ΕΠΙΔΙΌΡΘΩΣΗ: Ένα πρόγραμμα-πελάτη μεσολάβησης του nonweb σε ένα περιβάλλον Forefront απειλή διαχείρισης πύλη (TMG) 2010 δεν μπορεί να ανοίξει ορισμένες τοποθεσίες Web εξισορρόπησης φόρτου, όταν είναι ενεργοποιημένη η επιθεώρηση TMG HTTPS

Συμπτώματα

Εξετάστε το ακόλουθο σενάριο:

• Μπορείτε να χρησιμοποιήσετε ένα πρόγραμμα-πελάτη που δεν είναι ένα πρόγραμμα-πελάτη web proxy όπως ένα πρόγραμμα-πελάτης τείχους προστασίας ή ενός προγράμματος-πελάτη SecureNAT στο εταιρικό σας δίκτυο.

• Ο υπολογιστής-πελάτης προσπαθεί να συνδεθεί σε μια τοποθεσία Web HTTPS μέσω ενός διακομιστή που εκτελεί το Microsoft Forefront απειλή διαχείρισης πύλη (TMG) 2010. Για παράδειγμα, ο υπολογιστής-πελάτης προσπαθεί να συνδεθεί με https://contoso.com.

• Επιθεώρηση HTTPS είναι ενεργοποιημένη στο διακομιστή που εκτελεί TMG 2010.

• Η τοποθεσία Web HTTPS χρησιμοποιεί ειδικό βασίζεται σε σύστημα ονομάτων τομέα DNS εξισορρόπηση φόρτου αλγόριθμο στην οποία ο υπεύθυνος διακομιστής DNS επιστρέφει εναλλασσόμενων διεύθυνση IP που έχει χαμηλή τιμή "Time to Live". Σε αυτήν την περίπτωση διαδοχικών ερωτημάτων για την τοποθεσία Web (contoso.com) έχει ως αποτέλεσμα διαφορετικές διευθύνσεις IP.

Αυτό το σενάριο, ο υπολογιστής-πελάτης ενδέχεται να μην μπορείτε να περιηγηθείτε στην τοποθεσία Web. Επιπλέον, τα ακόλουθα ενδέχεται να καταγραφεί στο αρχείο καταγραφής εφαρμογής του διακομιστή που εκτελεί TMG 2010:

Κατάσταση 12227 το όνομα του πιστοποιητικού διακομιστή SSL που παρέχεται από ένα διακομιστή προορισμού δεν ταιριάζει με το όνομα του κεντρικού υπολογιστή που ζητήθηκε.

Αιτία

Αυτό το ζήτημα παρουσιάζεται εξαιτίας τον ειδικό βασίζεται στο DNS εξισορρόπηση φόρτου αλγόριθμο.

Όταν ένα πρόγραμμα-πελάτη μεσολάβησης του nonweb ανοίξει μια τοποθεσία Web, όπως https://contoso.com, ο υπολογιστής-πελάτης επιλύει το ίδιο το όνομα και προσπαθεί να δημιουργήσει μια σύνδεση Secure Sockets Layer (SSL) με τη διεύθυνση IP προορισμού, όπως, για παράδειγμα, IP-1.

Όταν είναι ενεργοποιημένη η επιθεώρηση HTTPS, TMG 2010 δημιουργεί μια σύνδεση για λογαριασμό του προγράμματος-πελάτη και προσπαθεί να επικυρώσει το πιστοποιητικό του διακομιστή πριν από την ενεργοποίηση της σύνδεσης του υπολογιστή-πελάτη. Ένας από τους πολλούς ελέγχους που εκτελούνται (για παράδειγμα, την ισχύ και την ανάκληση) επιβεβαιώνει ότι η σωστή τοποθεσία Web που συνδέεται.

Η επαλήθευση πραγματοποιείται ως εξής:

1. TMG 2010 διαβάζει τα πεδία Ονόματος θέματος και Εναλλακτικού ονόματος θέματος του πιστοποιητικού ανακτημένα, όπως Contoso.com σε αυτήν την περίπτωση.

2. TMG 2010 προσπαθεί να αναλύσει το πιστοποιητικό χρησιμοποιώντας DNS.

3. TMG 2010 ελέγχει αν το αποτέλεσμα που ταιριάζει με τη διεύθυνση προορισμού IP που χρησιμοποιείται στον υπολογιστή-πελάτη, όταν πραγματοποιήθηκε η σύνδεση.

Λόγω πώς εξισορρόπησης φόρτου έχει επιλυθεί για την τοποθεσία Web, ανάλυση ονομάτων στο TMG 2010 παράγει μια διαφορετική διεύθυνση IP, IP-2. Επομένως, επειδή οι δύο διευθύνσεις IP δεν είναι το ίδιο (IP-1 σε σχέση με τις IP-2), TMG 2010 αρνείται τη σύνδεση.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, εγκαταστήστε το πακέτο επείγουσας επιδιόρθωσης που περιγράφεται στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

2735208 ενημερώσεων 3 για το Forefront απειλή διαχείρισης πύλη (TMG) 2010 Service Pack 2Σημείωση Μετά την εγκατάσταση αυτής της ενημέρωσης κώδικα, μπορείτε να ρυθμίσετε μια εξαίρεση Ορισμός ονόματος τομέα για την επικύρωση διευθύνσεων IP επιθεώρηση HTTPS. Αυτά είναι τα ονόματα τομέων για τους οποίους αποκρύπτεται το τμήμα της επικύρωσης διεύθυνσης η επιθεώρηση HTTPS. Ωστόσο, εξακολουθούν να εκτελούνται άλλα βήματα επικύρωσης.

Η ακόλουθη δέσμη ενεργειών ρυθμίζει τις παραμέτρους του αποκλεισμού τομέα όνομα ορίστηκε να είναι αυτό που ονομάζεται στην αρχή της δέσμης ενεργειών. Η δέσμη ενεργειών δημιουργεί επίσης τον αποκλεισμό, ορίστε το όνομα τομέα, εάν δεν υπάρχει ήδη. Χρησιμοποιώντας τα εργαλεία διαχείρισης του TMG τακτικές όπως την Κονσόλα διαχείρισης και δέσμες ενεργειών, ο διαχειριστής να συμπληρώσετε τη μεταβλητή DomainNameSet ανάλογα με την περίπτωση.

' The domain name set for the exclusion listconst strDomainNameSetName = _
    "HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"


Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002

Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
                    objArray.RuleElements.DomainNameSets, _
                    strDomainNameSetName, _
                    strDomainNameSetDescription _
                    )
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save

function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
    On Error Resume Next
    Set objDNSet = objDNSets.Item(strDNSetName)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set objDNSet = objDNSets.Add(strDNSetName)
        objDNSet.Description = strDNSetDescription
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
    End If

    Set OpenDNSet = objDNSet
end function

function OpenVPSet(objParent, strVpsGUID)
    Set objVPSets = objParent.VendorParametersSets
    On Error Resume Next
    Set OpenVPSet = objVPSets.Item(strVpsGUID)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set OpenVPSet = objVPSets.Add(strVpsGUID)
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
     End If
end function

Εναλλακτικός τρόπος αντιμετώπισης

Για να επιλύσετε αυτό το ζήτημα, ρυθμίστε τις παραμέτρους του υπολογιστή-πελάτη να ενεργεί ως ένα πρόγραμμα-πελάτη διακομιστή μεσολάβησης web. Στην περίπτωση αυτή, η ανάλυση ονομάτων παρουσιάζεται μόνο στο διακομιστή TMG. Ή, εξαιρέσει του υπολογιστή-πελάτη που έχει επηρεαστεί από επιθεώρηση HTTPS ή εξαίρεση στην τοποθεσία Web προορισμού προβληματικά, όπως περιγράφεται από την ακόλουθη τοποθεσία της Microsoft TechNet στο Web:

Εξαιρουμένων των πηγών και τους προορισμούς από επιθεώρηση HTTPS

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα των προϊόντων της Microsoft που παρατίθενται στην ενότητα "Ισχύει για".

Αναφορές

Για περισσότερες πληροφορίες σχετικά με την ορολογία των ενημερώσεων λογισμικού, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο στη Γνωσιακή Βάση της Microsoft:

824684 περιγραφή της βασικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερωμένων εκδόσεων λογισμικού της Microsoft