Συμπτώματα
Εξετάστε το ακόλουθο σενάριο:
-
Προσπαθείτε να αποκτήσετε πρόσβαση σε μια τοποθεσία Web Secure Sockets Layer (SSL) μέσω Microsoft Forefront απειλή διαχείρισης πύλη 2010.
-
Η τοποθεσία Web χρησιμοποιεί ένδειξη όνομα διακομιστή (SNI) για να προσδιορίσετε ποια πιστοποιητικό για την εξυπηρέτηση.
-
Είναι ενεργοποιημένη η επιθεώρηση HTTPS πύλη διαχείρισης απειλή.
-
Ο διακομιστής πύλης διαχείρισης απειλή χρησιμοποιεί web αλυσιδωτή σύνδεση για την αποστολή εξερχόμενων αιτήσεων web σε ένα διακομιστή μεσολάβησης με ανιούσα πλευρά.
-
Το σύνολο παραμέτρων προμηθευτή το HTTPSiDontUseOldClientProtocols είναι ενεργοποιημένη (ανά KB 2545464).
Σε αυτό το σενάριο, δεν έχετε πρόσβαση στην τοποθεσία Web.
Αιτία
Αυτό το ζήτημα παρουσιάζεται επειδή η πύλη διαχείρισης απειλή δημιουργεί μια εσφαλμένη κεφαλίδα SNI που προκαλεί σφάλματα σύνδεσης ή σφάλματα του διακομιστή web.
Προτεινόμενη αντιμετώπιση
Για να επιλύσετε αυτό το ζήτημα, εφαρμόστε αυτήν την επείγουσα επιδιόρθωση σε όλα τα μέλη πίνακα πύλη διαχείρισης απειλή. Αυτή η επείγουσα επιδιόρθωση δεν είναι ενεργοποιημένη από προεπιλογή. Μετά την εγκατάσταση αυτής της επείγουσας επιδιόρθωσης, πρέπει να ακολουθήσετε αυτά τα βήματα για να ενεργοποιήσετε την ενημέρωση κώδικα:
-
Αντιγράψτε την παρακάτω δέσμη ενεργειών σε ένα πρόγραμμα επεξεργασίας κειμένου όπως το Σημειωματάριο (Notepad) και, στη συνέχεια, να το αποθηκεύσετε ως UseOriginalHostNameInSslContex.vbs:
'' Copyright (c) Microsoft Corporation. All rights reserved.
' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
' HEREBY PERMITTED.
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
Const SE_VPS_VALUE = TRUE
Sub SetValue()
' Create the root object.
Dim root
' The FPCLib.FPC root object
Set root = CreateObject("FPC.Root")
'Declare the other objects that are needed.
Dim array ' An FPCArray object
Dim VendorSets
' An FPCVendorParametersSets collection
Dim VendorSet
' An FPCVendorParametersSet object
Set array = root.GetContainingArray
Set VendorSets = array.VendorParametersSets
On Error Resume Next
Set VendorSet = VendorSets.Item( SE_VPS_GUID )
If Err.Number <> 0 Then
Err.Clear ' Add the item.
Set VendorSet = VendorSets.Add( SE_VPS_GUID )
CheckError
WScript.Echo "New VendorSet added... " & VendorSet.Name
Else
WScript.Echo "Existing VendorSet found... value: " & VendorSet.Value(SE_VPS_NAME)
End If
if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
Err.Clear
VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
If Err.Number <> 0 Then
CheckError
Else
VendorSets.Save false, true
CheckError
If Err.Number = 0 Then
WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
End If
End If
Else
WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
End If
End Sub
Sub CheckError()
If Err.Number <> 0 Then
WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
Err.Clear
End If
End Sub
SetValue -
Αντιγράψτε το αρχείο δέσμης ενεργειών σε ένα μέλος της πύλης διαχείρισης απειλή πίνακα και, στη συνέχεια, κάντε διπλό κλικ στο αρχείο για να εκτελέσετε τη δέσμη ενεργειών.
