Descripción de la actualización 2 para puerta de enlace de acceso unificada 2010


Resumen


Estas notas de la versión más reciente de dirección los problemas que se relacionan a Microsoft Forefront Unified Access Gateway (UAG) 2010. Antes de instalar Forefront Unified Access Gateway (UAG), debe leer la información contenida en este documento. Este artículo contiene la siguiente información acerca de esta actualización:
  • Nuevas características y mejoras que se incluyen en esta actualización
  • Problemas resueltos en esta actualización
  • Obtención de esta actualización
  • Requisitos previos para instalar esta actualización
  • Problemas conocidos

Introducción


Este artículo describe la actualización 2 para Forefront UAG 2010 y proporciona instrucciones de instalación. Actualización 2 para Forefront UAG 2010 proporciona las siguientes características:
  • Mejora de los componentes de cliente: El componente de Forefront UAG aplicación de túnel SSL (Socket reenviador) ahora es compatible con Windows Vista y sistemas de operativos de 64 bits de Windows 7 para aplicaciones de 32 bits. Consulte la tabla siguiente para obtener información detallada y emitir #3 para obtener más información.
    CaracterísticaWindows XP 32 bits32 bits de Windows Vista64 bits de Windows VistaWindows 7 32 bitsWindows 7 de 64 bitsMac o Linux
    Instalación sin conexiónNo
    Instalación en línea
    Detección de extremos
    Limpiador de datos adjuntos
    Componente de túnel SSL
    Reenviador de socketNo
    Aplicación de SSL de túnel (Conector de red)NoNoNo
    Nota: Para obtener información específica sobre el componente de cliente, sistemas operativos y exploradores características y compatibilidad, visite la siguiente página Web de Microsoft TechNet:
  • Infraestructura de escritorio virtual (VDI): Forefront UAG es totalmente compatible con la publicación de escritorios remotos a través de la situación de escritorio personal de VDI.
  • De publicación de Citrix: Forefront UAG es totalmente compatible con Citrix Presentation Server 4.5 y su reemplazo Citrix XenApp 5.0.
  • Compatibilidad con equipos de cliente de Citrix: Forefront UAG es compatible con Windows Vista y Windows 7 equipos con sistemas operativos de 64 bits acceso a aplicaciones de Citrix XenApp donde el cliente XenApp es de 32 bits. Para obtener más información, vea problema nº 4 a continuación.
  • Usuario SSTP y grupo de Control de acceso: Forefront UAG ahora proporciona un mecanismo de autorización más preciso permitiendo a los administradores autorizar grupos individuales para el acceso SSTP.
  • Protocolo de enlace SSL: Forefront UAG ahora proporciona más sólido control de protocolos de enlace SSL entre UAG y servidores web publicados.
  • La delegación de certificados de cliente: Forefront UAG ahora agrega algunos compatibilidad limitada para aplicaciones donde el servidor de aplicaciones requiere credenciales de certificado de cliente para la negociación.
  • Soporte de dirección MAC del conector de red: Servidor de conector de red de Forefront UAG es compatible con una amplia gama de adaptadores de red con un intervalo de direcciones MAC expandida.
Para obtener más información acerca de nuevas características de la actualización 2 para Forefront UAG 2010, consulte la sección "Novedades en Forefront UAG" en la página Web de Microsoft siguiente:

Más información


Información de actualización

El siguiente archivo está disponible para su descarga desde el Centro de descarga de Microsoft:

Download Descargue ahora el paquete de actualización de Forefront Unified Access Gateway (UAG) 2.

Para obtener más información acerca de cómo descargar archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para ver el artículo en Microsoft Knowledge Base:
119591 cómo obtener archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft analizó este archivo en busca de virus. Microsoft ha utilizado el software de detección de virus más reciente que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores seguros que ayudan a evitar cambios no autorizados en el archivo.

Requisitos previos

Esta actualización es acumulativa y puede aplicarse a máquinas virtuales que ejecutan las versiones siguientes de UAG 2010, servidores o dispositivos:
  • 2010 UAG (RTM)
  • UAG 2010 Update 1
  • Paquete de Hotfix Rollup 1 UAG 2010 Update 1
Para obtener más información acerca de UAG Update 1, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
981323 descripción de la actualización 1 para la puerta de enlace de acceso unificada 2010
Para obtener más información acerca de UAG 1 paquete 1 paquete de revisiones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
981932 descripción del paquete de hotfix Rollup 1 para Unified Access Gateway 2010 Update 1

Notas de instalación

Orden de instalación cuando se utiliza una matriz de servidores UAG
  1. Instale primero la actualización 2 en el Administrador de la matriz.
  2. Reiniciar el equipo.
  3. Activar configuración de UAG.
  4. Espere sincronizar la configuración.
  5. Instale la actualización 2 en el primer miembro de la matriz no es de administrador.
  6. Reiniciar el equipo.
  7. Repita para todos los miembros restantes de la matriz.
Nota: Si es necesario, la desinstalación de la actualización 2 debe realizarse en orden inverso.

