Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Symptômes

Considérez le scénario suivant :

  • Vous utilisez un client qui n’est pas un client du proxy web comme un client de pare-feu ou un client SecureNAT sur votre réseau d’entreprise.

  • Le client tente de se connecter à un site HTTPS via un serveur qui exécute Microsoft Forefront Threat Management Gateway (TMG) 2010. Par exemple, le client essaie de se connecter à https://contoso.com.

  • Inspection HTTPS est activée sur le serveur TMG 2010 est en cours d’exécution.

  • Le site Web de HTTPS utilise un algorithme spécial équilibrage de la charge de basé sur le système de nom de domaine DNS que dans laquelle le serveur DNS responsable retourne une adresse IP en alternance ayant une faible valeur « Durée de vie ». Dans ce cas, des requêtes successives pour le site Web (contoso.com) entraîne des adresses IP différentes.


Dans ce scénario, le client peut être impossible de parcourir le site Web. En outre, le texte suivant peut être enregistré dans le journal d’Application sur le serveur qui exécute TMG 2010 :

État 12227 le nom sur le certificat de serveur SSL fourni par un serveur de destination ne correspond pas à celui de l’hôte demandé.

Cause

Ce problème se produit en raison de l’algorithme spécial équilibrage de la charge de basée sur DNS.

Lorsqu’un client du proxy non-Web ouvre un site Web comme https://contoso.com, le client résout le nom lui-même et tente d’établir une connexion Secure Sockets Layer (SSL) à l’adresse IP de destination comme, par exemple, IP-1.

Lors de l’inspection HTTPS est activée, TMG 2010 établit une connexion au nom du client et tente de valider le certificat du serveur avant la connexion du client est activée. Une des nombreuses vérifications effectuées (par exemple, de validité et de révocation) vérifie que le site Web approprié est connecté.

La vérification s’effectue comme suit :

  1. TMG 2010 lit les champs Nom du sujet et l’Autre nom du sujet du certificat récupéré, par exemple, Contoso.com dans ce cas.

  2. TMG 2010 tente de résoudre le certificat à l’aide de DNS.

  3. TMG 2010 vérifie si le résultat correspond à l’adresse IP de destination utilisée par le client lors de la connexion a été établie.


En raison de la façon dont l’équilibrage de charge est résolu pour le site Web, la résolution de noms dans TMG 2010 permet d’obtenir une adresse IP différente, IP-2. Par conséquent, étant donné que les deux adresses IP ne sont pas la même (IP-1 et 2-IP), TMG 2010 refuse la connexion.

Résolution

Pour résoudre ce problème, installez le correctif logiciel qui est décrit dans l’article suivant de la Base de connaissances Microsoft :

Correctif cumulatif 3 de la 2735208 pour Forefront Threat Management Gateway (TMG) 2010 Service Pack 2Remarque  Après avoir installé ce correctif, vous pouvez configurer une exclusion de nom de domaine défini pour la validation de l’adresse IP de l’inspection HTTPS. Il s’agit des noms de domaines pour lesquels la partie de validation d’adresse de l’inspection HTTPS est supprimée. Cependant, les autres étapes de validation sont toujours exécutées.

Le script suivant configure l’exclusion nom de domaine défini pour être celui qui est appelé au début du script. Le script crée également l’exclusion de la valeur de nom de domaine s’il n’existe pas déjà. En utilisant les outils de gestion de TMG régulières telles que la console d’administration et de script, l’administrateur peut remplir la variable DomainNameSet comme il convient.


' The domain name set for the exclusion listconst strDomainNameSetName = _
    "HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"


Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002

Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
                    objArray.RuleElements.DomainNameSets, _
                    strDomainNameSetName, _
                    strDomainNameSetDescription _
                    )
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save

function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
    On Error Resume Next
    Set objDNSet = objDNSets.Item(strDNSetName)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set objDNSet = objDNSets.Add(strDNSetName)
        objDNSet.Description = strDNSetDescription
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
    End If

    Set OpenDNSet = objDNSet
end function

function OpenVPSet(objParent, strVpsGUID)
    Set objVPSets = objParent.VendorParametersSets
    On Error Resume Next
    Set OpenVPSet = objVPSets.Item(strVpsGUID)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set OpenVPSet = objVPSets.Add(strVpsGUID)
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
     End If
end function


Solution de contournement

Pour contourner ce problème, configurez le client pour qu’il agisse comme un client du proxy web. Dans ce cas, la résolution de noms se produit uniquement sur le serveur TMG. Exclure le client concerné de l’inspection HTTPS ou exclure le site Web de destination qui pose problème, comme décrit sur le site Web Microsoft TechNet suivant :

À l’exclusion des sources et des destinations de l’inspection HTTPS

État

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Références

Pour plus d'informations sur la terminologie de mise à jour logicielle, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

Description 824684 terminologie standard utilisée pour décrire les mises à jour logicielles de Microsoft

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×