Για να επαναφέρετε την προεπιλεγμένη συμπεριφορά, ακολουθήστε τα εξής βήματα:
-
Εντοπίστε την ακόλουθη γραμμή στη δέσμη ενεργειών:
Const SE_VPS_VALUE = true
-
Αλλάξτε αυτήν τη γραμμή με το εξής:
Const SE_VPS_VALUE = false
-
Εκτελέστε ξανά τη δέσμη ενεργειών σε ένα από τα μέλη του πίνακα πύλη διαχείρισης απειλή.
Πληροφορίες άμεσης επιδιόρθωσης
Μια υποστηριζόμενη επείγουσα επιδιόρθωση είναι διαθέσιμη από την υπηρεσία υποστήριξης της Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του προβλήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν το πρόβλημα που περιγράφεται σε αυτό το άρθρο. Αυτή η άμεση επιδιόρθωση ενδέχεται να υποβληθεί σε πρόσθετο έλεγχο. Επομένως, εάν αυτό το ζήτημα δεν σας επηρεάζει ιδιαίτερα, σας συνιστούμε να περιμένετε έως την επόμενη ενημέρωση λογισμικού που περιέχει αυτήν την άμεση επιδιόρθωση.
Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, τότε υπάρχει μια ενότητα με τίτλο "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή αυτού του άρθρου της Γνωσιακής βάσης. Εάν αυτή η ενότητα δεν εμφανίζεται, επικοινωνήστε με την Υπηρεσία εξυπηρέτησης πελατών και υποστήριξης της Microsoft για να αποκτήσετε την άμεση επιδιόρθωση.
Σημείωση Εάν προκύψουν πρόσθετα ζητήματα ή απαιτείται αντιμετώπιση προβλημάτων, ίσως χρειαστεί να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, ισχύουν οι συνηθισμένες χρεώσεις υποστήριξης. Για την πλήρη λίστα αριθμών τηλεφώνου υποστήριξης και εξυπηρέτησης πελατών της Microsoft ή για να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://support.microsoft.com/contactus/?ws=supportΣημείωση Η φόρμα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" εμφανίζει τις γλώσσες για τις οποίες είναι διαθέσιμη η άμεση επιδιόρθωση. Εάν η γλώσσα σας δεν εμφανίζεται, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη για αυτήν τη γλώσσα.
Προϋποθέσεις
Πρέπει να έχετε το Service Pack 2 για το Microsoft Forefront απειλή διαχείρισης πύλη 2010 για να εφαρμόσετε αυτήν την επείγουσα επιδιόρθωση.
Πληροφορίες επανεκκίνησης
Ίσως χρειαστεί να κάνετε επανεκκίνηση του υπολογιστή μετά την εφαρμογή αυτής της επείγουσας επιδιόρθωσης, τη συλλογή ενημερωμένων εκδόσεων.
Πληροφορίες αντικατάστασης
Αυτή η συλλογή ενημερωμένων εκδόσεων η επείγουσα επιδιόρθωση δεν αντικαθιστά μια επείγουσα, τη συλλογή ενημερωμένων εκδόσεων.
Η αγγλική έκδοση αυτής της άμεσης επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, μετατρέπεται σε τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα Zώνη ώρας στο στοιχείο Hμερομηνία και ώρα " στον πίνακα ελέγχου.