Requisito de reinicio

En escenarios de tipo no de matriz, no es necesario que reinicie el equipo después de aplicar este paquete de actualización. Debe activar la configuración UAG después de instalar el paquete de actualización. Tenga en cuenta que al realizar la activación de UAG finalizará las conexiones existentes de aplicación de túnel SSL al servidor UAG.

En escenarios de matriz es necesario reiniciar. Los pasos de instalación de matriz anteriores son necesarios para una implementación correcta de la actualización cuando se utiliza una matriz, si no se siguen estos pasos puede causar daños en la matriz y la pérdida de la configuración.

Información de reemplazo de revisión

Esta revisión no sustituye a ninguna revisión publicada previamente.

Información de desinstalación

Para desinstalar esta actualización, utilice uno de los métodos siguientes:
  • Inicie sesión como un administrador integrado y, a continuación, desinstala la actualización mediante el subprograma programas y características en el Panel de Control.
  • Desde un símbolo del sistema con privilegios elevados, escriba el comando siguiente y, a continuación, presione ENTRAR:
    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo (o atributos del archivo más reciente) mostrados en la tabla siguiente. Las fechas y horas de estos archivos se muestran en la hora Universal coordinada (UTC). Al ver la información del archivo, se convierte en hora local. Para encontrar la diferencia entre la hora UTC y la hora local, utilice la ficha zona horaria en el elemento fecha y hora del Panel de Control.

Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Agent_win_helper.jarNo aplicable1,286,01530-Aug-201013:12No aplicable
Clientconf.xmlNo aplicable6,67515-Sep-201006:41No aplicable
Configdatacomlayer.dll4.0.1269.200192,40015-Sep-201008:13x64
Configdatalayer.dll4.0.1269.2003,871,63215-Sep-201008:06x64
Configmgrcom.exe4.0.1269.200199,56815-Sep-201008:01x64
Configmgrcomlayer.dll4.0.1269.2002,246,03215-Sep-201008:15x64
Configmgrcore.dll4.0.1269.2001,375,63215-Sep-201008:23x64
Configmgrinfra.dll4.0.1269.2001,599,88815-Sep-201008:12x64
Configmgrlayer.dll4.0.1269.200215,44015-Sep-201008:05x64
Configuration.exe4.0.1269.2008,920,97615-Sep-201008:22x64
Detection.jsNo aplicable14,59115-Sep-201007:20No aplicable
Https_whlfiltappwrap_forporNo aplicable60,96115-Sep-201007:19No aplicable
Http_whlfiltappwrap_forportNo aplicable59,47515-Sep-201007:19No aplicable
Install.jsNo aplicable11,21815-Sep-201007:20No aplicable
Installanddetect.aspNo aplicable12,06715-Sep-201007:20No aplicable
Internalerror.aspNo aplicable8,34415-Sep-201007:20No aplicable
Internalerror.incNo aplicable24,40215-Sep-201007:20No aplicable
Login.aspNo aplicable24,18315-Sep-201007:20No aplicable
Logoffmsg.aspNo aplicable7,70530-Aug-201013:11No aplicable
Microsoft.uag.da.messages.d4.0.1269.20033,68015-Sep-201008:14x64
Microsoft.uag.transformer.c4.0.1269.2006,297,48815-Sep-201008:02x86
Monitormgrcom.exe4.0.1269.200151,95215-Sep-201008:01x64
Monitormgrcore.dll4.0.1269.200740,24015-Sep-201008:23x64
Monitormgrlayer.dll4.0.1269.200354,19215-Sep-201008:12x64
Policy.xmlNo aplicable80,24417-Oct-201012:16No aplicable
Policydefinitions.xmlNo aplicable61,51615-Sep-201007:15No aplicable
Redirecttoorigurl.aspNo aplicable1.42330-Aug-201013:11No aplicable
Repairinstallation.vbsNo aplicable3.04430-Aug-201013:12No aplicable
Ruleset_forinternalsite.iniNo aplicable47,01930-Aug-201013:11No aplicable
Sessionmgrcom.exe4.0.1269.200233,87215-Sep-201008:24x64
Sessionmgrcomlayer.dll4.0.1269.2001,641,36015-Sep-201008:02x64
Sessionmgrcore.dll4.0.1269.200738,19215-Sep-201008:01x64
Sessionmgrinfra.dll4.0.1269.2001,197,96815-Sep-201008:22x64
Sessionmgrlayer.dll4.0.1269.200200,59215-Sep-201008:04x64
Sfhlprutil.cabNo aplicable57,19415-Sep-201008:35No aplicable
Shareaccess.exe4.0.1269.200492,94415-Sep-201008:12x64
Sslbox.dll4.0.1269.20058,76815-Sep-201008:14x64
Sslvpntemplates.xmlNo aplicable28,70430-Aug-201013:12No aplicable
Sslvpn_https_profiles.xmlNo aplicable96817-Oct-201012:16No aplicable
Uagqec.cabNo aplicable64,84215-Sep-201008:36No aplicable
Uagqessvc.exe4.0.1269.200207,76015-Sep-201008:04x64
Uagrdpsvc.exe4.0.1269.200144,27215-Sep-201008:14x64
Uninstalluagupdate.cmdNo aplicable21215-Sep-201008:41No aplicable
Usermgrcom.exe4.0.1269.200119,18415-Sep-201008:01x64
Usermgrcore.dll4.0.1269.200837,00815-Sep-201008:01x64
Whlasynccomm.dll4.0.1269.200107,40815-Sep-201008:14x64
Whlcache.cabNo aplicable265,76815-Sep-201008:36No aplicable
Whlclientsetup-all.msiNo aplicable2,964,99215-Sep-201008:22No aplicable
Whlclientsetup-basic.msiNo aplicable2,964,99215-Sep-201008:01No aplicable
Whlclientsetup-networkconneNo aplicable2,965,50415-Sep-201008:04No aplicable
Whlclientsetup-networkconneNo aplicable2,965,50415-Sep-201008:03No aplicable
Whlclientsetup-socketforwarNo aplicable2,964,99215-Sep-201008:24No aplicable
Whlclntproxy.cabNo aplicable242,71315-Sep-201008:35No aplicable
Whlcompmgr.cabNo aplicable689,48315-Sep-201008:35No aplicable
Whlcppinfra.dll4.0.1269.200669,58415-Sep-201008:23x64
Whldetector.cabNo aplicable263,76415-Sep-201008:36No aplicable
Whlfiltappwrap.dll4.0.1269.200315,28015-Sep-201014:02x64
Whlfiltappwrap_http.xmlNo aplicable59,47515-Sep-201013:19No aplicable
Whlfiltappwrap_https.xmlNo aplicable60,96115-Sep-201013:19No aplicable
Whlfiltauthorization.dll4.0.1269.200311,69615-Sep-201014:23x64
Whlfilter.dll4.0.1269.200589,20015-Sep-201014:22x64
Whlfiltsecureremote.dll4.0.1269.2001,037,20015-Sep-201014:22x64
Whlfiltsecureremote_http.xmNo aplicable77,40430-Aug-201013:11No aplicable
Whlfiltsecureremote_https.xNo aplicable80,30817-Oct-201012:16No aplicable
Whlfirewallinfra.dll4.0.1269.200444,81615-Sep-201008:13x64
Whlgenlib.dll4.0.1269.200511,37615-Sep-201008:04x64
Whlglobalutilities.dll4.0.1269.200106,38415-Sep-201008:05x64
Whlinstallanddetect.incNo aplicable4,47630-Aug-201013:11No aplicable
Whlio.cabNo aplicable167,27715-Sep-201008:35No aplicable
Whlioapi.dll4.0.1269.20076.17615-Sep-201008:04x64
Whliolic.dll4.0.1269.20015,76015-Sep-201008:22x64
Whlios.exe4.0.1269.200137,10415-Sep-201008:24x64
Whllln.cabNo aplicable167,09515-Sep-201008:36No aplicable
Whlllnconf1.cabNo aplicable6.52115-Sep-201008:35No aplicable
Whlllnconf2.cabNo aplicable6.61015-Sep-201008:36No aplicable
Whlllnconf3.cabNo aplicable6,59915-Sep-201008:35No aplicable
Whltrace.cabNo aplicable254,35215-Sep-201008:36No aplicable
Whltsgauth.dll4.0.1269.200184,20815-Sep-201008:02x64
Whltsgconf.dll4.0.1269.20087,44015-Sep-201008:22x64
Whlvaw_srv.dll4.0.1269.200138,12815-Sep-201008:05x64
Wioconfig.dll4.0.1269.200496,52815-Sep-201008:01x64



Problemas solucionados que se incluyen en esta actualización

Esta actualización corrige los problemas siguientes que no se habían documentados previamente en ningún artículo de Microsoft Knowledge Base.

Problema 1


Síntoma

Los administradores necesitan control de acceso granular para sus clientes de red privada virtual (VPN) de protocolo de túnel de sockets seguros (SSTP). Sin embargo, la configuración de SSTP en UAG crea una regla de acceso que proporciona acceso de cliente VPN a toda la red interna.

Según el siguiente texto de http://technet.microsoft.com/en-us/library/ee522953.aspx, se puede para utilizar la consola de Threat Management Gateway (TMG) para crear reglas que permiten el control de acceso granular para el acceso de VPN SSTP:

"Crear reglas de acceso utilizando la consola de administración de Forefront TMG, con el fin de limitar los usuarios, grupos y redes de acceso granular al implementar Forefront UAG para el acceso de red remoto VPN."

Sin embargo, cuando los administradores crear reglas de acceso para limitar el acceso del usuario, estas reglas se quitado o movidas a la parte inferior de la directiva de acceso después de la activación de UAG. Esto significa que la regla predeterminada tiene prioridad y se pierde el control granular configurado.

