Ein IPSec-VPN-Standort-zu-Standort-Tunnel oder ein PPTP-VPN-Standort-zu-Standort-Tunnel funktioniert nicht, wenn Sie den integrierten NLB in einem Forefront TMG 2010-Array aktivieren

Gilt für: Forefront Threat Management Gateway 2010 EnterpriseForefront Threat Management Gateway 2010 Standard

Problembeschreibung


Stellen Sie sich folgendes Szenario vor:
  • Sie konfigurieren einen IPSec-VPN-Standort-zu-Standort-Tunnel (Internet Protocol Security) oder eine PPTP-VPN-Standort-zu-Standort-VPN-Verbindung zwischen einer Microsoft Forefront Threat Management Gateway (TMG) 2010-Arraybereitstellung mit mehreren Mitgliedern und einer anderen Website. Und Sie können erfolgreich auf Ressourcen über den Tunnel zugreifen.
  • Sie aktivieren den integrierten Netzwerklastenausgleich (Network Load Balancing, NLB) im TMG 2010-Array.
  • Sie versuchen, auf Ressourcen auf einer anderen Website zuzugreifen.
In diesem Szenario funktioniert der IPSec-Tunnel nicht, und Sie können nicht auf die Ressourcen auf beiden Seiten des Tunnels zugreifen.Hinweis Der Umfang dieses Problems ist tatsächlich größer als IPSec-Standort-zu-Standort-VPN. Das hier beschriebene Problem kann in allen arraybasierten TMG 2010-Bereitstellungen auftreten, für die integrierter NLB aktiviert ist, wenn NLB-WMI-Ereignisse wie Knoten Konvergenz ausgelöst werden. Ein Standort-zu-Standort-VPN, auf dem NLB aktiviert ist, ist das am besten sichtbare Beispiel.

Ursache


Dieses Problem tritt auf, weil TMG 2010 falsche DACLs (Discretionary Access Control Lists) für die com-Dienste definiert, die von TMG 2010 verfügbar gemacht werden. Diese DACLs verhindern, dass NLB-WMI-Ereignisbenachrichtigungen von TMG-Diensten akzeptiert werden. Daher wird der interne NLB-Status von TMG nicht aktualisiert, und unter Komponenten, die vom NLB-Zustand abhängen, wie etwa IPSec-Filterdefinitionen, werden nicht ordnungsgemäß initialisiert.

Fehlerbehebung


Service Pack-Informationen

Dieses Problem wurde in Forefront TMG 2010 Service Pack 1 behoben.Weitere Informationen dazu, wie Sie Forefront TMG 2010 Service Pack 1 erhalten, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
981324 Liste der Probleme, die in Forefront Threat Management Gateway 2010 Service Pack 1 behoben wurden

Informationen zum Update

Gehen Sie wie folgt vor, um das Problem zu beheben:
  1. Anwenden des Updates für Forefront TMG 2010, das im Microsoft Download Center zur Verfügung steht: Download laden Sie jetzt das Update für das Forefront TMG 2010 (KB 980674)-Paket herunter. Wenn Sie weitere Informationen zum Herunterladen von Microsoft-Supportdateien erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    119591 So erhalten Sie Microsoft Support-Dateien im Internet
    Microsoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.
  2. Starten Sie den Computer neu, auf dem Forefront TMG 2010 ausgeführt wird.

Status


Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.Dieses Problem wurde zuerst in Forefront TMG 2010 Service Pack 1 behoben.