Sümptomid
Kujutage ette järgmist stsenaariumi.
-
Kasutate klienti, mis ei ole veebi puhverserverikliendi näiteks tulemüüri kliendi või SecureNAT kliendi oma ettevõtte võrgus.
-
Kui Klient proovib ühendust HTTPS-i veebisaidi kaudu serveris, kus töötab Microsoft Forefront Threat Management Gateway (TMG) 2010. Näiteks kui Klient proovib ühendust https://contoso.com.
-
HTTPS-i kontrollimiseks on lubatud serveris, kus töötab TMG 2010.
-
HTTPS-i veebisait kasutab a special süsteemi DNS-ga koormuse tasakaalustamise algoritmi vastutav DNS-server tagastab vahelduva IP-aadressi, mis on madala väärtusega "Time to Live". Sel juhul järjestikuste päringute veebilehel (contoso.com) põhjustada erinevaid IP-aadresse.
Selle stsenaariumi puhul klient ei saa sirvida. Lisaks järgmisega logitakse rakenduselogisse TMG 2010 käitavas serveris:
Oleku 12227 esitatud sihtkoha server SSL-serveri serdi nime ei vasta nõutud hosti nimi.
Põhjus
Selle probleemi põhjuseks spetsiaalseid DNS-põhist koormuse tasakaalustamise algoritmi.
Veebisaidile, näiteks https://contoso.com avanemisel nonweb puhverklient kliendi lahendab nime ja püüab luua sihtkoha IP-aadress, nagu näiteks IP-1turvalise soklikihi (SSL) ühendust.
HTTPS kontrolli lubamisel TMG 2010 loob ühenduse kliendi nimel ja proovib kontrollida serveri serdi enne kliendi ühendus on lubatud. (Näiteks kehtivus ja tühistamine) jaoks tehtud palju kontrollide kontrollib õige veebilehel ühendatakse.
Kinnitamine toimub järgmiselt:
-
TMG 2010 loeb välja sertifikaadi, nt Contoso.com väljad Teema ja Teema alternatiivne nimi sellisel juhul.
-
TMG 2010 üritab sert DNS-i abil.
-
TMG 2010 kontrollib, kas tulemus vastab sihtkoha IP-aadress, mida klient kasutada, kui ühendus on loodud.
Kuidas load balancing tõttu on lahendatud veebilehel, TMG 2010 nimelahendust saagi teise IP-aadressi, IP-2. Seega, kuna kaks IP-aadresse ei ole sama (IP-1 või IP-2), TMG 2010 saab ühendus.
Lahendus
Selle probleemi lahendamiseks installige kiirparanduspaketi, mida kirjeldatakse järgmises Microsofti teabebaasi (Knowledge Base) artiklis:
2735208 värskenduskomplekti 3 Forefront Threat Management Gateway (TMG) 2010 Service Pack 2Märkus. Pärast selle paranduse installimist saate konfigureerida domeeni nimi määratud väljajätmine HTTPS-i kontrollimiseks IP aadressi valideerimise. Need on domeeninimed, mille aadressi valideerimise osa HTTPS-i kontrollimiseks on rõhutud. Kuid muud valideerimise toimingud tehakse ikka.
Järgmine skript seadistab domeeni nimi seada, et seda, mida nimetatakse skripti alguses välja. Skript loob ka domeeni nimi määratud välja, kui see pole juba olemas. Kasutades administraatori konsool nagu tavalise TMG tööriistad ja skriptid, saab administraator asustada DomainNameSet muutuja vastavalt vajadusele.
' The domain name set for the exclusion listconst strDomainNameSetName = _
"HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"
Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002
Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
objArray.RuleElements.DomainNameSets, _
strDomainNameSetName, _
strDomainNameSetDescription _
)
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save
function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
On Error Resume Next
Set objDNSet = objDNSets.Item(strDNSetName)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext
On Error GoTo 0
if errNumber = Error_FileNotFound Then
Set objDNSet = objDNSets.Add(strDNSetName)
objDNSet.Description = strDNSetDescription
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If
Set OpenDNSet = objDNSet
end function
function OpenVPSet(objParent, strVpsGUID)
Set objVPSets = objParent.VendorParametersSets
On Error Resume Next
Set OpenVPSet = objVPSets.Item(strVpsGUID)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext
On Error GoTo 0
if errNumber = Error_FileNotFound Then
Set OpenVPSet = objVPSets.Add(strVpsGUID)
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If
end function
Lahendus
Selle probleemi lahendamiseks konfigureerige kliendi veebi puhverserverikliendi toimida. Sel juhul nimelahendust ilmneb ainult TMG server. Kliendi vabasta HTTPS kontrollimisest või jätke problemaatiline sihtkoha veebisaidi järgmist Microsoft TechNeti veebisaidil kirjeldatud:
Olek
Microsoft on kinnitanud, et see probleem esineb jaotises "Kehtib järgmiste toodete kohta" loetletud Microsofti toodetel.
Viited
Tarkvaravärskenduste terminoloogia kohta lisateabe saamiseks avage Microsofti teabebaasi (Knowledge Base) artikkel, klõpsates järgmist artiklinumbrit:
824684 Microsofti tarkvaravärskenduste iseloomustamiseks kasutatavate standardterminite kirjeldus