Causa

Estos problemas se debe a una limitación en el diseño de la integración entre UAG y las reglas generadas dinámicamente que se implementan en TMG durante la activación de UAG.

Solución

Modificación manual de reglas TMG para admitir el control de acceso granular, tal como se describe en TechNet se deprecia (y ya no se admite después de la instalación de la actualización 2 UAG) en favor de la compatibilidad explícita de control de acceso granular en la consola de administración de UAG.

Los administradores UAG ahora pueden habilitar explícitamente el acceso a direcciones de red interna determinada a los usuarios de VPN SSTP que son miembros de grupos de Active Directory determinados. Los administradores UAG deben utilizar la nueva ficha de Grupos de usuarios del cuadro de diálogo Configuración de túnel de red de SSL para definir la directiva de acceso VPN IP granular que consiste en un conjunto de reglas de acceso. Cada regla define un conjunto de direcciones IP de red interna y los intervalos de direcciones IP que se pueden tener acceso los miembros de un determinado grupo de Active Directory mientras está conectado a VPN SSTP.

Problema 2


Síntoma

Soporte de infraestructura de Escritorio Virtual (VDI) de Microsoft en UAG no está totalmente implementado.

Causa

Debido a una UI UAG engañosa, configuraciones problemáticas y una incapacidad para admitir la autorización múltiples en diferentes recursos durante la implementación impiden VDI funcione correctamente.

Solución

Hemos realizado un diseño cambiar para actualizar la UI UAG y admitir el escenario de escritorio Personal de VDI con una implementación más sólida. El escenario de escritorio agrupadas de VDI no se ha implementado y se puede implementar en una futura actualización de UAG.

Problema 3


Síntoma

El componente de cliente UAG para aplicación de protocolo de túnel SSL (Socket reenviador) no se admite en la versión de 64 bits de Windows 7 y la versión de 64 bits de Windows Vista.

Causa

Este es el comportamiento de los componentes de cliente UAG antes del lanzamiento de la actualización 2 UAG.

Solución

Hemos realizado un diseño cambiar para tratar el siguiente escenario:

Hay ancho establecido de otro tipo de aplicaciones que utilizan el reenvío de Socket UAG / aplicación de túnel como un método de publicación. Por ejemplo, este tipo de aplicaciones es Citrix XenApps y Presentation Server 4.5, y ambos se ejecutan como aplicaciones de ActiveX en el explorador. Antes de esta actualización, debido a limitaciones técnicas, se prohíbe la implementación de estos métodos de publicación en la versión de 64 bits de los sistemas operativos de cliente. Por lo tanto, la misma aplicación publicada que utiliza los métodos de acceso de la versión de 32 bits de cliente opera sistemas en lugar de en los sistemas operativos de 64 bits.

El cambio realizado para este escenario es proporcionar un método de implementación para el cliente de reenvío de Socket (SF) componentes en la versión de 64 bits de los sistemas operativos de cliente Windows para habilitar la apertura de las aplicaciones de túnel. Las limitaciones de esta implementación son:
  • Compatibilidad para Socket reenviador está limitada a la versión de 64 bits de Windows Vista y la versión de 64 bits de Windows 7, otra versión de 64 bits de sistemas operativos no son compatibles.
  • Socket reenviador sólo se admite cuando los usuarios acceden UAG desde la versión de 32 bits de Internet Explorer (que se ejecuta en WOW64 de 32 bits emulación).
  • Socket reenviador sólo interactuará con 32 bits aplicaciones (WOW64) y no interactúan con las aplicaciones nativas de 64 bits.
Éstas son las opciones de implementación para los componentes actualizados:
  • En línea: el método estándar que realiza la implementación de componentes de CF. En la primera invocación de cualquier aplicación de portal UAG que CF se utiliza como el método de publicación de túnel, los componentes se descarguen e instalen.
  • Sin conexión: los administradores pueden implementar también la aplicación apropiada de Windows Installer (MSI) en un cliente utilizando la distribución de software con secuencias de comandos o la instalación manual. Después de la instalación de la actualización 2 UAG los archivos estarán disponibles en el servidor UAG en la siguiente ubicación:
    % UAG instalación directory%\von\PortalHomePage\
Problema 4


Síntoma

No puede tener acceso a Citrix XenApps 5.0 se publica con UAG desde un equipo cliente que está ejecutando una versión de 64 bits de Windows Vista o Windows 7.

Causa

Este es el comportamiento de los componentes de cliente UAG antes del lanzamiento de la actualización 2 UAG.

Solución

Consulte la sección "Resolución" del número 3 para obtener información detallada.

Problema 5


Síntoma

Cuando intenta crear o editar una directiva de extremo, la directiva "McAfee Total Protection" aparece dos veces en la lista. Si selecciona la segunda directiva "McAfee Total Protection", recibirá un mensaje de error similar al siguiente:

no se pudo encontrar la línea de código fuente

Causa

Este problema se produce porque el archivo de directory%\von\Conf\PolicyDefinitions.xml % UAG instalación contiene dos entradas que tengan el mismo título y el Id.

