12 |
x64 |
Configmgrlayer.dll |
4.0.1269.200 |
215,440 |
15-Sep-2010 |
08:05 |
x64 |
Configuration.exe |
4.0.1269.200 |
8,920,976 |
15-Sep-2010 |
08:22 |
x64 |
Detection.js |
Není k dispozici |
14,591 |
15-Sep-2010 |
07:20 |
Není k dispozici |
Https_whlfiltappwrap_forpor |
Není k dispozici |
60,961 |
15-Sep-2010 |
07:19 |
Není k dispozici |
Http_whlfiltappwrap_forport |
Není k dispozici |
59,475 |
15-Sep-2010 |
07:19 |
Není k dispozici |
Install.js |
Není k dispozici |
11,218 |
15-Sep-2010 |
07:20 |
Není k dispozici |
Installanddetect.asp |
Není k dispozici |
12,067 |
15-Sep-2010 |
07:20 |
Není k dispozici |
Internalerror.asp |
Není k dispozici |
8,344 |
15-Sep-2010 |
07:20 |
Není k dispozici |
Internalerror.inc |
Není k dispozici |
24,402 |
15-Sep-2010 |
07:20 |
Není k dispozici |
Login.asp |
Není k dispozici |
24,183 |
15-Sep-2010 |
07:20 |
Není k dispozici |
Logoffmsg.asp |
Není k dispozici |
7,705 |
30-Aug-2010 |
13:11 |
Není k dispozici |
Microsoft.uag.da.messages.d |
4.0.1269.200 |
33,680 |
15-Sep-2010 |
08:14 |
x64 |
Microsoft.uag.transformer.c |
4.0.1269.200 |
6,297,488 |
15-Sep-2010 |
08:02 |
x86 |
Monitormgrcom.exe |
4.0.1269.200 |
151,952 |
15-Sep-2010 |
08:01 |
x64 |
Monitormgrcore.dll |
4.0.1269.200 |
740,240 |
15-Sep-2010 |
08:23 |
x64 |
Monitormgrlayer.dll |
4.0.1269.200 |
354,192 |
15-Sep-2010 |
08:12 |
x64 |
Policy.xml |
Není k dispozici |
80,244 |
17-Oct-2010 |
12:16 |
Není k dispozici |
Policydefinitions.xml |
Není k dispozici |
61,516 |
15-Sep-2010 |
07:15 |
Není k dispozici |
Redirecttoorigurl.asp |
Není k dispozici |
1,423 |
30-Aug-2010 |
13:11 |
Není k dispozici |
Repairinstallation.vbs |
Není k dispozici |
3,044 |
30-Aug-2010 |
13:12 |
Není k dispozici |
Ruleset_forinternalsite.ini |
Není k dispozici |
47,019 |
30-Aug-2010 |
13:11 |
Není k dispozici |
Sessionmgrcom.exe |
4.0.1269.200 |
233,872 |
15-Sep-2010 |
08:24 |
x64 |
Sessionmgrcomlayer.dll |
4.0.1269.200 |
1,641,360 |
15-Sep-2010 |
08:02 |
x64 |
Sessionmgrcore.dll |
4.0.1269.200 |
738,192 |
15-Sep-2010 |
08:01 |
x64 |
Sessionmgrinfra.dll |
4.0.1269.200 |
1,197,968 |
15-Sep-2010 |
08:22 |
x64 |
Sessionmgrlayer.dll |
4.0.1269.200 |
200,592 |
15-Sep-2010 |
08:04 |
x64 |
Sfhlprutil.cab |
Není k dispozici |
57,194 |
15-Sep-2010 |
08:35 |
Není k dispozici |
Shareaccess.exe |
4.0.1269.200 |
492,944 |
15-Sep-2010 |
08:12 |
x64 |
Sslbox.dll |
4.0.1269.200 |
58,768 |
15-Sep-2010 |
08:14 |
x64 |
Sslvpntemplates.xml |
Není k dispozici |
28,704 |
30-Aug-2010 |
13:12 |
Není k dispozici |
Sslvpn_https_profiles.xml |
Není k dispozici |
968 |
17-Oct-2010 |
12:16 |
Není k dispozici |
Uagqec.cab |
Není k dispozici |
64,842 |
15-Sep-2010 |
08:36 |
Není k dispozici |
Uagqessvc.exe |
4.0.1269.200 |
207,760 |
15-Sep-2010 |
08:04 |
x64 |
Uagrdpsvc.exe |
4.0.1269.200 |
144,272 |
15-Sep-2010 |
08:14 |
x64 |
Uninstalluagupdate.cmd |
Není k dispozici |
212 |
15-Sep-2010 |
08:41 |
Není k dispozici |
Usermgrcom.exe |
4.0.1269.200 |
119,184 |
15-Sep-2010 |
08:01 |
x64 |
Usermgrcore.dll |
4.0.1269.200 |
837,008 |
15-Sep-2010 |
08:01 |
x64 |
Whlasynccomm.dll |
4.0.1269.200 |
107,408 |
15-Sep-2010 |
08:14 |
x64 |
