Hinweise zum Update 2 Unified Access Gateway 2010


Zusammenfassung


Adresse neu hinzugekommene Probleme Hinweise beziehen sich auf Microsoft Forefront Unified Access Gateway (UAG) 2010. Vor der Installation von Forefront Unified Access Gateway (UAG) müssen Sie die Informationen lesen, die in diesem Dokument enthalten sind. Dieser Artikel enthält die folgende Informationen zu diesem Update:
  • Neue Funktionen und Optimierungen, die in diesem Update enthalten sind
  • In diesem Update behobene Probleme
  • Wie Sie dieses Update erhalten:
  • Erforderliche Komponenten für die Installation dieses Updates
  • Bekannte Probleme

Einführung


Dieser Artikel beschreibt Update 2 für Forefront UAG 2010 und Installation erläutert. Update 2 für Forefront UAG 2010 die folgenden Leistungsmerkmale bietet:
  • Client-Komponenten Erweiterung: Komponente Forefront UAG SSL Anwendung-Tunneling (Socket Spediteur) wird jetzt für Windows Vista und Windows 7 64-Bit-Betriebssysteme für 32-Bit-Programme unterstützt. Siehe folgende Tabelle für die Details und Ausgabe #3 für Weitere Informationen.
    FunktionWindows XP 32-bitWindows Vista 32 bitWindows Vista 64-bitWindows 7 32-bitWindows 7 64-bitMac oder Linux
    Offline-installationJaJaJaJaJaNein
    Online-installationJaJaJaJaJaJa
    EndpunkterkennungJaJaJaJaJaJa
    Anlage ScheibenwischerJaJaJaJaJaJa
    SSL-Tunneling-KomponenteJaJaJaJaJaJa
    Socket-WeiterleitungJaJaJaJaJaNein
    Anwendung SSL-Tunneling (Netzwerkanschluss)JaJaJaNeinNeinNein
    Hinweis: Informationen zum Browser und Betriebssysteme Clientkomponente Funktionen und Kompatibilität finden Sie auf der folgenden Microsoft TechNet-Webseite:
  • Virtual Desktop Infrastructure (VDI): Forefront UAG unterstützt die Veröffentlichung Remotedesktops über VDI persönlichen Desktop-Szenario.
  • Citrix Publishing Support: Forefront UAG unterstützt Citrix Presentation Server 4.5 und Citrix XenApp 5.0 ersetzt.
  • Support für Citrix-Client-Computer: Forefront UAG unterstützt Windows Vista und Windows 7-Computer mit 64-Bit-Betriebssystemen auf Citrix XenApp Applikationen XenApp Client 32-Bit ist. Weitere Informationen finden Sie im Thema #4.
  • SSTP Benutzer- und Zugriffskontrolle: Forefront UAG bietet nun eine feinere Autorisierungsmechanismus Administratoren Gruppen SSTP auf Autorisieren.
  • SSL-Handshake: Forefront UAG bietet jetzt stabiler Behandlung von SSL-Handshakes zwischen UAG und veröffentlichten Webserver.
  • Client-Zertifikat Delegation: Forefront UAG wird nun einige eingeschränkte Unterstützung für Applikationen Application Server Clientzertifikate Aushandlung verlangt.
  • Netzwerk Anschluss MAC-Unterstützung: Forefront UAG Netzwerkserver Connector unterstützt eine größere Anzahl von Netzwerkadaptern mit erweiterten MAC-Adresse.
Weitere Informationen zu neuen Features in Update 2 für Forefront UAG 2010 finden Sie im Abschnitt "In Forefront UAG Neuigkeiten" auf folgender Microsoft-Website:

Weitere Informationen


Update-Informationen

Die folgende Datei steht zum Download im Microsoft Download Center zur Verfügung:

Download Updatepaket für Forefront Unified Access Gateway (UAG) 2 jetzt.

Für weitere Informationen darüber, wie Sie Microsoft Support-Dateien herunterladen können, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
119591 so erhalten Sie Microsoft Support-Dateien
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die zum Zeitpunkt der Veröffentlichung der Datei aktuell verfügbare Virenerkennungssoftware verwendet. Die Datei wird auf Servern mit erhöhter Sicherheit gespeichert, wodurch nicht autorisierten Änderungen an der Datei vorgebeugt wird.

Voraussetzungen

Dieses Update ist kumulativ und Geräte, Server oder virtuelle Computer, die die folgenden von UAG 2010 Versionen angewendet werden:
  • UAG 2010 (RTM)
  • UAG 2010 Update 1
  • UAG 2010 Update 1 Rollup 1 Hotfix-Paket
Weitere Informationen zu UAG 1 Klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
Hinweise zum Update 1 für Unified Access Gateway 2010 981323
Weitere Informationen zum Hotfixpaket UAG 1 Updaterollup 1 Klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
981932 Beschreibung des Hotfix-Pakets von Updaterollup 1 für Unified Access Gateway 2010 Update 1

Installationshinweise

Reihenfolge der Installation, wenn ein Array UAG-Server verwendet wird
  1. Installieren Sie zuerst Update 2 auf Array Manager.
  2. Starten Sie neu.
  3. Aktivieren Sie UAG-Konfiguration.
  4. Warten der Konfigurations zu synchronisieren.
  5. Installieren Sie Update 2 auf der ersten Array-Manager.
  6. Starten Sie neu.
  7. Wiederholen Sie für alle übrigen Gruppenmitglieder.
Hinweis Gegebenenfalls sollte die Deinstallation von Update 2 in umgekehrter Reihenfolge durchgeführt werden.