Solución

El problema de doble entrada se resuelve quitando el segundo registro desde el archivo PolicyDefinitions.xml.

Problema 6

Symptom

Cuando tiene acceso a un recurso publicado por UAG, los clientes reciben un error "desconocido se produjo un error mientras se procesaba el certificado" en el explorador. Además, puede ver el administrador UAG en los registros de depuración del servidor UAG SEC_I_CONTINUE_NEEDED devuelto durante el paso de la negociación SSL "Mutuo Confirmar estado." Después de que la depuración paso mostrará los registros que la página /InternalSite/InternalError.asp se devuelve al cliente junto con el código de error 37. Código de error 37 es el mensaje de error "se ha producido un error desconocido mientras se procesaba el certificado".

Cause

El mecanismo SSL existente no correctamente no trans varios escenarios cuando realiza protocolo de enlace SSL con un servidor back-end que se han publicado a través de UAG. La naturaleza de transmisión por secuencias de SSL crea un escenario complicado con la posibilidad de recibir datos insuficientes o demasiada información durante el enlace de lectura. En este escenario, InitializeSecuritycontexto informa que hayan pasado los datos adicionales que se deben guardar para su uso en el futuro (presumiblemente después leer más datos a través del cable).

Resolution

El algoritmo de mutuo se extiende para admitir escenarios y casos de transmisión por secuencias adicionales.


Issue 7

Symptom

Cuando tiene acceso a una aplicación publicada de HTTPS a través de UAG, el usuario recibe el error 37: "se ha producido un error desconocido mientras se procesaba el certificado". Un administrador que está realizando el registro de depuración (que incluye el seguimiento de la SSLBOX_BASE) mientras el usuario tiene acceso a la aplicación verá el siguiente mensaje de error:
ERROR: no se pudo inicializar el contexto de seguridad. Devolvió el error: 0x90320.

SEC_INCOMPLETE_CREDENTIALS de devolución InitializeSecurityContext – Schannel requiere credenciales de certificado de cliente
Cause

El servidor de aplicaciones de servicios de fondo está configurado para solicitar credenciales de certificado de cliente durante la fase de negociación de SSL. Antes de esta actualización, dicha funcionalidad no es compatible. Por lo tanto, la negociación produjo un error.

Resolution

Existen dos posibles escenarios donde el servidor back-end solicita credenciales de certificado de cliente:
  • El servidor de aplicaciones de servicios de fondo está solicitando un certificado de cliente para obtener un contexto de certificado pero no lo requiere. Para este caso que se implementó una reserva permitiendo UAG para volver a intentar la negociación después de la SEC_INCOMPLETE_CREDENTIALS código de retorno es recibida. El servidor back-end no requiere el certificado de cliente y generalmente esta negociación se completa correctamente.
  • La aplicación de servidor requiere autenticación de certificado de cliente. El cambio de diseño que se implementó no permite para que proporcione el cliente pero no pase a través de certificados de cliente permiten un certificado de cliente válido solo a suministrarse al servidor web de servicios de fondo para todos los usuarios.

    En este caso el administrador UAG debe suministrar un certificado de cliente válido e instálelo en servidor UAG como certificado de máquina.
    1. Para indicar el módulo UAG SSLBox para recuperar y obtener el certificado correcto, siga estos pasos:
      1. Ejecute el comando MMC para abrir la consola de administración.
      2. Haga clic en archivoy, a continuación, haga clic en Agregar o quitar complemento.
      3. Seleccione certificados en la lista y, a continuación, haga clic en Agregar.
      4. Seleccione cuenta de equipo y, a continuación, haga clic en Finalizar.
      5. Abra el almacén de certificados personales .
      6. Seleccione el certificado de autenticación de cliente requerido de la lista y haga doble clic en el certificado. O bien haga clic en el certificado y, a continuación, haga clic en Abrir.
      7. Seleccione el panel de Detalles y desplácese hacia abajo.
      8. Seleccione la propiedad de la huella digital .
      9. Seleccione el valor de la propiedad en el siguiente panel y copiar su valor presionando CTRL+C.
      10. Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
        322756 cómo hacer copia de seguridad y restaurar el registro en Windows
        a. Inicie el Editor del registro (Regedt32.exe).

        b. Busque y, a continuación, haga clic en la siguiente clave del registro:

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. en el menú Edición , haga clic en Agregar valory, a continuación, agregue el siguiente valor del registro:
        Nombre de valor: ClientCertHash
        Tipo de datos: cadena
        Valor: {el texto copiado en el paso 9} [por ejemplo: a7 4b 36 ca 3f 87 CA 10 d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
        d. salir el Editor del registro.
        e. Ejecute IISReset como administrador para reiniciar IIS.
        f. activación de la configuración de UAG.
Problema 8