Whlcache.cab |
Není k dispozici |
265,768 |
15-Sep-2010 |
08:36 |
Není k dispozici |
Whlclientsetup-all.msi |
Není k dispozici |
2,964,992 |
15-Sep-2010 |
08:22 |
Není k dispozici |
Whlclientsetup-basic.msi |
Není k dispozici |
2,964,992 |
15-Sep-2010 |
08:01 |
Není k dispozici |
Whlclientsetup networkconne |
Není k dispozici |
2,965,504 |
15-Sep-2010 |
08:04 |
Není k dispozici |
Whlclientsetup networkconne |
Není k dispozici |
2,965,504 |
15-Sep-2010 |
08:03 |
Není k dispozici |
Whlclientsetup socketforwar |
Není k dispozici |
2,964,992 |
15-Sep-2010 |
08:24 |
Není k dispozici |
Whlclntproxy.cab |
Není k dispozici |
242,713 |
15-Sep-2010 |
08:35 |
Není k dispozici |
Whlcompmgr.cab |
Není k dispozici |
689,483 |
15-Sep-2010 |
08:35 |
Není k dispozici |
Whlcppinfra.dll |
4.0.1269.200 |
669,584 |
15-Sep-2010 |
08:23 |
x64 |
Whldetector.cab |
Není k dispozici |
263,764 |
15-Sep-2010 |
08:36 |
Není k dispozici |
Whlfiltappwrap.dll |
4.0.1269.200 |
315,280 |
15-Sep-2010 |
14:02 |
x64 |
Whlfiltappwrap_http.xml |
Není k dispozici |
59,475 |
15-Sep-2010 |
13:19 |
Není k dispozici |
Whlfiltappwrap_https.xml |
Není k dispozici |
60,961 |
15-Sep-2010 |
13:19 |
Není k dispozici |
Whlfiltauthorization.dll |
4.0.1269.200 |
311,696 |
15-Sep-2010 |
14:23 |
x64 |
Whlfilter.dll |
4.0.1269.200 |
589,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote.dll |
4.0.1269.200 |
1,037,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote_http.xm |
Není k dispozici |
77,404 |
30-Aug-2010 |
13:11 |
Není k dispozici |
Whlfiltsecureremote_https.x |
Není k dispozici |
80,308 |
17-Oct-2010 |
12:16 |
Není k dispozici |
Whlfirewallinfra.dll |
4.0.1269.200 |
444,816 |
15-Sep-2010 |
08:13 |
x64 |
Whlgenlib.dll |
4.0.1269.200 |
511,376 |
15-Sep-2010 |
08:04 |
x64 |
Whlglobalutilities.dll |
4.0.1269.200 |
106,384 |
15-Sep-2010 |
08:05 |
x64 |
Whlinstallanddetect.inc |
Není k dispozici |
4,476 |
30-Aug-2010 |
13:11 |
Není k dispozici |
Whlio.cab |
Není k dispozici |
167,277 |
15-Sep-2010 |
08:35 |
Není k dispozici |
Whlioapi.dll |
4.0.1269.200 |
76,176 |
15-Sep-2010 |
08:04 |
x64 |
Whliolic.dll |
4.0.1269.200 |
15,760 |
15-Sep-2010 |
08:22 |
x64 |
Whlios.exe |
4.0.1269.200 |
137,104 |
15-Sep-2010 |
08:24 |
x64 |
Whllln.cab |
Není k dispozici |
167,095 |
15-Sep-2010 |
08:36 |
Není k dispozici |
Whlllnconf1.cab |
Není k dispozici |
6,521 |
15-Sep-2010 |
08:35 |
Není k dispozici |
Whlllnconf2.cab |
Není k dispozici |
6,610 |
15-Sep-2010 |
08:36 |
Není k dispozici |
Whlllnconf3.cab |
Není k dispozici |
6,599 |
15-Sep-2010 |
08:35 |
Není k dispozici |
Whltrace.cab |
Není k dispozici |
254,352 |
15-Sep-2010 |
08:36 |
Není k dispozici |
Whltsgauth.dll |
4.0.1269.200 |
184,208 |
15-Sep-2010 |
08:02 |
x64 |
Whltsgconf.dll |
4.0.1269.200 |
87,440 |
15-Sep-2010 |
08:22 |
x64 |
Whlvaw_srv.dll |
4.0.1269.200 |
138,128 |
15-Sep-2010 |
08:05 |
x64 |
Wioconfig.dll |
4.0.1269.200 |
496,528 |
15-Sep-2010 |
08:01 |
x64 |
Opravených problémů, které jsou zahrnuty v této aktualizaci
Tato aktualizace řeší následující problémy, které nebyly dříve dokumentovány v článku znalostní báze Microsoft Knowledge Base.
