Description de la mise à jour 2 pour la passerelle d’accès unifié 2010


Résumé


Ces notes de publication adresse minute les problèmes qui sont associés à Microsoft Forefront Unified Access Gateway (UAG) 2010. Avant d’installer Forefront Unified Access Gateway (UAG), vous devez lire les informations contenues dans ce document. Cet article contient les informations suivantes à propos de cette mise à jour :
  • Nouvelles fonctionnalités et améliorations qui sont incluses dans cette mise à jour
  • Problèmes qui sont résolus dans cette mise à jour
  • Comment faire pour obtenir cette mise à jour
  • Conditions préalables pour installer cette mise à jour
  • Problèmes connus

Introduction


Cet article décrit la mise à jour 2 pour Microsoft Forefront UAG 2010 et fournit les instructions d’installation. Mise à jour 2 pour Microsoft Forefront UAG 2010 offre les fonctionnalités suivantes :
  • Amélioration de composants client : Le composant Forefront UAG Application le Tunneling SSL (redirecteur de Socket) est maintenant pris en charge sur Windows Vista et les systèmes d’exploitation Windows 7 64 bits pour les applications 32 bits. Consultez le tableau ci-dessous pour plus de détails et d’émettre des #3 pour plus d’informations.
    FonctionnalitéWindows XP 32 bitsWindows Vista 32 bitsWindows Vista 64 bitsWindows 7 32 bitsWindows 7 64 bitsMac ou Linux
    Installation en mode hors connexionOuiOuiOuiOuiOuiNon.
    Installation en ligneOuiOuiOuiOuiOuiOui
    Détection du point de terminaisonOuiOuiOuiOuiOuiOui
    Essuie-glace de la pièce jointeOuiOuiOuiOuiOuiOui
    Composant de Tunneling SSLOuiOuiOuiOuiOuiOui
    Redirecteur de socketOuiOuiOuiOuiOuiNon.
    Application de SSL Tunneling (Connecteur de réseau)OuiOuiOuiNon.Non.Non.
    Remarque : Pour plus d’informations sur les navigateurs et systèmes d’exploitation composant Client fonctionnalités et la compatibilité, visitez la page Web de Microsoft TechNet suivante :
  • Virtual Desktop Infrastructure (VDI) : Forefront UAG prend totalement en charge la publication des bureaux à distance via le scénario de bureau personnel de VDI.
  • Citrix Support de publication : Forefront UAG prend totalement en charge Citrix Presentation Server 4.5 et son remplacement Citrix XenApp 5.0.
  • Prise en charge des ordinateur Client Citrix : Forefront UAG prend en charge Windows Vista et Windows 7 ordinateurs avec accéder aux applications Citrix XenApp où le client XenApp est 32 bits des systèmes d’exploitation 64 bits. Pour plus d’informations, voir problème n° 4 ci-dessous.
  • SSTP utilisateur et groupe de contrôle d’accès : Forefront UAG fournit désormais un mécanisme d’autorisation plus fin permettant aux administrateurs d’autoriser des groupes individuels pour l’accès SSTP.
  • De la négociation SSL : Forefront UAG fournit désormais un traitement plus robuste des négociations SSL entre UAG et les serveurs web publiés.
  • Délégation de certificat de client : Forefront UAG ajoute une prise en charge limitée pour les applications où le serveur d’applications nécessite des informations d’identification du certificat de client pour la négociation.
  • Prise en charge des adresses MAC de connecteur de réseau : Serveur de connecteur réseau Forefront UAG prend en charge un plus grand nombre de cartes réseau avec une plage d’adresses MAC développé.
Pour plus d’informations sur les nouvelles fonctionnalités de mise à jour 2 pour Microsoft Forefront UAG 2010, reportez-vous à la section « Quelles sont les nouveautés dans Forefront UAG » sur la page Web Microsoft suivante :

Plus d'informations


Informations de mise à jour

Le fichier suivant est disponible au téléchargement à partir du Microsoft Download Center :

Download Télécharger le package de mise à jour Forefront Unified Access Gateway (UAG) 2 maintenant.

Pour plus d'informations sur la façon de télécharger des fichiers de support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :Microsoft a vérifié que ce fichier ne comportait pas de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date à laquelle le fichier a été validé. Le fichier est stocké sur des serveurs sécurisés, ce qui empêche toute modification non autorisée du fichier.

Conditions préalables

Cette mise à jour est cumulative et peut être appliqué à des appareils, des serveurs ou des ordinateurs virtuels qui exécutent les versions suivantes de UAG 2010 :
  • UAG 2010 (RTM)
  • UAG 2010 Update 1
  • Package de correctif cumulatif 1 UAG 2010 Update 1
Pour plus d’informations sur la mise à jour de UAG 1, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
Description de 981323 de mise à jour 1 pour la passerelle d’accès unifié 2010
Pour plus d’informations sur le package de correctifs UAG 1 correctif cumulatif 1, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
Description de 981932 du package de correctifs du correctif cumulatif 1 pour Unified Access Gateway 2010 Update 1

Notes d’installation

Ordre d’installation lors d’une baie de serveur UAG est en cours d’utilisation
  1. Installez d’abord mise à jour 2 dans le Gestionnaire du tableau.
  2. Redémarrage.
  3. Activer la configuration de UAG.
  4. Attendez que la configuration de la synchronisation.
  5. Installer la mise à jour 2 sur le premier membre du tableau de gestionnaire non.
  6. Redémarrage.
  7. Répétez pour tous les autres membres du groupe.
Remarque Si nécessaire, la désinstallation de la mise à jour 2 doit être effectuée dans l’ordre inverse.