Symptom

En algunos casos raros equipos cliente que tienen componentes de cliente UAG en ellos un mensaje "uagqecsvc" evento ID 85 registro escrito en los registros de sucesos de Windows de cada minuto cuando ese cliente se comunica con un servidor de UAG. Aunque esto de una falsa alarma, esto se llena los registros de eventos de cliente lo que es difícil para los administradores o el departamento de soporte del descubrir hechos reales en los registros de sucesos de Windows del cliente. Estos mensajes siempre se mostrará en el cliente cada minuto si el cliente se conecta a un servidor IAG.
Id. de suceso: 85

Fuente: uagqecsvc

Tipo: Error

Descripción: El componente cliente de cumplimiento de cuarentena de Microsoft Forefront UAG no puede inicializar la devolución de llamada del cliente de cumplimiento valor HRESULT: 0x8027000E. Este problema puede producirse si las directivas de seguridad no habilita el componente.

También puede haber otros eventos relacionados en los registros de eventos de cliente.
Id. de suceso: 16

Fuente: uagqecsvc

Nombre de registro: aplicación

Descripción: El componente cliente de cumplimiento de cuarentena de Microsoft Forefront UAG no puede recuperar el estado del servicio del agente de protección de acceso a redes (NAP). Error del sistema 1115: un cierre del sistema está en curso. (0x45b). componente cuando el Microsoft Forefront UAG aplicación cliente de cuarentena se inicia, intenta las opciones de consulta del servicio de agente NAP.

Aunque este problema no está relacionado directamente a UAG o a implementaciones UAG, es posible que con algunas implementaciones de los usuarios que tienen instalados los componentes de cliente UAG tendrán acceso a los servidores IAG y UAG.

Cause

Los componentes de cliente UAG tienen un componente servicio "uagqecsvc" con un nombre para mostrar de "Cliente de cumplimiento de cuarentena de Microsoft Forefront UAG" qué estado de salud del extremo de consultas mediante NAP y notifica el estado al módulo de NAP en UAG. En algunos casos raros, este problema se verá en implementaciones UAG como el servicio intenta volver a repetidamente enlazar con el servidor UAG. El enlace se ejecutará en bucle con un tiempo de espera en minuto hasta que se puede conectar.

Además, comenzando con IAG Service Pack 2 Update 3, los componentes de cliente UAG trasladados a IAG. Por lo tanto, el servicio de uagqecsvc también está instalado en los equipos cliente que se conectan a cualquier servidor IAG que tiene componentes de cliente del Service Pack 2 Update 3. Porque no existe la funcionalidad de detección de extremo NAP en IAG, el cliente que tiene instalados los componentes de UAG continuará intentar conectar con el servicio de NAP UAG cada minuto en el proceso de generar el registro mencionado anteriormente mensaje en los registros de sucesos de Windows.

Resolution

En las versiones anteriores de los componentes de cliente se ha establecido el tiempo de espera predeterminado de reintentos para comunicarse con el agente de detección UAG NAP en un minuto, se ha cambia en UAG Update 2 a una hora. Para los administradores que deseen modificar este valor se proporciona un método para definir manualmente el tiempo de espera en el cliente.

Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows
Los usuarios o los administradores pueden definir manualmente en cualquier equipo cliente el tiempo de espera en milisegundos. Para ello, siga estos pasos:
  1. Inicie el Editor del registro (Regedt32.exe).
  2. Busque y, a continuación, haga clic en la siguiente clave del registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
  3. En el menú Edición , haga clic en Agregar valory, a continuación, agregue el siguiente valor del registro:
    Nombre de valor: InitRetryTimeout
    Tipo de datos: REG_DWORD
    Radix: Decimal
    Valor: (tiempo en milisegundos 360000 es el valor predeterminado, pero este valor debe ser
    mayor, a continuación, 6000)
  4. Salga del Editor del Registro.
  5. Reinicie el equipo.
Problema 9
Síntoma

(Administrador UAG) tiene UAG instalado en un servidor que está ejecutando una versión de idioma APAC localizada de Windows 2008 R2. Cuando intenta crear un tronco en UAG, recibirá un mensaje de error y se detiene la creación del tronco.

Por ejemplo, windows en blanco, mensajes de error inesperados o MMC frecuentes bloqueos se producen cuando intenta crear un tronco en UAG.

Causa

Este problema se produce debido a las manipulaciones incorrectas de los recursos del sistema. Estas manipulaciones incorrectas provocar un error al ejecutar UAG en algunas versiones de idiomas no occidentales de sistemas operativos (coreano, japonés y chino).

Solución

Se fija el código que es responsable de obtener acceso a los recursos del sistema.

Número 10


Síntoma

Componente de limpieza de sesión de extremo no se inicia a ejecutar después de un reinicio de un extremo. Además, abre una ventana de explorador que señale a la carpeta de componentes de cliente después de reiniciar el equipo.