Problém 1
Příznak
Správci řízení přístupu granulovaných vyžadují pro své klienty virtuální privátní sítě (VPN) Secure Socket (Tunneling Protocol SSTP). Konfigurace SSTP na UAG však vytvoří jediné přístupové pravidlo, které umožňuje klienta VPN přístup k celé interní sítě.
Podle následující text z http://technet.microsoft.com/en-us/library/ee522953.aspx je podporován k vytvoření pravidla, které umožňují řízení přístupu granulovaná pro přístup k síti VPN SSTP použít konzolu Threat Management Gateway (TMG):
"Vytvoření pravidel přístupu pomocí konzoly pro správu aplikace Forefront TMG, za účelem omezení uživatelů, skupin a sítí pro přesnější přístupu při nasazení Forefront UAG VPN vzdáleného přístupu k síti."
Však Pokud správci vytvořit pravidla přístupu k omezení přístupu uživatelů, tato pravidla jsou odebrány nebo přesunout do dolní části zásady přístupu po aktivaci UAG. To znamená, že výchozí pravidlo bude mít přednost, a dojde ke ztrátě konfigurované důkladnější kontrolu.
Příčina
Tento problémy způsobuje omezení v návrhu integrace mezi UAG a dynamicky generované skripty, které jsou nasazeny v průběhu aktivace UAG TMG.
Řešení
Ruční změna TMG pravidla pro podporu řízení přístupu podrobně, jak je popsáno na webu TechNet odepisuje (a není podporován po instalaci této aktualizace 2 UAG) namísto explicitní podporu řízení přístupu podrobně v konzole Správa UAG.
UAG správci mohou nyní explicitně povolit přístup k určité interní síťové adresy SSTP VPN uživatelům, kteří jsou členy určité skupiny služby Active Directory. UAG správci měli použít nové Skupiny uživatelů kartě dialogového okna konfigurace tunelového propojení SSL sítě definovat podrobné zásady přístupu IP VPN, který obsahuje sadu pravidel přístupu. Každé pravidlo definuje sadu adres IP v interní síti a rozsahy adres IP, které jsou členy určité skupiny služby Active Directory přístup při připojení k SSTP VPN.
Problém 2
Příznak
Podpora Microsoft virtuální plochy infrastruktury (VDI) v UAG není plně implementována.
Příčina
Z důvodu zavádějící UAG uživatelské rozhraní, konfigurace problematické a neschopnost podporu více ověřování v různých zdrojích během provádění zabráníte VDI pracovat správně.
Řešení
Byla provedena aktualizace uživatelského rozhraní UAG a podporu na Personal Desktop scénář VDI s robustnější implementace změnu návrhu. Sdruženém Desktop scénář VDI nebyl implementován a mohou být prováděny v budoucí aktualizaci UAG.
Problém 3
Příznak
Součásti klienta UAG pro SSL Tunneling (předávání soketu), aplikace není podporována v 64bitové verzi systému Windows 7 a 64bitové verze systému Windows Vista.
Příčina
Toto chování je záměrné pro součásti klienta UAG před vydáním aktualizace 2 UAG.
Řešení
Provedli jsme změnu adresy následující scénář návrhu:
Existuje široká sada jiných webových aplikací, které používají předávání soketu UAG / aplikace Tunneling jako metodu publikování. Například jsou tyto aplikace Citrix XenApps a prezentace Server 4.5 a obě spouští jako aplikace ActiveX v prohlížeči. Před touto aktualizací z důvodu technických omezení, doporučujeme zakázat nasazení těchto metodách publikování na 64bitové verze operačních systémů klientů. Tedy stejné publikované aplikaci, která používá tyto metody může přistupovat z 32bitové verze klientské operační systemss místo v 64bitových operačních systémech.
Změny provedené v tomto scénáři je poskytnout metodu nasazení klienta předávání soketu (SF) komponenty na 64bitovou verzi operačního systému Windows klienta povolit otevření tunelového propojení aplikací. Tato implementace omezení jsou následující:
-
Podpora pro předávání soketu je omezena na 64bitovou verzi systému Windows Vista a 64bitovou verzi systému Windows 7, nejsou podporovány jiné 64bitové verze operačního systému.
-
Server pro předávání soketu je podporována pouze při přístupu uživatelů k UAG z 32bitové verze aplikace Internet Explorer (spuštěna v modulu WOW64 32 bit emulace).
-
Socket server pro předávání bude pracovat pouze s aplikací 32-bit (WOW64 aplikace) a nebude pracovat s nativní 64bitové aplikace.
Následují možnosti nasazení pro aktualizované součásti:
-
Online: standardní metoda, která provádí nasazení součásti na SF. V prvním volání libovolné aplikace portálu UAG, který používá jako metodu publikování tunelového propojení SF součásti staženy a nainstalovány.
-
Offline: Správci mohou nasadit příslušnou aplikaci Instalační služba Windows Installer (MSI) v klientském počítači pomocí distribuce softwaru skriptované nebo ruční instalaci. Po instalaci aktualizace 2 UAG soubory budou k dispozici na serveru UAG v následujícím umístění:
Directory%\von\PortalHomePage\ instalace UAG %
Problém 4
Příznak
Citrix XenApps 5.0, který je publikován pomocí UAG nelze získat přístup z klientského počítače se systémem 64bitové verze systému Windows Vista nebo okno 7.
Příčina
Toto chování je záměrné pro součásti klienta UAG před vydáním aktualizace 2 UAG.
Řešení
Naleznete v části "Řešení" problému 3 podrobné informace.
Problém 5
Příznak
Při pokusu vytvořit nebo upravit zásady koncový bod, zásady "McAfee Total Protection" dvakrát uveden na seznamu. Pokud vyberete druhou zásadu "McAfee Total Protection", zobrazí se chybová zpráva podobná následující:
Nelze najít zdrojový řádek
Příčina
K tomuto problému dochází, protože soubor directory%\von\Conf\PolicyDefinitions.xml % UAG instalace obsahuje dvě položky, které mají stejný název a ID.
Řešení
Dvojitý vstup vyřešen odebráním druhý záznam ze souboru PolicyDefinitions.xml.
Problém 6
Symptom
Při přístupu k prostředku, který je publikován pomocí UAG klienti zobrazí chyba "při zpracování certifikátu došlo k neznámé chybě" v prohlížeči. Navíc může zobrazit správce UAG v protokolech ladění serveru UAG, které SEC_I_CONTINUE_NEEDED je vrácena během vyjednávání SSL kroku "Handshake potvrzení státem." Po tomto kroku ladění protokoly zobrazí, že stránka /InternalSite/InternalError.asp je vrácena klientovi spolu s kódem chyby 37. Kód chyby 37 je chybová zpráva "při zpracování certifikátu došlo k neznámé chybě."
Cause
Stávající mechanismus SSL je nesprávně handli několik scénářů při provádění ověření SSL metodou handshake se serverem back-end zveřejněny prostřednictvím UAG. Datových proudů povahy SSL vytváří složitý scénář možnost příjem dat buď nedostatečné nebo čtení příliš mnoho informací během signalizace. V tomto scénáři InitializeSecuritykontextu hlásí, zda byly splněny další data, která musí být uložena pro použití v budoucnosti (pravděpodobně po čtení více dat přes lince).
Resolution
Algoritmus handshake rozšířen tak, aby podporoval další případy datové proudy a scénářů.
Issue 7
Symptom
Při přístupu prostřednictvím UAG publikované aplikace HTTPS, obdrží uživatel chybovou 37: "v průběhu zpracování certifikátu došlo k neznámé chybě." Správce, který dělá protokolování ladění (to zahrnuje trasování SSLBOX_BASE) když uživatel přistupuje k aplikaci se zobrazí následující chybová zpráva:
Chyba: Nepodařilo se inicializovat kontext zabezpečení. Vrácena chyba: 0x90320.
Vrácení SEC_INCOMPLETE_CREDENTIALS InitializeSecurityContext – Schannel vyžaduje certifikát pověření klienta
Cause
Chcete-li požádat o certifikát pověření klienta během fáze vyjednávání SSL je nakonfigurován server back-end aplikace. Před touto aktualizací nebyla tato funkce podporována. Proto vyjednávání se nezdařilo s chybou.
Resolution
Existují dva možné scénáře, kde je na serveru back-end s žádostí o certifikát pověření klienta:
-
Server back-end aplikace požaduje klientský certifikát získat kontext certifikátu, ale není nutné. Pro tento případ, který záchranu byla implementována povolení UAG opakovat vyjednávání po SEC_INCOMPLETE_CREDENTIALS návratový kód obdrží. Obvykle na serveru back-end nevyžaduje klientský certifikát a v tomto vyjednávání je úspěšně dokončena.
-
Serverová aplikace vyžaduje ověřování klientských certifikátů. Změnu návrhu, která byla implementována neumožňuje klientům poskytovat průchod přes klientské certifikáty, ale nebude umožněno jediný platný klientský certifikát poskytované serveru back-end pro všechny uživatele.
Pro tento případ by měl správce UAG zadat platný klientský certifikát a nainstalujte ji na server UAG jako certifikát počítače.-
Na pokyn UAG SSLBox modulu, který chcete načíst a získat správný certifikát, postupujte takto:
-
Spuštění příkazu MMC otevřete konzolu pro správu.
-
Klepněte na soubora potom klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
-
Ze seznamu vyberte položku certifikáty a potom klepněte na tlačítko Přidat.
-
Vyberte možnost účet počítače a potom klepněte na tlačítko Dokončit.
-
Otevřete osobní úložiště certifikátů.
-
Ze seznamu vyberte požadovaný klientský ověřovací certifikát a poklepejte na certifikát. Nebo klepněte pravým tlačítkem myši na certifikát a potom klepněte na tlačítko Otevřít.
-
V podokně podrobností vyberte a Posunout dolů.
-
Vyberte vlastnost Miniatura .
-
Vyberte hodnotu v panelu bellow a stisknutím kombinace kláves CTRL + C zkopírujte jeho hodnotu.
-
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windowsa. Spusťte Editor registru (Regedt32.exe).
b. Vyhledejte a klepněte na následující klíč registru:HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
c. v nabídce Úpravy klepněte na příkaz Přidat hodnotua přidejte následující hodnotu registru:Název hodnoty: ClientCertHash
Typ dat: řetězec
Hodnota: {text zkopírovali v kroku 9} [Příklad: a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e DM 8b]
d. Ukončete Editor registru.
e. Spusťte příkaz IISReset k restartování služby IIS jako správce.
f. Aktivujte UAG konfigurace.
-
-
Problém 8
Symptom
V některých výjimečných případech klientských počítačů, které jsou na nich nainstalovány součásti klienta UAG zobrazí zpráva protokolu událostí ID 85 "uagqecsvc" zapsána do protokolu událostí systému Windows každou minutu, kdy tento klientský počítač komunikuje s serveru UAG. Přestože tento poplašný hodnotu false, zaplní protokoly událostí klienta ztěžuje pro administrators nebo linku ze sledování skutečnou událostí v protokolu událostí systému Windows klienta. Tyto zprávy se vždy zobrazí v klientském počítači každou minutu v případě, že klient připojí k serveru IAG.
ID události: 85
Zdroj: uagqecsvc
Typ: Chyba
Popis: Součást Microsoft Forefront UAG Quarantine Enforcement Client nelze inicializovat zpětné volání klienta vynucení hodnotu HRESULT: 0x8027000E. Tomuto problému může dojít, pokud zásady zabezpečení nepovolujte komponenty.
V klientských protokolech událostí může být také další související události.
ID události: 16
Zdroj: uagqecsvc
Název protokolu: Aplikace
Popis: Součást Microsoft Forefront UAG Quarantine Enforcement Client nelze získat stav služby agenta ochrany NAP (Network Access). Došlo k systémové chybě 1115: Probíhá vypnutí systému. (0x45b). spustí při the Microsoft Forefront UAG Quarantine Enforcement Client component, pokusí se nastavení dotazu služby agent NAP.
Ačkoli tento problém nesouvisí přímo UAG nebo nasazení UAG, je možné, že se u některých nasazení budou přistupovat uživatelé, kteří mají součásti klienta UAG nainstalován IAG a UAG servery.
Cause
Součásti klienta UAG stavem součást služby "uagqecsvc" s názvem zobrazení z "Microsoft Forefront UAG Quarantine Enforcement Client" které dotazy koncový bod zdraví pomocí architektury NAP a hlásí stav zpět na UAG modul NAP. Ve výjimečných případech tento problém se zobrazí v nasazeních UAG jako služba znovu opakovaně pokusí o vazbu na server UAG. Vazba poběží ve smyčce s minutového časového limitu, dokud můžete připojit.
Kromě toho počínaje aktualizace 3 pro IAG Service Pack 2, byly součásti klienta UAG přesně do IAG. Proto služba uagqecsvc také nainstalován v klientských počítačích, které připojit k libovolnému serveru IAG, obsahující součásti klienta aktualizace 3 pro Service Pack 2. Protože funkce zjišťování koncového bodu NAP v IAG neexistuje, bude nadále klienta, který je v nich nainstalovány součásti UAG pokusí připojit ke službě UAG NAP každou minutu v procesu generování protokolu výše uvedených messaged v protokolech událostí systému Windows.
Resolution
V dřívějších verzích klientské součásti výchozí hodnotu časového limitu opakování komunikovat s agent zjišťování UAG NAP byla nastavena na minutu to je změněno v UAG aktualizace 2 na jednu hodinu. Pro správce, kteří chtějí upravit tato hodnota je k dispozici způsob, jak ručně definovat časový limit na straně klienta.
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému WindowsUživatelé počítačů nebo správci lze ručně definovat v libovolném klientském počítači časový limit v milisekundách. Chcete-li to provést, postupujte takto:
-
Spusťte Editor registru (Regedt32.exe).
-
Vyhledejte a klepněte na následující klíč registru:
HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
-
V nabídce Úpravy klepněte na příkaz Přidat hodnotua přidejte následující hodnotu registru:
Název hodnoty: InitRetryTimeout
Datový typ: REG_DWORD
Číselná soustava: desítková
Hodnota: (čas v milisekundách 360000 je ve výchozím nastavení, ale tato hodnota musí být
nastavit větší pak 6000) -
Ukončete Editor registru.
-
Restartujte počítač.
Problém 9
Příznak
(Správce UAG) máte UAG nainstalován na serveru se systémem lokalizované APAC jazyková verze operačního systému Windows 2008 R2. Při pokusu kmenu na UAG vytvořit, zobrazí chybová zpráva a vytváření kmenu je zastavena.
Například prázdná okna, neočekávané chybové zprávy nebo časté MMC dojít k selhání při pokusu kmenu na UAG vytvořit.
Příčina
K tomuto problému dochází z důvodu nesprávné manipulace systémových prostředků. Tyto nesprávné manipulaci vést k selhání při spuštění UAG v některých non západní jazykových verzích operačních systémů (Japonština/Korejština/čínština).
Řešení
Kód, který je zodpovědný za přístup k těmto prostředkům systému je pevná.
Problém 10
Příznak
Koncový bod relace vyčištění součástí nespustí spustit po restartování počítače z koncového bodu. Navíc otevře okno aplikace Průzkumník odkazující na složku součásti klienta po restartování počítače.
Příčina
Koncový bod relace vyčištění součástí před restartováním, zapíše hodnotu registru v klíči "Spustit". Tato hodnota registru umožňuje start koncový bod relace vyčištění součástí automaticky po restartování systému Windows. Tato cesta hodnota klíče registru je však cesta spustitelnému souboru, který obsahuje mezery. Proto dojde k selhání.
Řešení
Hodnota cestu, která odkazuje na přílohu stírání spustitelného souboru, který je zapsán v klíči "Spustit" je nyní zapsán jako řetězec v uvozovkách k zabránění selhání.
Problém 11
Příznak
Při pokusu o přístup k nastavení v Exchange Server 2007 Outlook Web aplikace (OWA), které jsou publikovány prostřednictvím UAG možnosti jazyka následující chybová zpráva bude zaslána klientovi.
Pokoušíte se získat přístup k omezeným adresu URL.
Příčina
K tomuto problému dochází mimo šablonu pole pro Exchange Server 2007 Outlook Web Access nemá sada pravidel pro vstup URL"/owa/languageselection.aspx". Sada pravidel pro UAG mechanismus neumožňuje přístup na libovolnou adresu URL, která není v seznamu bílé.
Řešení
Doplňuje se nové pravidlo pro publikování povolit přístup k tomuto prostředku adresy URL aplikace OWA serveru Exchange 2007. V tomto případě nové pravidlo "ExchangePub2007_Rule36" umožňuje přístup k URL "/owa/languageselection.aspx".
Problém 12
Příznak
Pokud uživatel pokusí o přístup k serveru UAG nebo pokusí přístup záložkou cestu v rámci aplikace, nikoli cestu UAG přihlášení, uživatel obdrží chybu 500 interní Server a nemá přístup k webu.
Poznámka: UAG server používá pro ověřování službou AD FS a přímo požaduje publikované aplikace.
Příčina
UAG je nakonfigurován pro použití službou AD FS pro ověřování, několik přesměrování proběhne mezi zabezpečení Token služby (STS) a vnitřní serveru UAG. Pokud redirectes nebyly provedeny očekávaným způsobem, UAG vrátí chyby. Když uživatel se pokusí o přímý přístup k publikovanému prostředku místo portálu, dojde k přerušení procesu přesměrování země. Proto dojde k vnitřní chybě serveru.
Řešení
Tento problém je opraven v aktualizaci.
Problém 13
Příznak
Pokud správce konfiguruje úložiště ověření typu AD, správce nelze nastavit hodnotu vnořené skupiny "neomezené". Podle specifikace UAG může být prázdná hodnota pole vnořené skupiny. Když je toto pole prázdné, uložení a aktivaci konfigurace hodnota je však nastavena zpět na hodnotu "0" neočekávaně.
Poznámka: UAG MMC je třeba zavřít a znovu otevřít, chcete-li získat hodnotu "0" viditelné. Jako specifikace UAG "0" znamená, že je bez vnoření skupin. Vnoření skupin proto nefunguje podle očekávání.
Příčina
K tomuto problému dochází, protože správná hodnota pro pole vnořené skupiny nelze uložit v konfiguraci. Správnou hodnotu, proto nelze použít grafické uživatelské rozhraní a funkce ověřování.
Řešení
Hodnota v konfiguraci je nyní správně uloženy a aktualizován z grafického uživatelského rozhraní dále při odstranění hodnotu vnořené skupiny, hodnota platí pro ověření funkce správně.
Poznámka: Společnost Microsoft doporučuje nastavení hodnoty za nejnižší číslo, které je vyžadováno povolení v UAG. Hodnotu lze nastavit na vyšší než 2 úrovně vnoření vzhledem k možnému zpoždění a požadované zdroje. Pokud je vyšší než 2 úrovně, které jsou požadovány pro nasazení, je nutné otestovat vliv těchto změn před nasazení systému ve výrobě. V extrémních případech může způsobit nastavení serveru UAG a všechny řadiče domény, které jsou používány pro ověřování UAG selhání z důvodu zdrojů vysoké požadavky.
Problém 14
Příznak
Při pokusu zavřít okno Konfigurace sítě connector (NC) serveru po povolení serveru NC, může se zobrazit následující chybová zpráva:
Chybné parametry síťový konektor, segment neplatná adresa
Příčina
Služba SSL Tunneling sítě lze použít pouze v případě, že fyzické síťové adaptéry musí MAC adresy, které začínají "00".
Řešení
Služba SSL Tunneling sítě lze použít i v případě, že fyzické síťové adaptéry musí MAC adresy, které začínají "00".
Problém 15
Příznak
UAG byla vydána pouze částečná podpora Citrix XenApp 5.
Pokud chcete publikování Citrix bez chyb, by byly povinny postupujte podle kroků, které jsou k dispozici na následujícím webu společnosti Microsoft:
Úvod do publikování Citrix XenApp 5.x s UAG 2010
Příčina
K tomuto problému dochází, protože je přerušeno podporu pro Citrix.
Řešení
Kroky, které jsou k dispozici ve výše uvedené správně publikování Citrix XenApp 5.0 jsou nyní zahrnuty v této aktualizaci.
Problém 16
Příznak
AV produktu "Trend Micro OfficeScan Anti-Virus" nebo "Trend Micro PC-Cillin antivirový" je vybrána z grafického uživatelského rozhraní. V takovém případě vytvořte zásadu a potom použít zásady pro aplikaci, zobrazí se následující chybová zpráva při aktivaci:
Nelze najít zdrojový řádek
Příčina
K tomuto problému dochází, protože algoritmus ověřování syntaxe zásady neúspěšných přístupů do závislosti, které jsou vyžadovány tyto konkrétní zásady.
Řešení
Závislosti, které jsou vyžadovány tyto zásady jsou přidány do zásad algoritmus ověřování syntaxe po instalaci této aktualizace.
Známé problémy
-
Po instalaci této aktualizace síťového adaptéru tunelového propojení SSL sítě přestane být viditelné v okně Síťová připojení. Toto chování je záměrné. A ujistěte se, že síťový adaptér je nainstalován Správce zařízení a vyberte "Zobrazit skrytá zařízení" položka v nabídce Zobrazit.
-
Někdy operace odinstalovat aktualizace může selhat s chybovou zprávou, určující, že nelze najít instalační soubor "FirefrontUAG.msi" nebo Chyba instalace 1269.
-
Otevřete nabídku Start a zadejte Zobrazit skryté soubory a složky.
-
Do otevřeného okna Upřesnit nastavení zrušte zaškrtnutí políčka Skrýt chráněné operace systému souborů (doporučeno) a klepněte na tlačítko OK.
-
Otevřete okno příkazového řádku se zvýšenými oprávněními a zadejte UninstallUagUpdate.
-
Počkejte několik minut oprava instalace databáze, pokud je požadováno.
Poznámka: Zobrazí se zpráva informující o potřebě opravy.
-
-
Podpora Citrix XenApp je pouze pro verze 5.0. Novější verze nejsou podporovány.
-
Tato verze podporuje pouze Personal Desktop scénář VDI. Sdružené stolní scénář není aktuálně podporováno.
-
Předávání soketu je k dispozici na okna 7 a Vista 64-bit klientů pro 32 bit aplikace (aplikace WOW64). Není k dispozici pro nativní 64bitové aplikace.
-
Publikování aplikace Outlook Web Access pro server Exchange 2010 Service Pack 1 pomocí UAG vyžaduje ruční úprava AppWrap a změny sady pravidel. Článek o kroky, které jsou nutné k tomu je publikován v produktu UAG team blog http://blogs.technet.com/b/edgeaccessblog/. Kroky, které jsou popsány v článku budou začleněny do budoucí aktualizaci UAG.
-
Microsoft zákazník podpory služby (CSS) nelze poskytovat podporu zákazníkům, pokud používají beta, non-RTM, nebo non obecně dostupné produkty (GA) jako je například aplikace Internet Explorer 9 Beta. Podpora pro IE9 bude součástí budoucí aktualizace po IE9 je oficiálně vydána.
Známé problémy s poli a vyrovnávání zatížení sítě (NLB)
-
Při pokusu připojit dva servery současně na stejné pole, pole úložiště je pravděpodobně poškozen. V takovém případě obnovte nastavení ze zálohy.
-
Při odstranění protokolu IPv6 virtuální adresu IP (VIP) v konzole Správa Forefront UAG adresu nebude zcela odebrán. Chcete-li tento problém vyřešit, ručně odstraníte adresu ze síťového adaptéru v Centrum sítí a sdílení a v konzole Správa UAG Forefront.
-
Forefront UAG nemusí zjistit, že člena pole, který používá integrované rozložení zátěže sítě ztratí připojení k síti (například poskytovatele služeb Internetu – selhání systému). V tomto scénáři Forefront UAG pokračovat směrovat přenosy na dostupný server. Chcete-li se tomuto problému vyhnout, zakažte interní a externí adaptéry offline pole členů. Znovu povolte adaptérů po připojení problémy byly vyřešeny.
-
Pokud máte Microsoft System Center Operations Manager 2007 zavedení v organizaci, můžete sledovat stav pole člen síťové adaptéry. Chcete-li to provést, postupujte takto:
-
Ujistěte se, zda jsou nainstalovány balíčky správy operačního systému Windows Server a Windows Server 2008 služba Vyrovnávání zatížení sítě na každého člena pole.
-
Odpojené síťové adaptéry v poli Členové pomocí Operations Manager 2007.
Poznámka: Operations Manager 2007 hlásí problémy takto:-
Pokud nastaly potíže s adaptérem, který je připojen k interní síti, Operations Manager 2007 hlásí, že je nalezen žádný prezenčního signálu.
-
Pokud nastaly potíže s adaptérem, který je připojen k externí síti, Operations Manager 2007 hlásí problém v systému Windows služba Vyrovnávání zatížení sítě.
-
-
-
Vytvoříte-li v matici, který nemá povoleno vyrovnávání zatížení přesměrování kmenovou pro kmenovou HTTPS, musíte ručně přiřadit kmenovou přesměrování adresy IP pro každého člena pole. Tato úloha je popsána v následujícím článku:
Úvod k instalaci aktualizace 1 na matici pomocí služby Vyrovnávání zatížení sítě