Nécessite un redémarrage

Dans les scénarios non-tableau, il est inutile de redémarrer l’ordinateur après avoir appliqué ce package de mise à jour. Vous devez activer la configuration UAG après avoir installé le package de mise à jour. Veuillez noter qu’effectuer l’activation UAG va se terminer les connexions existantes de Tunneling d’Application SSL sur le serveur UAG.

Dans les scénarios de tableau le redémarrage est requis. La procédure d’installation de tableau ci-dessus est nécessaire pour réussir le déploiement de la mise à jour lors de l’utilisation d’un tableau, procédez comme suit peut provoquer une corruption du tableau et une perte de la configuration.

Informations de remplacement du correctif

Ce correctif ne remplace pas un correctif précédemment publié.

Informations de désinstallation

Pour désinstaller cette mise à jour, utilisez une des méthodes suivantes :
  • Ouvrez une session avec le compte administrateur intégré et puis désinstallez la mise à jour à l’aide de l’applet programmes et fonctionnalités dans le panneau de configuration.
  • À partir d’une invite de commandes avec élévation de privilèges, tapez la commande suivante et appuyez sur ENTRÉE :
    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Informations sur les fichiers

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont répertoriées en temps universel coordonné (UTC). Lorsque vous affichez les informations de fichier, elles sont converties en heure locale. Pour trouver la différence entre l’UTC et l’heure locale, utilisez l’onglet fuseau horaire dans l’élément Date et Heure dans le panneau de configuration.