Causa

Antes de reiniciar, extremo sesión limpieza componente escribe un valor del registro bajo la clave "Ejecutar". Este valor del registro permite a componentes de limpieza de sesión extremo se inicia automáticamente después de reiniciar Windows. Sin embargo, este valor de ruta de acceso de la clave del registro es una ruta de acceso ejecutable que contiene espacios. Por lo tanto, se produce un error.

Solución

El valor de ruta de acceso que señala al archivo ejecutable del limpiador de datos adjuntos que se escribe en la clave "Ejecutar" ahora se escribe como una cadena entre comillas para evitar cualquier error.

Problema 11


Síntoma

Cuando intenta tener acceso a la configuración de opciones en Exchange Server 2007 Outlook Web Application (OWA) que se publican mediante UAG de idioma, se enviará el siguiente mensaje de error al cliente.

Ha intentado tener acceso a una dirección URL restringida.

Causa

Este problema se produce porque la salida de plantilla de cuadro de OWA de Exchange Server 2007 no tiene una entrada de conjunto de reglas para la URL"/owa/languageselection.aspx". El mecanismo de RuleSet UAG no permite el acceso a cualquier dirección URL que no está en la lista blanca.

Solución

Se agrega una nueva regla de publicación para permitir el acceso a este recurso de dirección URL de OWA de Exchange 2007. En este caso, la nueva regla "ExchangePub2007_Rule36" permite el acceso a la dirección URL "/owa/languageselection.aspx".

Problema 12


Síntoma

Cuando un usuario intenta tener acceso a un sitio UAG o intenta tener acceso a una ruta de acceso marcado dentro de la aplicación en lugar de la ruta de acceso de inicio de sesión UAG, el usuario recibe un error de servidor interno 500 y no puede tener acceso al sitio.

Nota: El sitio UAG usa ADFS para la autenticación y solicita directamente una aplicación publicada.

Causa

Cuando UAG está configurado para usar ADFS para la autenticación, se producen redirecciones varias entre el servicio de Token de seguridad (STS) y el sitio interno UAG. Si no se realizan la redirectes de la manera esperada, UAG devuelve errores. Cuando un usuario intenta tener acceso directamente a un recurso publicado en lugar del sitio de portal, se rompe el proceso conducido. Por lo tanto, se produce el error de servidor interno.

Solución

Este problema se corrige en esta actualización.

Problema 13

Síntoma

Cuando un administrador configura un repositorio de autenticación de tipo Active Directory, el administrador no puede establecer el valor de anidamiento de grupo "ilimitada". Según la especificación de UAG, el valor del campo grupo anidamiento puede estar en blanco. Sin embargo, cuando el campo está en blanco y la configuración se guarda y se activa, el valor se establece volver a "0" inesperadamente.

Nota: MMC UAG debe cerrar y volver a abrir con el fin de obtener el valor de "0" visibles. Como especificación UAG, "0" significa que no hay ningún anidamiento de grupos. Por lo tanto, anidamiento de grupos no funciona como se esperaba.

Causa

Este problema se produce porque el valor correcto para el campo de anidamiento de grupo no pueden almacenarse en la configuración. Por lo tanto, no se puede aplicar el valor correcto para la interfaz gráfica de usuario y las funciones de autenticación.

Solución

El valor de la configuración es ahora correctamente almacenado y actualizado cuando se elimina el valor del grupo de anidamiento de la interfaz gráfica de usuario además, el valor se aplica correctamente a las funciones de autenticación.

Nota: Microsoft recomienda configurar el valor al número más bajo que se requiere para la autorización en UAG. Puede establecer el valor a más de 2 niveles de anidamiento debido al retraso potencial y los recursos necesarios. Si es mayor de 2 niveles son necesarios para una implementación, debe probar el impacto de estos cambios antes de implementa el sistema de producción. En casos extremos, esta configuración puede causar el servidor UAG y los controladores de dominio que se utilizan para la autenticación por UAG bloqueo debido a las demandas de recursos alto.

Problema 14


Síntoma

Cuando intenta cerrar la ventana de configuración de servidor de conector (CN) de red después de habilitar al servidor de CN, recibirá el siguiente mensaje de error:

Parámetros incorrectos de conector de red, dirección de segmento no válido

Causa

El servicio de red de túnel SSL puede utilizarse sólo cuando los adaptadores de red física tengan direcciones MAC que comienzan con "00".

Solución

Aunque los adaptadores de red física tengan direcciones MAC que comienzan con "00", puede utilizarse el servicio de red de túnel SSL.

Problema 15


Síntoma

UAG se publicó con sólo soporte parcial para Citrix XenApp 5.

Cuando desee publicar Citrix sin errores, se está obligados a seguir los pasos que se proporcionan en el siguiente sitio Web de Microsoft:

Causa

Este problema se produce porque se rompe la compatibilidad con Citrix.

Solución

Los pasos que se proporcionan en las opciones anteriores para publicar correctamente Citrix XenApp 5.0 ahora se incluyen en esta actualización.

Problema 16


Síntoma

El producto antivirus "Trend Micro OfficeScan antivirus" o "Trend Micro PC-Cillin antivirus" se selecciona en la GUI. En este caso, cuando se crea una directiva y, a continuación, aplicar la directiva a una aplicación, recibirá el siguiente mensaje de error durante la activación:

No se pudo encontrar la línea de código fuente

Causa

Este problema se produce porque el algoritmo de validación de la sintaxis de directiva falta dependencias que son requeridas por estas directivas particulares.

Solución

Las dependencias que son requeridas por estas directivas se agregan al algoritmo de validación de sintaxis de directiva después de instalar esta actualización.

Problemas conocidos

  • Después de instalar esta actualización del adaptador de red de protocolo de túnel SSL red se convierte en invisible en la ventana Conexiones de red. Este comportamiento es por diseño. Para asegurarse de que el adaptador de red está instalado abrir Administrador de dispositivos y entrada select 'Mostrar dispositivos ocultos' en el menú Ver.
  • A veces, la operación de desinstalación de actualización puede fallar con un mensaje de error, especifica que no se encuentra el archivo de instalación "FirefrontUAG.msi" o con el error de instalación 1269.
    1. Abra el menú Inicio y escriba Mostrar archivos y carpetas ocultos.
    2. En la ventana abierta configuración avanzada desactive la opción Ocultar protegidos archivos del sistema operativo (recomendado) y haga clic en Aceptar.
    3. Abra una ventana de símbolo del sistema elevado y escriba UninstallUagUpdate.
    4. Espere unos minutos para la reparación de la base de datos de instalación si es necesario.
      Nota: Recibirá un mensaje que le informa de la necesidad de una reparación.

  • Compatibilidad con Citrix XenApp es sólo para la versión 5.0. No se admiten las versiones posteriores.
  • Esta versión sólo admite el escenario de escritorio Personal de VDI. Actualmente no se admite el escenario de escritorio agrupada.
  • Reenvío de socket está disponible en los clientes de ventana 7 y Vista 64 bits para aplicaciones de 32 bits (WOW64 aplicaciones). No está disponible para aplicaciones de 64 bits nativo.
  • Publicación OWA para Exchange 2010 Service Pack 1 por UAG requiere la modificación manual de un AppWrap y modificaciones en los conjuntos de reglas. Se publica un artículo acerca de los pasos necesarios para hacer esto en el blog de equipo de producto UAG http://blogs.technet.com/b/edgeaccessblog/. Los pasos que se describen en el artículo se integrará en una futura actualización de UAG.
  • Servicios de soporte al cliente de Microsoft (CSS) no puede proporcionar soporte técnico a los clientes si utilizan beta, distinto de RTM, o los productos (GA) no generalmente-disponible como versión Beta de Internet Explorer 9. Soporte para IE9 se incluirán en una futura actualización después de IE9 se ha publicado oficialmente.

Problemas conocidos con matrices y equilibrio de carga de red (NLB)

  • Cuando intenta unir dos servidores a la misma matriz al mismo tiempo, se puede dañar el almacenamiento para la matriz. Si esto sucede, puede restaurar la configuración de copia de seguridad.
  • Cuando se elimina una IPv6 dirección IP virtual (VIP) en la consola de administración de Forefront UAG, la dirección puede no eliminarse completamente. Para evitar este problema, elimine manualmente la dirección del adaptador de red en Centro de redes y recursos compartidos y en la consola de administración de Forefront UAG.
  • Forefront UAG puede no detectar que un miembro de la matriz que utiliza el NLB integrado pierde conectividad de red (como un ISP-error del sistema). En este escenario, pueden seguir Forefront UAG enrutar el tráfico al servidor disponible. Para evitar este problema, deshabilite a los adaptadores internos y externos de los miembros de la matriz sin conexión. Habilitar a los adaptadores de nuevo después de que se resuelven los problemas de conectividad.
  • Si tiene Microsoft System Center Operations Manager 2007 implementado en su organización, puede supervisar el estado de los adaptadores de red de miembro de matriz. Para ello, siga estos pasos:
    • Asegúrese de que los paquetes de administración de sistema operativo Windows Server y NLB de Windows Server 2008 están instalados en cada miembro de la matriz.
    • Utilice Operations Manager 2007 para detectar adaptadores de red desconectada en miembros de la matriz.
      Nota: Operations Manager 2007 informa de problemas como sigue:
      • Si hay un problema con el adaptador que está conectado a la red interna, Operations Manager 2007 informa de que no se ha detectado ningún latido.
      • Si hay un problema con el adaptador que está conectado a la red externa, Operations Manager 2007 informa de un problema de NLB de Windows.
  • Cuando se crea un tronco de redirección para un tronco HTTPS en una matriz que no tienen habilitado el equilibrio de carga, debe asignar manualmente las direcciones IP del tronco de redirección para cada miembro de la matriz. Esta tarea se describe en el siguiente artículo: