Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Problembeschreibung

Betrachten Sie das folgende Szenario:

  • Sie versuchen, Microsoft Forefront Threat Management Gateway 2010 eine Secure Sockets Layer (SSL)-Website zugreifen.

  • Die Website verwendet Server Name Angabe (SNI) bestimmen, welche Zertifikate dienen.

  • Threat Management Gateway HTTPS-Überprüfung ist aktiviert.

  • Der Threat Management Gateway Server verwendet zum Senden von ausgehenden Webanfragen an einen Upstreamproxyserver Verkettung Web.

  • Der Parametersatz HTTPSiDontUseOldClientProtocols Hersteller ist (pro KB 2545464) aktiviert.

In diesem Szenario können Sie die Website nicht zugreifen.

Ursache

Dieses Problem tritt auf, weil Threat Management Gateway einen falschen SNI-Header erstellt, der Konnektivität oder Web-Server-Fehler verursacht.

Problemlösung

Zum Beheben dieses Problems wenden Sie diesen Hotfix auf allen Arraymitgliedern Threat Management Gateway. Dieser Hotfix ist nicht standardmäßig aktiviert. Nachdem Sie diesen Hotfix installieren, befolgen Sie diese Schritte, um das Update zu aktivieren:

  1. Kopieren Sie das folgende Skript in einen Texteditor wie Notepad, und speichern Sie sie als UseOriginalHostNameInSslContex.vbs:

    '' Copyright (c) Microsoft Corporation. All rights reserved.
    ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
    ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
    ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
    ' HEREBY PERMITTED.
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
    Const SE_VPS_VALUE = TRUE
    Sub SetValue()
        ' Create the root object.
        Dim root
        ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
        'Declare the other objects that are needed.
        Dim array       ' An FPCArray object
        Dim VendorSets
        ' An FPCVendorParametersSets collection
        Dim VendorSet
        ' An FPCVendorParametersSet object
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
        If Err.Number <> 0 Then
            Err.Clear        ' Add the item.
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
        Else
            WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
        End If
        if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    End Sub
    Sub CheckError()
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    End Sub
    SetValue

  2. Kopieren Sie die Skriptdatei auf einem Arraymitglied Threat Management Gateway, und doppelklicken Sie auf die Datei, um das Skript auszuführen.

Um das Standardverhalten wiederherzustellen, gehen Sie folgendermaßen vor:

  1. Suchen Sie die folgende Zeile des Skripts:

    Const SE_VPS_VALUE = true

  2. Ändern Sie diese Zeile wie folgt:

    Const SE_VPS_VALUE = false

  3. Das Skript auf den Arraymitgliedern Threat Management Gateway erneut ausführen.

Hotfix-Informationen

Ein unterstützter Hotfix steht von Microsoft Support zur Verfügung Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern von Microsoft Customer Service and Support oder für Erstellung eine separate Serviceanfrage, fahren Sie auf der folgenden Microsoft-Website fort:

http://support.microsoft.com/contactus/?ws=supportHinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Sie müssen Service Pack 2 für Microsoft Forefront Threat Management Gateway 2010 installiert, um diesen Hotfix anwenden.

Informationen zum Neustart

Möglicherweise den Computer neu starten, nachdem Sie diesen Hotfix-Rollup anwenden.

Ersetzte

Dieses Hotfix-Rollup ersetzt keinen zuvor veröffentlichten Hotfixrollup.

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, werden sie in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.

Dateiname

Dateiversion

Dateigröße

Datum

Zeit

Plattform

Authdflt.dll

7.0.9193.650

252,768

22-Apr-15

9:46

x64

Comphp.dll

7.0.9193.650

257,912

22-Apr-15

9:46

x64

Complp.dll

7.0.9193.650

108,032

22-Apr-15

9:46

x64

Cookieauthfilter.dll

7.0.9193.650

682,760

22-Apr-15

9:46

x64

Dailysum.exe

7.0.9193.650

186,288

22-Apr-15

9:46

x64

Diffserv.dll

7.0.9193.650

162,616

22-Apr-15

9:46

x64

Diffservadmin.dll

7.0.9193.650

310,400

22-Apr-15

9:46

x64

Empfilter.dll

7.0.9193.650

711,088

22-Apr-15

9:46

x64

Empscan.dll

7.0.9193.650

267,664

22-Apr-15

9:46

x64

Gwpafltr.dll

7.0.9193.650

191,456

22-Apr-15

9:46

x64

Httpadmin.dll

7.0.9193.650

242,944

22-Apr-15

9:46

x64

Httpfilter.dll

7.0.9193.650

251,208

22-Apr-15

9:46

x64

Isarepgen.exe

7.0.9193.650

79,704

22-Apr-15

9:46

x64

Ldapfilter.dll

7.0.9193.650

189,896

22-Apr-15

9:46

x64

Linktranslation.dll

7.0.9193.650

418,592

22-Apr-15

9:46

x64

Managedapi.dll

7.0.9193.650

80,752

22-Apr-15

9:46

x64

Microsoft.isa.reportingservices.dll

7.0.9193.650

876,328

22-Apr-15

9:46

x64

Microsoft.isa.rpc.managedrpcserver.dll

7.0.9193.650

172,440

22-Apr-15

9:46

x64

Microsoft.isa.rpc.rwsapi.dll

7.0.9193.650

136,920

22-Apr-15

9:46

x64

Mpclient.dll

7.0.9193.650

128,632

22-Apr-15

9:46

x64

Msfpc.dll

7.0.9193.650

1,079,304

22-Apr-15

9:46

x64

Msfpccom.dll

7.0.9193.650

13,446,024

22-Apr-15

9:46

x64

Msfpcmix.dll

7.0.9193.650

569,448

22-Apr-15

9:46

x64

Msfpcsec.dll

7.0.9193.650

386,656

22-Apr-15

9:46

x64

Msfpcsnp.dll

7.0.9193.650

17,112,848

22-Apr-15

9:46

x64

Mspadmin.exe

7.0.9193.650

1,121,552

22-Apr-15

9:46

x64

Mspapi.dll

7.0.9193.650

130,680

22-Apr-15

9:46

x64

Msphlpr.dll

7.0.9193.650

1,279,136

22-Apr-15

9:46

x64

Mspmon.dll

7.0.9193.650

150,232

22-Apr-15

9:46

x64

Mspsec.dll

7.0.9193.650

84,872

22-Apr-15

9:46

x64

Pcsqmconfig.com.xml

Nicht zutreffend

137,103

13-Feb-12

20:24

Nicht zutreffend

Preapi.dll

7.0.9193.650

21,536

22-Apr-15

9:46

x64

Radiusauth.dll

7.0.9193.650

138,408

22-Apr-15

9:46

x64

Ratlib.dll

7.0.9193.650

148,184

22-Apr-15

9:46

x64

Reportadapter.dll

7.0.9193.650

723,888

22-Apr-15

9:46

x86

Reportdatacollector.dll

7.0.9193.650

1,127,648

22-Apr-15

9:46

x86

Softblockfltr.dll

7.0.9193.650

143,552

22-Apr-15

9:46

x64

Updateagent.exe

7.0.9193.650

211,520

22-Apr-15

9:46

x64

W3filter.dll

7.0.9193.650

1,409,416

22-Apr-15

9:46

x64

W3papi.dll

7.0.9193.650

21,024

22-Apr-15

9:46

x64

W3pinet.dll

7.0.9193.650

35,432

22-Apr-15

9:46

x64

W3prefch.exe

7.0.9193.650

341,312

22-Apr-15

9:46

x64

Webobjectsfltr.dll

7.0.9193.650

170,320

22-Apr-15

9:46

x64

Weng.sys

7.0.9193.572

845,440

12-Dec-12

21:31

x64

Wengnotify.dll

7.0.9193.572

154,280

12-Dec-12

21:31

x64

Wploadbalancer.dll

7.0.9193.650

203,840

22-Apr-15

9:46

x64

Wspapi.dll

7.0.9193.650

49,840

22-Apr-15

9:46

x64

Wspperf.dll

7.0.9193.650

131,192

22-Apr-15

9:46

x64

Wspsrv.exe

7.0.9193.650

2,464,136

22-Apr-15

9:46

x64



Weitere Informationen

SNI ist eine SSL Transport Layer Security (TLS)-Funktion, die ermöglicht einen Client sendet eine Kopfzeile in der Nachricht SSL Client "Hello", die vollständig gibt an qualifizierte Domänennamen (FQDN) zugegriffen wird. Diese Aktion ermöglicht es einem Server bestimmen, welches Zertifikat zum Senden an den Client auf die SNI.

Bei aktiviertem Threat Management Gateway SSL-Überprüfung Threat Management Gateway die SSL-Aushandlung der Ziel-Webserver verarbeitet und als Client vom Webserver SSL-Aushandlung.

Threat Management Gateway erstellt SNI-Header falsch anhand der Upstreamserver und nicht Ziel der Name des Webservers, wenn Folgendes zutrifft:

  • Threat Management Gateway ist eine nachgeschaltete Proxyserver.

  • Threat Management Gateway Ketten ausgehende Anfragen zu einem Upstreamserver Threat Management Gateway.

  • Der Parametersatz HTTPSiDontUseOldClientProtocols Kreditor ist pro KB 2545464aktiviert.

Dadurch Konnektivität oder Web Serverfehler je nach falsche SNI-Header wie der Webserver reagiert.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×