Nom de fichierVersion de fichierTaille du fichierDateHeurePlateforme
Agent_win_helper.jarNe s'applique pas1,286,01530-Aug-201013:12Ne s'applique pas
Clientconf.xmlNe s'applique pas6,67515-Sep-201006:41Ne s'applique pas
Configdatacomlayer.dll4.0.1269.200192,40015-Sep-201008:13x64
Configdatalayer.dll4.0.1269.2003,871,63215-Sep-201008:06x64
Configmgrcom.exe4.0.1269.200199,56815-Sep-201008:01x64
Configmgrcomlayer.dll4.0.1269.2002,246,03215-Sep-201008:15x64
Configmgrcore.dll4.0.1269.2001,375,63215-Sep-201008:23x64
Configmgrinfra.dll4.0.1269.2001,599,88815-Sep-201008:12x64
Configmgrlayer.dll4.0.1269.200215,44015-Sep-201008:05x64
Configuration.exe4.0.1269.2008,920,97615-Sep-201008:22x64
Detection.jsNe s'applique pas14,59115-Sep-201007:20Ne s'applique pas
Https_whlfiltappwrap_forporNe s'applique pas60,96115-Sep-201007:19Ne s'applique pas
Http_whlfiltappwrap_forportNe s'applique pas59,47515-Sep-201007:19Ne s'applique pas
Install.jsNe s'applique pas11,21815-Sep-201007:20Ne s'applique pas
Installanddetect.aspNe s'applique pas12,06715-Sep-201007:20Ne s'applique pas
Internalerror.aspNe s'applique pas8,34415-Sep-201007:20Ne s'applique pas
Internalerror.incNe s'applique pas24,40215-Sep-201007:20Ne s'applique pas
Login.aspNe s'applique pas24,18315-Sep-201007:20Ne s'applique pas
Logoffmsg.aspNe s'applique pas7,70530-Aug-201013:11Ne s'applique pas
Microsoft.uag.da.messages.d4.0.1269.20033,68015-Sep-201008:14x64
Microsoft.uag.transformer.c4.0.1269.2006,297,48815-Sep-201008:02x86
Monitormgrcom.exe4.0.1269.200151,95215-Sep-201008:01x64
Monitormgrcore.dll4.0.1269.200740,24015-Sep-201008:23x64
Monitormgrlayer.dll4.0.1269.200354,19215-Sep-201008:12x64
Policy.xmlNe s'applique pas80,24417-Oct-201012:16Ne s'applique pas
Policydefinitions.xmlNe s'applique pas61,51615-Sep-201007:15Ne s'applique pas
Redirecttoorigurl.aspNe s'applique pas1,42330-Aug-201013:11Ne s'applique pas
Repairinstallation.vbsNe s'applique pas3,04430-Aug-201013:12Ne s'applique pas
Ruleset_forinternalsite.iniNe s'applique pas47,01930-Aug-201013:11Ne s'applique pas
Sessionmgrcom.exe4.0.1269.200233,87215-Sep-201008:24x64
Sessionmgrcomlayer.dll4.0.1269.2001,641,36015-Sep-201008:02x64
Sessionmgrcore.dll4.0.1269.200738,19215-Sep-201008:01x64
Sessionmgrinfra.dll4.0.1269.2001,197,96815-Sep-201008:22x64
Sessionmgrlayer.dll4.0.1269.200200,59215-Sep-201008:04x64
Sfhlprutil.cabNe s'applique pas57,19415-Sep-201008:35Ne s'applique pas
Shareaccess.exe4.0.1269.200492,94415-Sep-201008:12x64
Sslbox.dll4.0.1269.20058,76815-Sep-201008:14x64
Sslvpntemplates.xmlNe s'applique pas28,70430-Aug-201013:12Ne s'applique pas
Sslvpn_https_profiles.xmlNe s'applique pas96817-Oct-201012:16Ne s'applique pas
Uagqec.cabNe s'applique pas64,84215-Sep-201008:36Ne s'applique pas
Uagqessvc.exe4.0.1269.200207,76015-Sep-201008:04x64
Uagrdpsvc.exe4.0.1269.200144,27215-Sep-201008:14x64
Uninstalluagupdate.cmdNe s'applique pas21215-Sep-201008:41Ne s'applique pas
Usermgrcom.exe4.0.1269.200119,18415-Sep-201008:01x64
Usermgrcore.dll4.0.1269.200837,00815-Sep-201008:01x64
Whlasynccomm.dll4.0.1269.200107,40815-Sep-201008:14x64
Whlcache.cabNe s'applique pas265,76815-Sep-201008:36Ne s'applique pas
Whlclientsetup-all.msiNe s'applique pas2,964,99215-Sep-201008:22Ne s'applique pas
Whlclientsetup-basic.msiNe s'applique pas2,964,99215-Sep-201008:01Ne s'applique pas
Whlclientsetup-networkconneNe s'applique pas2,965,50415-Sep-201008:04Ne s'applique pas
Whlclientsetup-networkconneNe s'applique pas2,965,50415-Sep-201008:03Ne s'applique pas
Whlclientsetup-socketforwarNe s'applique pas2,964,99215-Sep-201008:24Ne s'applique pas
Whlclntproxy.cabNe s'applique pas242,71315-Sep-201008:35Ne s'applique pas
Whlcompmgr.cabNe s'applique pas689,48315-Sep-201008:35Ne s'applique pas
Whlcppinfra.dll4.0.1269.200669,58415-Sep-201008:23x64
Whldetector.cabNe s'applique pas263,76415-Sep-201008:36Ne s'applique pas
Whlfiltappwrap.dll4.0.1269.200315,28015-Sep-201014:02x64
Whlfiltappwrap_http.xmlNe s'applique pas59,47515-Sep-201013:19Ne s'applique pas
Whlfiltappwrap_https.xmlNe s'applique pas60,96115-Sep-201013:19Ne s'applique pas
Whlfiltauthorization.dll4.0.1269.200311,69615-Sep-201014:23x64
Whlfilter.dll4.0.1269.200589,20015-Sep-201014:22x64
Whlfiltsecureremote.dll4.0.1269.2001,037,20015-Sep-201014:22x64
Whlfiltsecureremote_http.xmNe s'applique pas77,40430-Aug-201013:11Ne s'applique pas
Whlfiltsecureremote_https.xNe s'applique pas80,30817-Oct-201012:16Ne s'applique pas
Whlfirewallinfra.dll4.0.1269.200444,81615-Sep-201008:13x64
Whlgenlib.dll4.0.1269.200511,37615-Sep-201008:04x64
Whlglobalutilities.dll4.0.1269.200106,38415-Sep-201008:05x64
Whlinstallanddetect.incNe s'applique pas4,47630-Aug-201013:11Ne s'applique pas
Whlio.cabNe s'applique pas167,27715-Sep-201008:35Ne s'applique pas
Whlioapi.dll4.0.1269.20076,17615-Sep-201008:04x64
Whliolic.dll4.0.1269.20015,76015-Sep-201008:22x64
Whlios.exe4.0.1269.200137,10415-Sep-201008:24x64
Whllln.cabNe s'applique pas167,09515-Sep-201008:36Ne s'applique pas
Whlllnconf1.cabNe s'applique pas6,52115-Sep-201008:35Ne s'applique pas
Whlllnconf2.cabNe s'applique pas6,61015-Sep-201008:36Ne s'applique pas
Whlllnconf3.cabNe s'applique pas6,59915-Sep-201008:35Ne s'applique pas
Whltrace.cabNe s'applique pas254,35215-Sep-201008:36Ne s'applique pas
Whltsgauth.dll4.0.1269.200184,20815-Sep-201008:02x64
Whltsgconf.dll4.0.1269.20087,44015-Sep-201008:22x64
Whlvaw_srv.dll4.0.1269.200138,12815-Sep-201008:05x64
Wioconfig.dll4.0.1269.200496,52815-Sep-201008:01x64



Problèmes résolus qui sont inclus dans cette mise à jour

Cette mise à jour résout les problèmes suivants qui n’ont pas été documentés dans un article de la Base de connaissances Microsoft.

Problème 1


Symptôme

Les administrateurs ont besoin de contrôle d’accès granulaire pour leurs clients de réseau privé virtuel (VPN) SSTP Secure Socket Tunneling Protocol (). Toutefois, la configuration de SSTP sur UAG crée une seule règle d’accès qui donne l’accès du client VPN vers le réseau interne entier.

Selon le texte suivant à partir de http://technet.microsoft.com/en-us/library/ee522953.aspx, il est pris en charge pour utiliser la console Threat Management Gateway (TMG) pour créer des règles qui permettent un contrôle granulaire de l’accès pour l’accès VPN SSTP :

« Création de règles d’accès à l’aide de la console Forefront TMG gestion, aux fins de la limitation des utilisateurs, des groupes et des réseaux d’accès précis lors du déploiement de Forefront UAG pour l’accès réseau à distance VPN. »

Toutefois, lorsque les administrateurs créent des règles d’accès pour limiter l’accès de l’utilisateur, ces règles sont supprimés ou déplacés vers la partie inférieure de la stratégie d’accès après l’activation de UAG. Cela signifie que la règle par défaut est prioritaire et la finesse de contrôle configuré est perdue.

Cause

Ce problème est dû à une limitation dans la conception de l’intégration entre UAG et générés de façon dynamique les règles qui sont déployés dans TMG lors de l’activation de UAG.

Résolution

Modification manuelle de règles TMG pour prendre en charge le contrôle d’accès granulaire, comme décrit sur le site TechNet est amortie (et n’est plus pris en charge après l’installation de la mise à jour de UAG 2) en faveur de la prise en charge explicite granulaire de contrôle d’accès dans la console Gestion de UAG.

Les administrateurs UAG peuvent activer maintenant explicitement l’accès à des adresses de réseau interne pour les utilisateurs VPN SSTP qui sont membres des groupes d’Active Directory particuliers. Les administrateurs UAG doivent utiliser le nouvel onglet de Groupes d’utilisateurs de la boîte de dialogue Configuration de Tunneling SSL réseau pour définir la stratégie d’accès granulaire IP VPN qui se compose d’un ensemble de règles d’accès. Chaque règle définit un ensemble d’adresses IP du réseau interne et les plages d’adresses IP que les membres d’un groupe Active Directory particulier peuvent accéder lorsque vous êtes connecté au VPN SSTP.

Problème 2


Symptôme

Prise en charge de Microsoft Virtual Desktop Infrastructure (VDI) dans UAG n’est pas totalement implémentée.

Cause

Une UI UAG trompeur, configurations problématiques et une incapacité à gérer l’autorisation multiples dans différentes ressources au cours de la mise en oeuvre empêchent VDI fonctionne correctement.

Résolution

Nous avons une conception modifier pour mettre à jour de l’UI UAG et prendre en charge le scénario de bureau personnel de VDI avec une implémentation plus robuste. Le scénario de bureau de pool de VDI n’a pas été implémenté et peut être implémenté dans une future mise à jour de UAG.

Problème 3


Symptôme

Composant Client UAG de Tunneling d’Application SSL (redirecteur de Socket) n’est pas pris en charge sur la version 64 bits de Windows 7 et la version 64 bits de Windows Vista.

Cause

Ce comportement est normal des composants clients UAG avant la publication de la mise à jour de UAG 2.

Résolution

Nous avons modifié une conception pour le scénario suivant :

Il y a large ensemble des applications non web qui utilisent le transfert de Socket UAG / Application Tunneling comme une méthode de publication. Par exemple, ces applications sont Citrix XenApps et Presentation Server 4.5 et les exécutent en tant qu’applications ActiveX dans le navigateur. Avant cette mise à jour, en raison de limitations techniques, nous ne pas autoriser le déploiement de ces méthodes de publication sur la version 64 bits des systèmes d’exploitation clients. Par conséquent, la même application publiée qui utilise ces méthodes sont accessibles à partir de la version 32 bits du client d’exploitation systemss plutôt qu’à partir des systèmes d’exploitation 64 bits.

La modification apportée pour ce scénario est de fournir une méthode de déploiement pour le client de transfert de Socket (DF) des composants sur une version 64 bits du client Windows pour activer l’ouverture des applications par tunnel. Les limitations de cette implémentation sont les suivantes :
  • Prise en charge de redirecteur de Socket est limitée à la version 64 bits de Windows Vista et la version 64 bits de Windows 7, l’autre version 64 bits des systèmes d’exploitation ne sont pas pris en charge.
  • Redirecteur de socket est pris en charge uniquement lorsque les utilisateurs accèdent UAG à partir de la version 32 bits d’Internet Explorer (s’exécutant dans l’émulation WOW64 32 bits).
  • Redirecteur de socket interagit uniquement avec les applications 32 bits (WOW64 des applications) et interagit pas avec les applications 64 bits natives.
Les options de déploiement pour les composants mis à jour sont les suivantes :
  • En ligne: la méthode standard qui effectue le déploiement des composants de df. De l’appel de toute première de n’importe quelle application de portail UAG qui utilise SF en tant que la méthode de publication de tunneling, les composants sont téléchargés et installés.
  • En mode hors connexion: les administrateurs peuvent également déployer l’application appropriée de Windows Installer (MSI) sur un client à l’aide de la distribution de logiciels par script ou par une installation manuelle. Après l’installation de la mise à jour de UAG 2, les fichiers seront disponibles sur le serveur UAG dans l’emplacement suivant :
    % UAG installation directory%\von\PortalHomePage\
Problème 4


Symptôme

Citrix XenApps 5.0 publié UAG Impossible d’accéder à partir d’un ordinateur client qui exécute une version 64 bits de Windows Vista ou Windows 7.

Cause

Ce comportement est normal des composants clients UAG avant la publication de la mise à jour de UAG 2.

Résolution

Reportez-vous à la section « Résolution » de problème 3 pour plus d’informations.

Problème 5


Symptôme

Lorsque vous essayez de créer ou modifier une stratégie de point de terminaison, la stratégie de « McAfee Total Protection » apparaît deux fois dans la liste. Si vous sélectionnez la deuxième stratégie de « McAfee Total Protection », vous recevez un message d’erreur semblable au suivant :

ligne source n’a pas pu être localisée

Cause

Ce problème se produit car le fichier directory%\von\Conf\PolicyDefinitions.xml installation UAG contient deux entrées qui ont le même titre et le code.

Résolution

Le problème de la double écriture est résolu en supprimant le deuxième enregistrement à partir du fichier PolicyDefinitions.xml.

Problème 6

Symptom

Lorsque vous accédez à une ressource qui est publiée par UAG, clients reçoivent une erreur « une erreur inconnue s’est produite lors du traitement du certificat » dans le navigateur. En outre, l’administrateur UAG peut voir dans les journaux de débogage de serveur UAG SEC_I_CONTINUE_NEEDED est retournée lors de l’étape de négociation SSL Handshake confirmer état «. » À la suite de cette étape, les journaux de débogage affiche que la page /InternalSite/InternalError.asp est retournée au client avec une erreur code 37. Code d’erreur 37 est le message d’erreur « une erreur inconnue s’est produite lors du traitement du certificat. »

Cause

Le mécanisme SSL existant ne remplit pas correctement handli plusieurs scénarios lorsqu’il exécute la négociation SSL avec un serveur dorsal publié via UAG. La nature de transmission en continu de SSL crée un scénario complexe avec une possibilité de recevoir des données insuffisantes ou lecture trop d’informations durant la négociation. Dans ce scénario, InitializeSecuritycontexte de rapports que vous avez transmis des données supplémentaires qui doivent être enregistrées pour une utilisation dans le futur (vraisemblablement une fois que vous lire plus de données sur le câble).

Resolution

L’algorithme de négociation est étendu pour prendre en charge des scénarios et des autres cas de diffusion en continu.


Issue 7

Symptom

Lorsque vous accédez à une application publiée de HTTPS via UAG, l’utilisateur reçoit l’erreur 37 : « une erreur inconnue s’est produite lors du traitement du certificat. » Un administrateur qui fait la journalisation du débogage (incluant la trace SSLBOX_BASE) pendant que l’utilisateur accède à l’application affichera le message d’erreur suivant :
Erreur : Impossible d’initialiser le contexte de sécurité. A renvoyé l’erreur : 0x90320.

SEC_INCOMPLETE_CREDENTIALS de retour InitializeSecurityContext – Schannel nécessite des informations d’authentification de certificat client
Cause

Le serveur de l’application principale est configuré pour demander des informations d’identification du certificat de client au cours de la phase de négociation SSL. Avant cette mise à jour de ces fonctions n’était pas pris en charge. Par conséquent, la négociation a échoué avec une erreur.

Resolution

Il existe deux scénarios possibles où le serveur principal est demandant des informations d’identification du certificat client :
  • Le serveur de l’application principale demande un certificat client pour obtenir un contexte de certificat, mais ne le requiert pas. Dans ce cas qu'un secours a été mis en oeuvre permettant UAG réessayer la négociation après le code de retour de la SEC_INCOMPLETE_CREDENTIALS est reçue. Généralement, le serveur principal ne nécessite pas le certificat client et cette négociation est effectuée avec succès.
  • L’application back-end nécessite l’authentification par certificat client. La modification de conception qui a été implémentée ne permet pas à fournir par le client passe par l’intermédiaire de certificats clients mais ne permettre un certificat client valide unique à fournir au serveur back-end web pour tous les utilisateurs.

    Dans ce cas, l’administrateur de UAG doit fournir un certificat client valide et l’installer sur le serveur UAG sous la forme d’un certificat d’ordinateur.
    1. Pour demander le module UAG SSLBox pour récupérer et obtenir le certificat approprié, procédez comme suit :
      1. Exécutez la commande de la console MMC pour ouvrir la console de gestion.
      2. Cliquez sur fichier, puis cliquez sur Ajouter/supprimer un composant logiciel enfichable.
      3. Sélectionnez des certificats dans la liste, puis cliquez sur Ajouter.
      4. Sélectionnez compte d’ordinateur, puis cliquez sur Terminer.
      5. Ouvrez le magasin de certificats personnel .
      6. Sélectionnez le certificat d’authentification client requis dans la liste et double-cliquez sur le certificat. Ou, cliquez sur le certificat, puis cliquez sur Ouvrir.
      7. Sélectionnez le volet d’informations et faites défiler vers le bas.
      8. Sélectionnez la propriété de l’empreinte .
      9. Sélectionnez la valeur de la propriété dans la ci-dessous de panneau et copier sa valeur en appuyant sur CTRL + C.
      10. Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
        322756 comment sauvegarder et restaurer le Registre dans Windows
        a. Démarrez l’Éditeur du Registre (Regedt32.exe).

        b. Recherchez et cliquez sur la clé suivante dans le Registre :

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. dans le menu Edition , cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
        Nom de la valeur : ClientCertHash
        Type de données : chaîne
        Valeur : {le texte copié à l’étape 9} [par exemple : a7 4 b 36 ca 3f 87 CA 10 d5 4 b 0f 83 de l’autorité de certification 9 e 9 e 74 c8 3e fa 8 b]
        d. quitter l’Éditeur du Registre.
        e. Exécutez IISReset en tant qu’administrateur de redémarrer IIS.
        f. Activez la Configuration de UAG.
Problème 8

Symptom

Dans certains cas rares UAG Client composants sont installés sur les clients un message « uagqecsvc » événement ID 85 journal écrit dans les journaux des événements Windows chaque minute lorsque que le client communique avec un serveur UAG. Bien que cette alarme un faux, cela se remplit les journaux d’événements client qui rend difficile pour les administrateurs ou le support technique de détection d’événements réels dans les journaux d’événements Windows du client. Ces messages toujours apparaîtra sur le client toutes les minutes si ce client se connecte à un serveur IAG.
L’ID d’événement : 85

Source : uagqecsvc

Type : erreur

Description : Le composant Client de contrainte de mise en quarantaine Microsoft Forefront UAG ne peut pas initialiser le rappel de client de mise en œuvre valeur HRESULT : 0x8027000E. Ce problème peut se produire si les stratégies de sécurité ne permettent pas le composant.

Il peut également être un autre événements associés dans les journaux d’événements client.
L’ID d’événement : 16

Source : uagqecsvc

Nom du journal : Application

Description : Le composant Client de contrainte de mise en quarantaine Microsoft Forefront UAG Impossible de récupérer l’état du service Agent de Protection d’accès réseau (NAP). L’erreur système 1115 : un arrêt système est en cours. (0x45b). les composants lorsque le Client Microsoft Forefront UAG quarantaine l’application démarre, il tente des paramètres de requête du service d’agent NAP.

Bien que ce problème n’est pas directement lié à UAG ou à des déploiements UAG, il est possible avec certains déploiements les utilisateurs qui ont les composants clients UAG installés sur les seront accéder à des serveurs à la fois IAG et UAG.

Cause

UAG Client un composant service « uagqecsvc » avec le nom complet de « Microsoft Forefront UAG l’application Client de quarantaine » le statut sanitaire du point de terminaison des requêtes à l’aide de NAP et composants signale l’état au module NAP sur UAG. Dans de rares cas ce problème se produira dans les déploiements de UAG comme le service recommence à plusieurs reprises créer une liaison avec le serveur UAG. La liaison sera exécuté en boucle avec un délai d’attente minute jusqu'à ce qu’il peut se connecter.

Les composants clients UAG commençant en outre IAG Service Pack 2 mise à jour 3, ont été portés à IAG. Par conséquent, le service uagqecsvc est également installé sur les ordinateurs clients qui se connectent à n’importe quel serveur IAG dont les composants client 3 de mise à jour Service Pack 2. Parce que la fonctionnalité de détection de point de terminaison NAP n’existe pas dans IAG, le client qui possède les composants UAG installés sur les continuera à essayer de vous connecter au service NAP de UAG chaque minute, dans le processus de génération du journal mentionné précédemment sollicité dans les journaux des événements de Windows.

Resolution

Dans les versions antérieures des composants de Client le délai d’attente par défaut pour les nouvelles tentatives communiquer avec l’agent de détection UAG NAP a été défini sur une minute, elle a été modifiée dans UAG 2 à une heure. Pour les administrateurs qui veulent modifier cette valeur permet de définir manuellement le délai d’attente sur le client est fourni.

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows
Les utilisateurs ou les administrateurs peuvent définir manuellement sur n’importe quel ordinateur client le délai d’attente en millisecondes. Pour ce faire, procédez comme suit :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Recherchez, puis cliquez sur la clé suivante dans le Registre :
    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : InitRetryTimeout
    Type de données : REG_DWORD
    Base : décimal
    Valeur : (temps en millisecondes 360000 est la valeur par défaut, mais cette valeur doit être
    supérieure puis 6000)
  4. Quittez l'Éditeur du Registre.
  5. Redémarrez votre ordinateur.
Problème 9
Symptôme

Vous (UAG administrateur) avez UAG installé sur un serveur qui exécute une version de langue APAC localisée de Windows 2008 R2. Lorsque vous essayez de créer un tronc sur UAG, vous recevez un message d’erreur et la création de jonction est arrêté.

Par exemple, windows vides, messages d’erreur inattendus ou MMC fréquent se produisent les défaillances lorsque vous essayez de créer un tronc sur UAG.

Cause

Ce problème se produit en raison de manipulations incorrectes des ressources système. Ces manipulations d’objet incorrectes entraîner un échec lorsque vous exécutez UAG sur certaines versions non occidental de systèmes d’exploitation (coréen/japonais/chinois).

Résolution

Le code qui est responsable de l’accès à ces ressources système est fixe.

Problème 10


Symptôme

Composant de nettoyage de Session point de terminaison ne démarre pas après un redémarrage d’un point de terminaison. En outre, une fenêtre d’Explorateur s’ouvre qui pointe vers le dossier composants de client après un redémarrage.

Cause

Avant le redémarrage de l’ordinateur, le composant de nettoyage de Session point de terminaison écrit une valeur de Registre sous la clé « Exécuter ». Cette valeur de Registre permet de démarrer le composant de nettoyage de point de terminaison Session automatiquement après un redémarrage de Windows. Toutefois, cette valeur de chemin d’accès de clé de Registre est un chemin d’accès à l’exécutable contenant des espaces. Par conséquent, une erreur se produit.

Résolution

La valeur de chemin d’accès qui pointe vers le fichier exécutable d’essuie-glace de pièce jointe qui est écrit sous la clé « Exécuter » est désormais écrite sous la forme d’une chaîne entre guillemets afin d’éviter toute défaillance.

Problème 11


Symptôme

Lorsque vous essayez d’accéder le langage de définition des options dans Exchange Server 2007 Outlook Web Application (OWA) qui sont publiées via UAG, le message d’erreur suivant sera adressée au client.

Vous avez tenté d’accéder à une URL.

Cause

Ce problème se produit parce que la sortie de modèle de boîte pour Exchange Server 2007 OWA ne dispose pas d’une entrée d’ensemble de règles pour la URL"/owa/languageselection.aspx ». Le mécanisme de groupe de règles UAG n’autorise pas l’accès à une URL qui n’est pas dans la liste d’autorisation.

Résolution

Une nouvelle règle est ajoutée pour Exchange 2007 OWA est de publication pour autoriser l’accès à cette ressource URL. Dans ce cas, la nouvelle règle « ExchangePub2007_Rule36 » permet l’accès à l’URL « /owa/languageselection.aspx ».

Problème 12


Symptôme

Lorsqu’un utilisateur essaie d’accéder à un site UAG, ou tente d’accéder à un chemin d’accès référencé dans l’application plutôt que le chemin d’accès de connexion UAG, l’utilisateur reçoit une erreur de serveur interne 500 et ne peut pas accéder au site.

Remarque Le site UAG utilise ADFS pour l’authentification et directement demande une application publiée.

Cause

Lorsque UAG est configuré afin d’utiliser ADFS pour l’authentification, les redirections plusieurs se produisent entre le Service STS (Security Token) et le site interne UAG. Si les redirectes n’est pas faits de la manière attendue, UAG renvoie des erreurs. Lorsqu’un utilisateur tente d’accéder directement à une ressource publiée au lieu du site portail, le processus de reroutage est interrompue. Par conséquent, erreur de serveur interne se produit.

Résolution

Ce problème est résolu dans cette mise à jour.

Problème 13

Symptôme

Lorsqu’un administrateur configure un référentiel de l’authentification de type Active Directory, l’administrateur ne peut pas définir la valeur « illimité » d’imbrication du groupe. Conformément aux spécifications de UAG, la valeur de ce champ d’imbrication de groupe peut être vide. Toutefois, lorsque le champ est vide et si la configuration est enregistrée et activée, la valeur est définie en « 0 » inattendue.

Remarque UAG MMC doit être fermé et rouvert pour obtenir la valeur de « 0 » visibles. En tant que spécification de UAG, « 0 » signifie qu’il n’existe aucune imbrication de groupes. Par conséquent, l’imbrication de groupe ne fonctionne pas comme prévu.

Cause

Ce problème se produit car la valeur correcte pour le champ d’imbrication de groupe ne peuvent pas être stockée dans la configuration. Par conséquent, la valeur correcte ne peut pas être appliquée à l’interface utilisateur et les fonctions d’authentification.

Résolution

La valeur de la configuration est désormais correctement stockée et mis à jour lorsque la valeur d’imbrication de groupe est supprimée de l’interface utilisateur graphique de plus, la valeur est correctement appliquée aux fonctions d’authentification.

Remarque Microsoft recommande de définir la valeur, le numéro le plus bas qui est requis pour l’autorisation dans UAG. Vous pouvez définir la valeur supérieure à 2 niveaux d’imbrication en raison du délai pouvant exister et les ressources requises. Si elle est supérieure à 2 niveaux sont requis pour le déploiement, vous devez tester l’impact de ces modifications avant le déploiement du système de production. Dans des cas extrêmes, ces paramètres peuvent entraîner le serveur UAG et des contrôleurs de domaine sont utilisés pour l’authentification par UAG blocage en raison des demandes de ressources haute.

Problème 14


Symptôme

Lorsque vous essayez de fermer la fenêtre de configuration du serveur de connecteur (CN) réseau après avoir activé le serveur CN, le message d’erreur suivant s’affiche :

Paramètres du connecteur réseau incorrects, adresse de segment non valide

Cause

Le service réseau le Tunneling SSL peut être utilisé uniquement lorsque les cartes de réseau physique ont des adresses MAC qui commencent par « 00 ».

Résolution

Le service de réseau le Tunneling SSL peut être utilisé même si les cartes réseau physique ont des adresses MAC qui commencent par « 00 ».

Problème 15


Symptôme

UAG a été publié avec la partie prise en charge Citrix XenApp 5.

Lorsque vous souhaitez publier Citrix sans erreur, ils ont été obligés de suivre les étapes fournies dans le site Web Microsoft suivant :

Cause

Ce problème se produit car la prise en charge Citrix est interrompue.

Résolution

Les étapes fournies dans l’exemple ci-dessus permettent de publier correctement Citrix XenApp 5.0 sont maintenant incluses dans cette mise à jour.

Problème 16


Symptôme

Produit de AV « Trend Micro OfficeScan antivirus » ou « Trend Micro PC-Cillin antivirus » est sélectionné à partir de l’interface utilisateur. Dans ce cas, lorsque vous créez une stratégie, puis d’appliquer la stratégie à une application, vous recevez le message d’erreur suivant lors de l’activation :

Ligne source n’a pas pu être localisée

Cause

Ce problème se produit car l’algorithme de validation de syntaxe de stratégie manque des dépendances requises par ces stratégies particulières.

Résolution

Les dépendances requises par ces stratégies sont ajoutées à l’algorithme de validation de syntaxe de stratégie après avoir installé cette mise à jour.

Problèmes connus

  • Après avoir installé cette mise à jour de la carte réseau le Tunneling SSL réseau devient invisible dans la fenêtre Connexions réseau. Ce comportement est voulu par la conception. Pour vous assurer que la carte réseau est installée à ouvrir le Gestionnaire de périphériques et d’entrée de sélectionner « Afficher les périphériques cachés » dans le menu Affichage.
  • L’opération de mise à jour de désinstallation peut échouer avec un message d’erreur indiquant que le fichier d’installation « FirefrontUAG.msi » ne peut pas être trouvé ou l’erreur d’installation 1269.
    1. Ouvrir le menu Démarrer et tapez Afficher les fichiers et dossiers cachés.
    2. Dans la fenêtre ouverte, paramètres avancés désactivez l’option Masquer les fichiers système de fonctionnement (recommandé) protégés et appuyez sur OK.
    3. Ouvrez une fenêtre d’invite de commandes avec élévation de privilèges et tapez UninstallUagUpdate.
    4. Attendez quelques minutes pour la réparation de l’installation de base de données si nécessaire.
      Remarque Vous pouvez recevoir un message qui vous informe de la nécessité d’une réparation.

  • La prise en charge Citrix XenApp est uniquement pour la version 5.0. Versions ultérieures ne sont pas pris en charge.
  • Cette version prend uniquement en charge le scénario de bureau personnel de VDI. Scénario de postes de travail en file d’attente n’est actuellement pas pris en charge.
  • Transfert de socket est disponible sur les clients de 64 bits de Windows 7 et Vista pour les applications 32 bits (WOW64 des applications). Il n’est pas disponible pour les applications natives 64 bits.
  • Publication OWA pour Exchange 2010 Service Pack 1 par UAG requiert la modification manuelle d’un AppWrap et des modifications pour les groupes de règles. Un article sur les étapes qui sont requises pour cela est publié sur le de blog de l’équipe produit de UAG http://blogs.technet.com/b/edgeaccessblog/. Les étapes décrites dans l’article seront intégrés dans une future mise à jour de UAG.
  • Services de Support client de Microsoft (CSS) ne peut pas fournir de prise en charge aux clients s’ils utilisent la version bêta, non RTM ou non-en général-(GA) les produits disponibles, tels que Internet Explorer 9 Bêta. Prise en charge d’IE9 figureront dans une future mise à jour après la libération d’IE9 officiellement.

Problèmes connus avec les tableaux et l’équilibrage de charge réseau (NLB)

  • Lorsque vous essayez de joindre deux serveurs dans le même tableau en même temps, le stockage est peut-être endommagé. Dans ce cas, restaurez les paramètres de sauvegarde.
  • Lorsque vous supprimez une IPv6 adresse IP virtuelle (VIP) dans la console Forefront UAG Management, l’adresse de ne pas être complètement supprimé. Pour contourner ce problème, supprimez manuellement les adresses à partir de la carte réseau dans le Centre réseau et partage et dans la console Forefront UAG Management.
  • Forefront UAG peut ne pas détecte que membre d’un groupe qui utilise intégrée d’équilibrage de charge réseau perd la connectivité réseau (par exemple, une fournisseur de services Internet-défaillance du système). Dans ce scénario, Forefront UAG peut continuer à acheminer le trafic vers le serveur indisponible. Pour éviter ce problème, désactivez les cartes internes et externes des membres du groupe en mode hors connexion. Activer les cartes à nouveau après la résolution des problèmes de connectivité.
  • Si vous avez Microsoft System Center Operations Manager 2007 est déployé dans votre organisation, vous pouvez surveiller l’état des cartes réseau de tableau. Pour ce faire, procédez comme suit :
    • Assurez-vous que les packs d’administration de système d’exploitation Windows et équilibrage de charge réseau Windows Server 2008 sont installés sur chaque membre du groupe.
    • Operations Manager 2007 permet de détecter les cartes réseau déconnectées sur les membres du groupe.
      Remarque Operations Manager 2007 signale les problèmes comme suit :
      • S’il existe un problème avec la carte qui est connectée au réseau interne, Operations Manager 2007 signale qu’aucune pulsation n’a été détectée.
      • S’il existe un problème avec la carte qui est connectée au réseau externe, Operations Manager 2007 signale un problème d’équilibrage de charge réseau Windows.
  • Lorsque vous créez un tronc de redirection pour un trunk HTTPS dans un tableau qui n’a pas activé l’équilibrage de charge, vous devez affecter manuellement les adresses IP du tronc de redirection pour chaque membre du groupe. Cette tâche est décrite dans l’article suivant :