Όνομα αρχείου |
Έκδοση αρχείου |
Μέγεθος αρχείου |
Ημ/νία |
Ώρα |
Πλατφόρμα |
---|---|---|---|---|---|
Authdflt.dll |
7.0.9193.650 |
252,768 |
22-Apr-15 |
9:46 |
x64 |
Comphp.dll |
7.0.9193.650 |
257,912 |
22-Apr-15 |
9:46 |
x64 |
Complp.dll |
7.0.9193.650 |
108,032 |
22-Apr-15 |
9:46 |
x64 |
Cookieauthfilter.dll |
7.0.9193.650 |
682,760 |
22-Apr-15 |
9:46 |
x64 |
Dailysum.exe |
7.0.9193.650 |
186,288 |
22-Apr-15 |
9:46 |
x64 |
Diffserv.dll |
7.0.9193.650 |
162,616 |
22-Apr-15 |
9:46 |
x64 |
Diffservadmin.dll |
7.0.9193.650 |
310,400 |
22-Apr-15 |
9:46 |
x64 |
Empfilter.dll |
7.0.9193.650 |
711,088 |
22-Apr-15 |
9:46 |
x64 |
Empscan.dll |
7.0.9193.650 |
267,664 |
22-Apr-15 |
9:46 |
x64 |
Gwpafltr.dll |
7.0.9193.650 |
191,456 |
22-Apr-15 |
9:46 |
x64 |
Httpadmin.dll |
7.0.9193.650 |
242,944 |
22-Apr-15 |
9:46 |
x64 |
Httpfilter.dll |
7.0.9193.650 |
251,208 |
22-Apr-15 |
9:46 |
x64 |
Isarepgen.exe |
7.0.9193.650 |
79,704 |
22-Apr-15 |
9:46 |
x64 |
Ldapfilter.dll |
7.0.9193.650 |
189,896 |
22-Apr-15 |
9:46 |
x64 |
Linktranslation.dll |
7.0.9193.650 |
418,592 |
22-Apr-15 |
9:46 |
x64 |
Managedapi.dll |
7.0.9193.650 |
80,752 |
22-Apr-15 |
9:46 |
x64 |
Microsoft.isa.reportingservices.dll |
7.0.9193.650 |
876,328 |
22-Apr-15 |
9:46 |
x64 |
Microsoft.isa.rpc.managedrpcserver.dll |
7.0.9193.650 |
172,440 |
22-Apr-15 |
9:46 |
x64 |
Microsoft.isa.rpc.rwsapi.dll |
7.0.9193.650 |
136,920 |
22-Apr-15 |
9:46 |
x64 |
Mpclient.dll |
7.0.9193.650 |
128,632 |
22-Apr-15 |
9:46 |
x64 |
Msfpc.dll |
7.0.9193.650 |
1,079,304 |
22-Apr-15 |
9:46 |
x64 |
Msfpccom.dll |
7.0.9193.650 |
13,446,024 |
22-Apr-15 |
9:46 |
x64 |
Msfpcmix.dll |
7.0.9193.650 |
569,448 |
22-Apr-15 |
9:46 |
x64 |
Msfpcsec.dll |
7.0.9193.650 |
386,656 |
22-Apr-15 |
9:46 |
x64 |
Msfpcsnp.dll |
7.0.9193.650 |
17,112,848 |
22-Apr-15 |
9:46 |
x64 |
Mspadmin.exe |
7.0.9193.650 |
1,121,552 |
22-Apr-15 |
9:46 |
x64 |
Mspapi.dll |
7.0.9193.650 |
130,680 |
22-Apr-15 |
9:46 |
x64 |
Msphlpr.dll |
7.0.9193.650 |
1,279,136 |
22-Apr-15 |
9:46 |
x64 |
Mspmon.dll |
7.0.9193.650 |
150,232 |
22-Apr-15 |
9:46 |
x64 |
Mspsec.dll |
7.0.9193.650 |
84,872 |
22-Apr-15 |
9:46 |
x64 |
Pcsqmconfig.com.xml |
Δεν ισχύει |
137,103 |
13-Feb-12 |
20:24 |
Δεν ισχύει |
Preapi.dll |
7.0.9193.650 |
21,536 |
22-Apr-15 |
9:46 |
x64 |
Radiusauth.dll |
7.0.9193.650 |
138,408 |
22-Apr-15 |
9:46 |
x64 |
Ratlib.dll |
7.0.9193.650 |
148,184 |
22-Apr-15 |
9:46 |
x64 |
Reportadapter.dll |
7.0.9193.650 |
723,888 |
22-Apr-15 |
9:46 |
x86 |
Reportdatacollector.dll |
7.0.9193.650 |
1,127,648 |
22-Apr-15 |
9:46 |
x86 |
Softblockfltr.dll |
7.0.9193.650 |
143,552 |
22-Apr-15 |
9:46 |
x64 |
Updateagent.exe |
7.0.9193.650 |
211,520 |
22-Apr-15 |
9:46 |
x64 |
W3filter.dll |
7.0.9193.650 |
1,409,416 |
22-Apr-15 |
9:46 |
x64 |
W3papi.dll |
7.0.9193.650 |
21,024 |
22-Apr-15 |
9:46 |
x64 |
W3pinet.dll |
7.0.9193.650 |
35,432 |
22-Apr-15 |
9:46 |
x64 |
W3prefch.exe |
7.0.9193.650 |
341,312 |
22-Apr-15 |
9:46 |
x64 |
Webobjectsfltr.dll |
7.0.9193.650 |
170,320 |
22-Apr-15 |
9:46 |
x64 |
Weng.sys |
7.0.9193.572 |
845,440 |
12-Dec-12 |
21:31 |
x64 |
Wengnotify.dll |
7.0.9193.572 |
154,280 |
12-Dec-12 |
21:31 |
x64 |
Wploadbalancer.dll |
7.0.9193.650 |
203,840 |
22-Apr-15 |
9:46 |
x64 |
Wspapi.dll |
7.0.9193.650 |
49,840 |
22-Apr-15 |
9:46 |
x64 |
Wspperf.dll |
7.0.9193.650 |
131,192 |
22-Apr-15 |
9:46 |
x64 |
Wspsrv.exe |
7.0.9193.650 |
2,464,136 |
22-Apr-15 |
9:46 |
x64 |
Περισσότερες πληροφορίες
SNI είναι γίνεται μια δυνατότητα SSL Transport Layer Security (TLS) που επιτρέπει σε έναν υπολογιστή-πελάτη για να στείλετε μια κεφαλίδα στο μήνυμα "Hello" υπολογιστή-πελάτη SSL που υποδεικνύει που πλήρως προσδιορισμένο όνομα τομέα (FQDN). Αυτή η ενέργεια επιτρέπει σε ένα διακομιστή για να προσδιορίσετε την οποία το πιστοποιητικό για να αποστείλετε στον υπολογιστή-πελάτη που βασίζεται στην επικεφαλίδα SNI.
Όταν είναι ενεργοποιημένη η επιθεώρηση SSL πύλη διαχείρισης απειλή, πύλη διαχείρισης απειλή χειρίζεται τη διαπραγμάτευση SSL στο διακομιστή web προορισμού και προσδιορίζεται ως ο υπολογιστής-πελάτης από τη διαπραγμάτευση SSL του διακομιστή web.
Πύλη διαχείρισης απειλή δημιουργεί εσφαλμένα την κεφαλίδα SNI, χρησιμοποιώντας το όνομα από τον ανιόντα διακομιστή και δεν το προορισμού όνομα διακομιστή web, εάν ισχύουν οι ακόλουθες συνθήκες:
-
Πύλη διαχείρισης απειλή είναι ένας διακομιστής μεσολάβησης κατάντη.
-
Πύλη διαχείρισης απειλή αλυσίδες εξερχόμενες αιτήσεις με ανιόντα διακομιστή πύλης διαχείρισης απειλή.
-
Το σύνολο παραμέτρων προμηθευτή το HTTPSiDontUseOldClientProtocols είναι ενεργοποιημένη ανά KB 2545464.
Αυτό μπορεί να προκαλέσει σφάλματα σύνδεσης ή σφάλματα του διακομιστή web, ανάλογα με το πώς ο διακομιστής web αντιδρά στην εσφαλμένη κεφαλίδα SNI.