Neustartanforderung

Array - Szenariosmüssen Sie keinen Neustart des Computers, nachdem Sie dieses Update-Paket anwenden. UAG-Konfiguration muss aktiviert werden, nachdem Sie das Update-Paket installiert. Beachten Sie, dass UAG-Aktivierung durchführen vorhandenen SSL-Tunneling Anwendung Verbindungskabel an den UAG-Server beendet wird.

Array -Szenarien ist ein Neustart erforderlich. Array Installationsschritten für die erfolgreiche Bereitstellung des Updates erforderlich sind, wenn ein Array verwenden, kann folgendermaßen kann zur Beschädigung des Arrays oder Verlust der Konfiguration.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine zuvor veröffentlichten Hotfix.

Deinstallationsinformationen

Um dieses Update zu deinstallieren, verwenden Sie eine der folgenden Methoden:
  • Als integrierte Administrator anmelden und mithilfe des Applets Programme und Funktionen im Bedienfeld das Update deinstallieren.
  • Geben Sie von Belegen folgenden Befehl und dann die EINGABETASTE:
    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Dateiinformationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu suchen, verwenden Sie die Registerkarte Zeitzone in dem Element im Bedienfeld.

DateinameDateiversionDateigrößeDatumZeitPlattform
Agent_win_helper.jarNicht zutreffend1,286,01530-Aug-201013:12Nicht zutreffend
Clientconf.xmlNicht zutreffend6,67515-Sep-201006:41Nicht zutreffend
Configdatacomlayer.dll4.0.1269.200192,40015-Sep-201008:13x64
Configdatalayer.dll4.0.1269.2003,871,63215-Sep-201008:06x64
Configmgrcom.exe4.0.1269.200199,56815-Sep-201008:01x64
Configmgrcomlayer.dll4.0.1269.2002,246,03215-Sep-201008:15x64
Configmgrcore.dll4.0.1269.2001,375,63215-Sep-201008:23x64
Configmgrinfra.dll4.0.1269.2001,599,88815-Sep-201008:12x64
Configmgrlayer.dll4.0.1269.200215,44015-Sep-201008:05x64
Configuration.exe4.0.1269.2008,920,97615-Sep-201008:22x64
Detection.jsNicht zutreffend14,59115-Sep-201007:20Nicht zutreffend
Https_whlfiltappwrap_forporNicht zutreffend60,96115-Sep-201007:19Nicht zutreffend
Http_whlfiltappwrap_forportNicht zutreffend59,47515-Sep-201007:19Nicht zutreffend
Install.jsNicht zutreffend11,21815-Sep-201007:20Nicht zutreffend
Installanddetect.aspNicht zutreffend12,06715-Sep-201007:20Nicht zutreffend
Internalerror.aspNicht zutreffend8,34415-Sep-201007:20Nicht zutreffend
Internalerror.incNicht zutreffend24,40215-Sep-201007:20Nicht zutreffend
Login.aspNicht zutreffend24,18315-Sep-201007:20Nicht zutreffend
Logoffmsg.aspNicht zutreffend7,70530-Aug-201013:11Nicht zutreffend
Microsoft.uag.da.messages.d4.0.1269.20033,68015-Sep-201008:14x64
Microsoft.uag.transformer.c4.0.1269.2006,297,48815-Sep-201008:02x86
Monitormgrcom.exe4.0.1269.200151,95215-Sep-201008:01x64
Monitormgrcore.dll4.0.1269.200740,24015-Sep-201008:23x64
Monitormgrlayer.dll4.0.1269.200354,19215-Sep-201008:12x64
Policy.xmlNicht zutreffend80,24417-Oct-201012:16Nicht zutreffend
Policydefinitions.xmlNicht zutreffend61,51615-Sep-201007:15Nicht zutreffend
Redirecttoorigurl.aspNicht zutreffend142330-Aug-201013:11Nicht zutreffend
Repairinstallation.vbsNicht zutreffend3.04430-Aug-201013:12Nicht zutreffend
Ruleset_forinternalsite.iniNicht zutreffend47,01930-Aug-201013:11Nicht zutreffend
Sessionmgrcom.exe4.0.1269.200233,87215-Sep-201008:24x64
Sessionmgrcomlayer.dll4.0.1269.2001,641,36015-Sep-201008:02x64
Sessionmgrcore.dll4.0.1269.200738,19215-Sep-201008:01x64
Sessionmgrinfra.dll4.0.1269.2001,197,96815-Sep-201008:22x64
Sessionmgrlayer.dll4.0.1269.200200,59215-Sep-201008:04x64
Sfhlprutil.cabNicht zutreffend57,19415-Sep-201008:35Nicht zutreffend
Shareaccess.exe4.0.1269.200492,94415-Sep-201008:12x64
Sslbox.dll4.0.1269.20058,76815-Sep-201008:14x64
Sslvpntemplates.xmlNicht zutreffend28,70430-Aug-201013:12Nicht zutreffend
Sslvpn_https_profiles.xmlNicht zutreffend96817-Oct-201012:16Nicht zutreffend
Uagqec.cabNicht zutreffend64,84215-Sep-201008:36Nicht zutreffend
Uagqessvc.exe4.0.1269.200207,76015-Sep-201008:04x64
Uagrdpsvc.exe4.0.1269.200144,27215-Sep-201008:14x64
Uninstalluagupdate.cmdNicht zutreffend21215-Sep-201008:41Nicht zutreffend
Usermgrcom.exe4.0.1269.200119,18415-Sep-201008:01x64
Usermgrcore.dll4.0.1269.200837,00815-Sep-201008:01x64
Whlasynccomm.dll4.0.1269.200107,40815-Sep-201008:14x64
Whlcache.cabNicht zutreffend265,76815-Sep-201008:36Nicht zutreffend
Whlclientsetup-all.msiNicht zutreffend2,964,99215-Sep-201008:22Nicht zutreffend
Whlclientsetup-basic.msiNicht zutreffend2,964,99215-Sep-201008:01Nicht zutreffend
Whlclientsetup networkconneNicht zutreffend2,965,50415-Sep-201008:04Nicht zutreffend
Whlclientsetup networkconneNicht zutreffend2,965,50415-Sep-201008:03Nicht zutreffend
Whlclientsetup socketforwarNicht zutreffend2,964,99215-Sep-201008:24Nicht zutreffend
Whlclntproxy.cabNicht zutreffend242,71315-Sep-201008:35Nicht zutreffend
Whlcompmgr.cabNicht zutreffend689,48315-Sep-201008:35Nicht zutreffend
Whlcppinfra.dll4.0.1269.200669,58415-Sep-201008:23x64
Whldetector.cabNicht zutreffend263,76415-Sep-201008:36Nicht zutreffend
Whlfiltappwrap.dll4.0.1269.200315,28015-Sep-201014:02x64
Whlfiltappwrap_http.xmlNicht zutreffend59,47515-Sep-201013:19Nicht zutreffend
Whlfiltappwrap_https.xmlNicht zutreffend60,96115-Sep-201013:19Nicht zutreffend
Whlfiltauthorization.dll4.0.1269.200311,69615-Sep-201014:23x64
Whlfilter.dll4.0.1269.200589,20015-Sep-201014:22x64
Whlfiltsecureremote.dll4.0.1269.2001,037,20015-Sep-201014:22x64
Whlfiltsecureremote_http.xmNicht zutreffend77,40430-Aug-201013:11Nicht zutreffend
Whlfiltsecureremote_https.xNicht zutreffend80,30817-Oct-201012:16Nicht zutreffend
Whlfirewallinfra.dll4.0.1269.200444,81615-Sep-201008:13x64
Whlgenlib.dll4.0.1269.200511,37615-Sep-201008:04x64
Whlglobalutilities.dll4.0.1269.200106,38415-Sep-201008:05x64
Whlinstallanddetect.incNicht zutreffend4,47630-Aug-201013:11Nicht zutreffend
Whlio.cabNicht zutreffend167,27715-Sep-201008:35Nicht zutreffend
Whlioapi.dll4.0.1269.20076,17615-Sep-201008:04x64
Whliolic.dll4.0.1269.20015,76015-Sep-201008:22x64
Whlios.exe4.0.1269.200137,10415-Sep-201008:24x64
Whllln.cabNicht zutreffend167,09515-Sep-201008:36Nicht zutreffend
Whlllnconf1.cabNicht zutreffend6,52115-Sep-201008:35Nicht zutreffend
Whlllnconf2.cabNicht zutreffend6,61015-Sep-201008:36Nicht zutreffend
Whlllnconf3.cabNicht zutreffend6,59915-Sep-201008:35Nicht zutreffend
Whltrace.cabNicht zutreffend254,35215-Sep-201008:36Nicht zutreffend
Whltsgauth.dll4.0.1269.200184,20815-Sep-201008:02x64
Whltsgconf.dll4.0.1269.20087,44015-Sep-201008:22x64
Whlvaw_srv.dll4.0.1269.200138,12815-Sep-201008:05x64
Wioconfig.dll4.0.1269.200496,52815-Sep-201008:01x64



Behobene Probleme in diesem Update enthalten sind

Dieses Update behebt die folgenden Probleme, die zuvor nicht in der Microsoft Knowledge Base behandelt wurden.

Problem 1


Symptom

Administratoren benötigen detaillierte Zugriffskontrolle für Kunden virtuelles privates Netzwerk (VPN) Secure Socket Tunneling-Protokoll (SSTP). Konfigurieren von SSTP auf UAG erstellt jedoch eine einzelne Zugriffsregel, die VPN-Clients auf das gesamte interne Netzwerk zugreifen.

Der folgende Auszug aus http://technet.microsoft.com/en-us/library/ee522953.aspx ist es unterstützt um Threat Management Gateway (TMG) Konsole Regeln erstellen, die detaillierte Zugriffskontrolle SSTP VPN-Zugriff aktivieren:

"Erstellen von Zugriffsregeln Forefront TMG-Verwaltungskonsole, um Benutzer, Gruppen und Netzwerke für präzise Zugriff einschränken, wenn Forefront UAG VPN-Remotezugriff auf das Netzwerk bereitstellen."

Wenn Administratoren Benutzerzugriffen Zugriffsregeln erstellen, werden diese Regeln jedoch entfernt oder an das Ende der Richtlinie nach UAG Aktivierung verschoben. Dies bedeutet, dass die Default-Regel Vorrang und konfigurierte Kontrolle verloren.

Ursache

Diese Probleme durch eine Einschränkung im Entwurf die Integration UAG und dynamisch generierten Regeln TMG UAG Aktivierung bereitgestellt werden.

Problemlösung

Manuelle Bearbeitung von TMG Regeln unterstützen granulare Zugriffskontrolle auf TechNet abgeschrieben wird (und nicht mehr nach der Installation von Update 2 UAG unterstützt) für explizite Unterstützung granulare Zugriffskontrolle UAG-Verwaltungskonsole.

UAG-Administratoren können jetzt explizit Zugriff auf bestimmten internen Netzwerkadressen SSTP VPN-Benutzern, die bestimmte Active Directory-Gruppen angehören. UAG Administratoren verwenden neue Benutzergruppen Registerkarte im Dialogfeld Konfiguration SSL-Tunneling, detaillierte IP VPN-Richtlinie besteht aus einer Reihe von Regeln definiert. Jede Regel definiert eine Reihe von internen Netzwerk IP-Adressen und IP-Adressbereiche, die Mitglieder einer bestimmten Active Directory-Gruppe SSTP VPN Verbindung zugreifen können.

Problem 2


Symptom

Unterstützung von Microsoft Virtual Desktop Infrastructure (VDI) in UAG ist nicht vollständig implementiert.

Ursache

Verhindern Sie VDI eine irreführende UAG UI, problematischen Konfigurationen und Multi-Autorisierung in verschiedenen Ressourcen während der Implementierung unterstützen nicht ordnungsgemäß funktioniert.

Problemlösung

Wir haben eine Designänderung UAG UI aktualisieren und persönlichen Desktop Szenario VDI mit einer robusteren Implementierung zu unterstützen. Der Desktop gepoolt VDI nicht implementiert und kann in einem zukünftigen Update UAG implementiert werden.

Problem 3


Symptom

Die Clientkomponente UAG für SSL-Tunneling Anwendung (Socket Spediteur) wird auf 64-Bit-Version von Windows 7 und 64-Bit-Version von Windows Vista nicht unterstützt.

Ursache

Dies ist das Verhalten der Clientkomponenten UAG Releaseversion UAG Update 2.

Problemlösung

Wir haben ein Design ändern, um das folgende Szenario:

Es sind wide-Web-Anwendung, mit denen UAG Socket weiterleiten / Anwendung Tunneling als publishing Methode. Z. B. Anträge sind Citrix XenApps und Presentation Server 4.5 und beide als ActiveX-Anwendung im Browser ausführen. Bevor Sie dieses Update nicht zulassen wegen technischen Grenzen wir Bereitstellung dieser Methoden Veröffentlichung auf 64-Bit-Version von Clientbetriebssystemen. Daher kann die gleiche veröffentlichte Anwendung, die diese Methoden verwendet von 32-Bit-Version des Clients hinzukommende anstelle von 64-Bit-Betriebssystemen zugegriffen werden.

Änderung für dieses Szenario ist eine Methode der Bereitstellung für den Client Socket weiterleiten (SF) auf 64-Bit-Version von Windows-Clientbetriebssystemen, Öffnen von getunnelten Applikationen Komponenten bereitstellen. Die Nachteile dieser Implementierung sind:
  • Unterstützung für Socket-Weiterleitung ist auf 64-Bit-Version von Windows Vista und 64-Bit-Version von Windows 7, andere 64-Bit-Version des Betriebssystems nicht unterstützt.
  • Socket Weiterleitung wird nur unterstützt, wenn Benutzer UAG von 32-Bit-Version von Internet Explorer (unter WOW64 32 Bit-Emulation) zugreifen.
  • Socket-Weiterleitung nur mit 32-Bit (WOW64 Applications) interagieren und interagiert nicht mit systemeigenen 64-Bit Applications.
Es folgen die Bereitstellungsoptionen für die aktualisierten Komponenten:
  • Online: die Standardmethode, die Bereitstellung von SF Komponenten ausführt. Beim ersten Aufruf alle UAG Portal Anwendung SF als Tunneling-Veröffentlichungsmethode Komponenten heruntergeladen und installiert.
  • Offline: Administratoren können auch bereitzustellen entsprechenden Windows Installer (MSI) auf einem Client mit skriptgesteuerten SoftwareDistribution oder durch manuelle Installation. Nach der Installation von Update 2 UAG werden die Dateien auf den UAG-Server am folgenden Speicherort:
    % UAG-Installation directory%\von\PortalHomePage\
Problem 4


Symptom

Sie können nicht von einem Clientcomputer Citrix XenApps 5.0, die Veröffentlichung mit UAG zugreifen, die 64-Bit-Version von Windows Vista oder Windows 7 ausgeführt wird.

Ursache

Dies ist das Verhalten der Clientkomponenten UAG Releaseversion UAG Update 2.

Problemlösung

Siehe Abschnitt "Lösung" Problem 3 Informationen.

Problem 5


Symptom

Beim Erstellen oder Bearbeiten einer Endpunktrichtlinie wird die Richtlinie "McAfee Total Protection" zweimal in der Liste angezeigt. Bei Auswahl die zweite Richtlinie "McAfee Total Protection" erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

Quellzeile konnte nicht gefunden werden.

Ursache

Dieses Problem tritt auf, weil die % UAG Installation directory%\von\Conf\PolicyDefinitions.xml zwei Einträge enthält, die denselben Titel und ID

Problemlösung

Entfernen Sie den zweiten Datensatz aus der Datei PolicyDefinitions.xml wird das Problem der doppelten aufgelöst.

Problem 6

Symptom

Beim Zugriff auf eine Ressource, die von UAG veröffentlicht, Fehlermeldung Kunden eine "Unbekannte Fehler beim Verarbeiten des Zertifikats" im Browser. Auch sehen UAG-Administrator in UAG-Server Debugprotokollen die zurückgegebene SEC_I_CONTINUE_NEEDED bei der SSL-Aushandlung "Handshake bestätigen Zustand." Nach diesem Schritt das Debuggen Protokolle zeigt die Seite /InternalSite/InternalError.asp auf dem Client mit Fehlercode 37 zurückgegeben wird. Fehlercode: 37 wird die Fehlermeldung "Unbekannte Fehler beim Verarbeiten des Zertifikats."

Cause

SSL-Mechanismus wird nicht korrekt Handhabung mehrere Szenarien bei SSL-Handshake mit einem Back-End-Server durch UAG veröffentlicht wird. Das streaming SSL erzeugt einen komplizierteren Szenario mit nicht genügend Daten empfangen und Lesen von Informationen während des Handshakes. In diesem Szenario InitializeSecurityKontext meldet, dass zusätzliche Daten übergeben haben, die für die Verwendung in Zukunft gespeichert werden muss (vermutlich nach lesen Sie mehr Daten über das Netzwerk).

Resolution

Handshake-Algorithmus erweitert zusätzliche streaming Fall und Szenarien unterstützen.


Issue 7

Symptom

Der Benutzer erhält Zugriff auf eine veröffentlichte Anwendung HTTPS über UAG Fehlermeldung 37: "Unbekannte Fehler beim Verarbeiten des Zertifikats." Ein Administrator die Debug-Protokollierung (das SSLBOX_BASE Trace schließt) während der Benutzer zugreift sehen die Anwendung die folgende Fehlermeldung angezeigt:
Fehler: Fehler beim Initialisieren des Sicherheitskontexts. Fehler: 0x90320.

Return SEC_INCOMPLETE_CREDENTIALS InitializeSecurityContext-Schannel erfordert Clientzertifikate
Cause

Back-End-Anwendungsserver konfiguriert während der Verhandlungsphase SSL Clientzertifikate verlangen. Vor diesem Update wurde diese Funktion nicht unterstützt. Daher konnte die Aushandlung mit einem Fehler.

Resolution

Es gibt zwei mögliche Szenarios, Back-End-Server Clientzertifikate angefordert werden:
  • Back-End-Anwendungsserver Anfordern eines Clientzertifikats zu einem Zertifikatskontext ist jedoch nicht erforderlich. Für diesen Fall eine alternative UAG Implementierung wiederholen, sodass Verhandlungen nach SEC_INCOMPLETE_CREDENTIALS Rückgabecode empfangen. In der Regel Back-End-Server erfordert das Clientzertifikat und Verhandlungen erfolgreich abgeschlossen.
  • Die Back-End-Anwendung erfordert Clientzertifikatsauthentifizierung. Design ändern, das implementiert wurde nicht zu den Client bereitstellen jedoch passieren Clientzertifikate für einzelne gültiges Clientzertifikat auf dem Back-End-Webserver für alle Benutzer bereitgestellt werden können.

    Für diesen Fall sollten UAG-Administrator ein gültiges Clientzertifikat angeben und auf UAG-Server wie ein Computerzertifikat installieren.
    1. Das Modul UAG SSLBox abzurufen und das richtige Zertifikat soll, gehen Sie folgendermaßen vor:
      1. Führen Sie den Befehl MMC-Verwaltungskonsole öffnen.
      2. Klicken Sie auf Dateiund dann auf Snap-In hinzufügen/entfernen.
      3. Wählen Sie Zertifikate aus, und klicken Sie auf Hinzufügen.
      4. Wählen Sie Computerkonto, und klicken Sie dann auf Fertig stellen.
      5. Öffnen Sie den persönlichen Zertifikatspeicher.
      6. Wählen Sie das erforderliche Client-Authentifizierungszertifikat aus und doppelklicken Sie auf das Zertifikat. Oder mit der rechten Maustaste des Zertifikats, und klicken Sie auf Öffnen.
      7. Wählen Sie im Detailbereich einen Bildlauf nach unten
      8. Wählen Sie Fingerabdruck -Eigenschaft.
      9. Wählen Sie den Eigenschaftswert im Bereich unten, und kopieren Sie den Wert durch Drücken von STRG + C.
      10. Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
        322756 zum Sichern und Wiederherstellen der Registrierung in Windows
        a. Starten Sie a. den Registrierungseditor (Regedt32.exe).

        Suchen Sie und klicken Sie auf den folgenden Schlüssel in der Registrierung:

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie den folgenden Registrierungswert hinzu:
        Wert: ClientCertHash
        Typ: Zeichenfolge
        Wert: {Text kopiert in Schritt 9} [Beispiel: a7 36 4 b ca. 87 3f 10 Ac d5 4 b 0f ca 83 9e 9e 74 c8 3e Anlagen 8]
        d. Beenden Registry Editor.
        e. Führen Sie e. IISReset als Administrator IIS neu starten.
        f. Aktivieren Sie UAG-Konfiguration.
Problem 8

Symptom

In seltenen Fällen Meldung Clientcomputer mit UAG-Clientkomponenten installiert eine "Uagqecsvc" Ereignis-ID 85 Protokoll geschrieben, den Windows-Ereignisprotokollen pro Minute bei diesen Client mit UAG-Server kommuniziert. Obwohl dies ein falscher alarm, füllt diese Ereignisprotokolle Client erschwert für Administratoren und das Helpdesk aus realen Ereignisse in Windows-Ereignisprotokollen der Client erkennen. Diese Nachrichten werden immer auf dem Client jede Minute angezeigt, wenn dieser Clientverbindung zu einem IAG Server.
Ereignis-ID: 85

Quelle: Uagqecsvc

Typ: Fehler

Beschreibung: Die Komponente Microsoft Forefront UAG-Quarantäneerzwingungsclient konnte nicht initialisiert Clientrückruf Durchsetzung HRESULT-Wert werden: 0x8027000E. Dieses Problem kann auftreten, wenn Richtlinien nicht die Komponente aktivieren.

In den Ereignisprotokollen Client kann auch ein anderes Ereignis sein.
Ereignis-ID: 16

Quelle: Uagqecsvc

Protokollname: Anwendung

Beschreibung: Die Komponente Microsoft Forefront UAG-Quarantäneerzwingungsclient kann den Status des Agent (Network Access Protection, NAP) nicht abrufen. Systemfehler 1115: Herunterfahren des Systems ausgeführt wird. (0x45b). wenn der Microsoft Forefront UAG-Quarantäneerzwingungsclient Komponente startet, wird versucht, abfrageeinstellungen der NAP-Agent-Dienst.

Obwohl dieses Problem UAG oder UAG Bereitstellung nicht direkt zusammenhängt, kann mit einigen Deployments Benutzer UAG-Clientkomponenten installiert IAG und UAG-Server zugreifen.

Cause

UAG Clientkomponenten einer Komponente Dienst "Uagqecsvc" mit dem Anzeigenamen der "Microsoft Forefront UAG-Quarantäneerzwingungsclient" welche Abfragen Endpunkt Zustand mithilfe von NAP und meldet den Status der NAP-Modul auf UAG. In seltenen Fällen dieses Problem UAG Deployments sehen wie der Dienst wiederholt erneut versucht, den UAG-Server gebunden. Die Bindung ausgeführt wird mit einer Minute Timeout erst eine Verbindung herstellen können.

Außerdem IAG Service Pack 2 Update 3 ab, wurden die UAG-Clientkomponenten auf IAG portiert. Daher wird der Uagqecsvc-Dienst auch auf Clientcomputern installiert, die Verbindung zu einem Server IAG, die Service Pack 2 Update 3-Clientkomponenten. Da NAP-Endpunkts Erkennung Funktionalität in IAG nicht vorhanden ist, weiterhin der Client mit UAG Komponenten installiert versuchen, jede Minute genannten Protokolls Nachrichten in den Windows-Ereignisprotokollen generiert dabei UAG NAP-Dienst herstellen.

Resolution

In früheren Versionen der Clientkomponenten das Standardtimeout für Wiederholungsversuche mit den UAG NAP-Erkennung Agent auf eine Minute festgelegt wurde, wird er in UAG Update 2 auf eine Stunde geändert. Für Administratoren diesen Wert ändern wird manuell definiert das Timeout auf dem Client bereitgestellt.

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows
Benutzer oder Administratoren können manuell auf jedem Clientcomputer das Timeout in Millisekunden definieren. Gehen Sie hierzu folgendermaßen vor:
  1. Starten Sie Registrierungseditor (Regedt32.exe).
  2. Suchen und klicken Sie dann auf den folgenden Schlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
  3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügenund fügen Sie den folgenden Registrierungswert hinzu:
    Wert: InitRetryTimeout
    Datentyp: REG_DWORD
    Basis: Dezimal
    Wert: (Zeit in Millisekunden 360000 wird standardmäßig dieser Wert muss jedoch
    höheren dann 6000)
  4. Registrierungseditor beenden.
  5. Starten Sie den Computer neu.
Problem 9
Symptom

(UAG Administrator) stehen Ihnen UAG auf einem Server mit einer lokalisierten APAC Sprachversion von Windows 2008 R2 installiert. Beim Erstellen einer Leitung auf UAG eine Fehlermeldung und Stamm erstellen wird angehalten.

Für Beispiel, leere Fenster, unerwartete Fehlermeldungen oder häufige MMC auftreten Abstürze bei eine Leitung UAG erstellen.

Ursache

Dieses Problem tritt aufgrund falscher Manipulationen Systemressourcen. Diese falschen Manipulationen führen zu einem Fehler beim Ausführen von UAG auf einige Sprachversionen nicht westlichen Betriebssysteme (Koreanisch/Japanisch/Chinesisch).

Problemlösung

Der Code, der für den Zugriff auf diese Ressourcen behoben.

Problem 10


Symptom

Endpunkt Sitzung Bereinigung Komponente startet nicht nach einem Neustart eines Endpunkts ausführen. Außerdem öffnet ein Explorer-Fenster, das nach einem Neustart auf Komponenten Ordner verweist.

Ursache

Vor einem Neustart schreibt Endpunkt Sitzung Bereinigung Komponente einen Registrierungswert unter dem Schlüssel "Run". Dieser Registrierungswert kann Windows Endpunkt Sitzung Bereinigung Komponente automatisch nach einem Neustart gestartet. Dieser Pfadwert des Registrierungsschlüssels ist jedoch ein Pfad der ausführbaren Datei, der Leerzeichen enthält. Daher tritt ein Fehler auf.

Problemlösung

Der Pfadwert Anlage Scheibenwischer ausführbaren Datei, die unter dem Schlüssel verweist "Run" geschrieben steht jetzt als eine Zeichenfolge in Anführungszeichen, um Fehler zu vermeiden.

Frage 11


Symptom

Beim Zugriff auf die Sprache Einstellungsoptionen in Exchange Server 2007 Outlook Web Application (OWA), die über UAG veröffentlicht werden, wird die folgende Fehlermeldung an den Client gesendet.

Sie haben versucht, einen eingeschränkten URL zuzugreifen.

Ursache

Dieses Problem tritt auf, da aus Vorlage für Exchange Server 2007 OWA nicht RuleSet-Eintrag für die URL"/owa/languageselection.aspx". UAG RuleSet-Mechanismus erlaubt keinen Zugriff auf URLs, die nicht in der weißen Liste.

Problemlösung

Für Exchange 2007 OWA den Zugriff auf diese Ressource URL veröffentlichen wird eine neue Regel hinzugefügt. In diesem Fall kann die neue Regel "ExchangePub2007_Rule36" auf die URL "/owa/languageselection.aspx".

Ausgabe 12


Symptom

Wenn ein Benutzer versucht, auf einer Website UAG oder Lesezeichen Pfad innerhalb der Anwendung nicht UAG Login Pfad zuzugreifen versucht, wird der Benutzer erhält ein 500 Interner Serverfehler und nicht auf die Website zugreifen.

Hinweis Website UAG ADFS zur Authentifizierung verwendet und direkt eine veröffentlichte Anwendung anfordert.

Ursache

Wenn UAG ADFS zur Authentifizierung verwendet mehrere Umleitung erfolgt zwischen Security Token Service (STS) und der internen UAG-Website konfiguriert ist. Wenn die Redirectes nicht in der erwarteten Weise erfolgen, zurückgegeben UAG Fehler. Wenn ein Benutzer versucht, direkt eine veröffentlichte Ressource der Portalwebsite, ist der Umbuchung Prozess unterbrochen. Daher tritt Interner Serverfehler.

Problemlösung

Dieses Problem ist in diesem Update behoben.

Frage 13

Symptom

Beim Administrator einem ActiveDirectory Typ Authentifizierung Repository konfigurieren, kann nicht der Administrator den Gruppe verschachtelt Wert "Unbegrenzt" festgelegt. Nach UAG-Spezifikation möglich der Wert des Feldes Verschachtelung. Allerdings ist das Feld leer ist, ist die Konfiguration gespeichert und aktiviert der Wert auf "0" unerwartet zurückgesetzt.

Hinweis UAG MMC muss geschlossen und erneut geöffnet, um den Wert "0" angezeigt bekommen. Als UAG-Spezifikation bedeutet, dass keine Verschachteln von Gruppen ist "0". Daher wird der Verschachtelung nicht erwartungsgemäß.

Ursache

Dieses Problem tritt auf, weil der korrekte Wert für Feld Schachtelung in der Konfiguration gespeichert werden kann. Daher kann der korrekte Wert auf GUI und die Authentifizierungsfunktionen angewendet werden.

Problemlösung

Der Wert in der Konfiguration jetzt ordnungsgemäß gespeichert und aktualisiert, wenn die Gruppe Verschachteln von GUI außerdem gelöscht wird, der Wert auf die Authentifizierungsfunktionen ordnungsgemäß angewendet.

Hinweis Microsoft empfiehlt, den Wert der niedrigsten Zahl, die für die Autorisierung in UAG. Sie können den Wert höher als 2 Schachtelungsebenen aufgrund der potenziellen Verzögerung und die erforderlichen Ressourcen fest. Wenn als 2 für eine Bereitstellung erforderlich sind, müssen Sie vor der Bereitstellung des Systems in der Produktion die Auswirkungen testen. In extremen Fällen kann diese Einstellung den UAG-Server und Domänencontroller, die für die Authentifizierung von UAG Absturz wegen hoher ressourcenanforderungen verwendet werden.

Ausgabe 14


Symptom

Beim Netzwerk Connector (NC) Server Configuration Fenster schließen, nachdem Sie NC-Server aktivieren, erhalten Sie folgende Fehlermeldung:

Falsche Parameter Netzwerkanschluss, Unzulässige Segmentadresse

Ursache

SSL-Tunneling Network Service kann verwendet werden, nur, wenn die physische Netzwerkadapter MAC-Adressen, die beginnen mit "00".

Problemlösung

SSL-Tunneling Network Service kann verwendet werden, auch wenn die physischen Netzwerkadapter MAC-Adressen, die beginnen mit "00".

Ausgabe 15


Symptom

UAG wurde nur teilweise Unterstützung für Citrix XenApp 5 veröffentlicht.

Citrix ohne Fehler veröffentlicht werden soll, sind sie verpflichtet, die Schritte in den folgenden Microsoft-Website bereitgestellt werden:

Ursache

Dieses Problem tritt auf, weil die Unterstützung für Citrix unterbrochen wird.

Problemlösung

Dieses Update umfasst nun die Schritten in den Citrix XenApp 5.0 ordnungsgemäß veröffentlicht.

Frage 16


Symptom

-Produkt "Trend Micro OfficeScan Anti-Virus" oder "Trend Micro PC-Cillin Anti-Virus" wird von der Benutzeroberfläche ausgewählt. In diesem Fall erstellen Sie eine Richtlinie und wenden Sie die Richtlinie für eine Anwendung erhalten Sie folgende Fehlermeldung während der Aktivierung:

Quellzeile konnte nicht gefunden werden.

Ursache

Dieses Problem tritt auf, weil der Richtlinie Syntax Überprüfungsalgorithmus Abhängigkeiten vermisst, die diese bestimmten Richtlinien erforderlich sind.

Problemlösung

Faktoren, die diese Richtlinien erforderlich sind Richtlinien Syntax Überprüfungsalgorithmus hinzugefügt, nachdem Sie dieses Update installieren.

Bekannte Probleme

  • Nach der Installation dieses Updates wird SSL-Tunneling Netzwerk Netzwerkadapter im Fenster Netzwerkanschlüsse unsichtbar. Dieses Verhalten ist entwurfsbedingt. Um sicherzustellen, dass der Netzwerkadapter ist installiert öffnen Geräte-Manager und wählen "Ausgeblendete Geräte anzeigen" Eintrag im Menü Ansicht.
  • Manchmal möglicherweise deinstallieren Aktualisierungsvorgang Installationsfehler 1269 oder Fehlermeldung angibt, dass die Datei "FirefrontUAG.msi" gefunden.
    1. Öffnen Sie Startmenü, und geben Sie Alle Dateien und Ordner anzeigen.
    2. Im geöffneten Fenster Erweitert deaktivieren die Option Ausblenden geschützter Systemdateien Vorgang (empfohlen) und klicken Sie auf OK.
    3. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und geben Sie UninstallUagUpdate.
    4. Warten Sie einige Minuten für die Reparatur der Datenbank ist erforderlich.
      Hinweis Sie erhalten eine Nachricht, die Sie über die Notwendigkeit einer Reparatur informiert.

  • Citrix XenApp-Unterstützung ist nur für die Version 5.0. Spätere Versionen werden nicht unterstützt.
  • Diese Version unterstützt nur das Szenario persönlichen Desktop VDI. Zusammengefasste desktop Szenario wird derzeit nicht unterstützt.
  • Socket-Weiterleitung ist auf Windows 7 und Vista 64-Bit-Clients für 32-Bit Applications (WOW64 Applications). Es ist nicht für systemeigene 64-Bit Applications.
  • Publishing OWA für Exchange 2010 Service Pack 1 von UAG erfordert manuelle Bearbeitung einer AppWrap und Modifikationen Regelsätze. UAG Produkt Team Blog http://blogs.technet.com/b/edgeaccessblog/ein Artikel über die dazu erforderlichen Schritte veröffentlicht. In diesem Artikel beschriebenen Schritten werden in einem zukünftigen Update UAG integriert.
  • Microsoft Customer Support Services (CSS) kann nicht unterstützen Kunden verwenden Beta nicht RTM oder nicht-allgemein-verfügbar (GA) wie Internet Explorer 9 Beta. Unterstützung für IE9 und nach IE9 offiziell in einem zukünftigen Update enthalten.

Bekannte Probleme mit Arrays und Netzwerklastenausgleich (Network Load Balancing, NLB)

  • Wenn Sie versuchen, zwei Servern gleichzeitig auf dasselbe Array beitreten, Storage Array möglicherweise beschädigt. In diesem Fall werden wiederherstellen Sie die Einstellungen aus einer Sicherung.
  • Beim Löschen einer IPv6-virtuellen IP-Adresse (VIP) in Forefront UAG-Verwaltungskonsole kann die Adresse nicht vollständig entfernt. Um dieses Problem zu umgehen, löschen Sie Adresse des Netzwerkadapters im Netzwerk- und Freigabecenter und die Forefront UAG-Verwaltungskonsole.
  • Forefront UAG möglicherweise nicht erkennt, dass ein Arraymitglied verwendet NLB integrierten Netzwerkkonnektivität (z. B. einem Internetdienstanbieter Systemausfall) verliert. In diesem Szenario kann Forefront UAG weiterhin Datenverkehr auf dem Server nicht verfügbar. Deaktivieren Sie zur Vermeidung dieses Problems die internen und externen Adapter offline Arraymitglieder. Aktivieren Sie die Adapter erneut, nachdem die Konnektivitätsprobleme behoben werden.
  • Haben Sie Microsoft System Center Operations Manager 2007 in Ihrer Organisation bereitgestellt, können Sie den Status der Array-Element Netzwerkadapter überwachen. Gehen Sie hierzu folgendermaßen vor:
    • Stellen Sie sicher, dass Windows Server und Windows Server 2008-Netzwerklastenausgleich-managementpacks auf jedem Arraymitglied installiert sind.
    • Verwenden Sie Operations Manager 2007 um getrennte Netzwerkadapter auf Arraymitgliedern erkennen.
      Hinweis Operations Manager 2007 meldet Probleme wie folgt:
      • Liegt ein Problem mit der Netzwerkkarte, die mit dem internen Netzwerk verbunden ist, meldet Operations Manager 2007 ohne Takt entdeckt wird.
      • Liegt ein Problem mit der Netzwerkkarte, die mit dem externen Netzwerk verbunden ist, meldet Operations Manager 2007 Windows-NLB-Problem.
  • Erstellung einen Umleitung Stamm für ein HTTPS-Stamm in einem Array, das keinen Lastenausgleich aktiviert müssen Sie die IP-Adressen der Umleitung Stamm für jedes Arraymitglied manuell zuweisen. Dieser Vorgang wird im folgenden Artikel beschrieben: