תיקון: לקוח proxy nonweb בסביבה של Forefront איום ניהול שער (TMG) 2010 אין אפשרות לפתוח אתרי אינטרנט מסוימים מבחינת עומס כאשר מופעלת ביקורת TMG HTTPS

מאפייני הבעיה

שקול את התרחיש הבא:

• השתמש לקוח אשר אינו לקוח proxy אינטרנט כגון לקוח חומת אש או לקוחות SecureNAT ברשת של החברה שלך.

• הלקוח מנסה להתחבר לאתר HTTPS דרך שרת שבו פועל Microsoft Forefront איום ניהול שער (TMG) 2010. לדוגמה, הלקוח מנסה להתחבר https://contoso.com.

• בדיקת HTTPS מופעלת בשרת שבו פועל TMG 2010.

• אתר האינטרנט HTTPS משתמשת מיוחד המבוסס על מערכת שמות תחום DNS איזון עומס באלגוריתם שבו שרת ה-DNS אחראי מחזירה כתובת IP מתחלפים בעל ערך נמוך "אורך חיים". במקרה זה, שאילתות רצופות עבור אתר האינטרנט (contoso.com) שברוב המקרים כתובות IP שונות.

בתרחיש זה, הלקוח לא יוכלו לעיין באתר האינטרנט. בנוסף, הבאים עשוי להירשם ביומן היישום בשרת שבו פועל TMG 2010:

מצב 12227 שם אישור שרת SSL שסופק על-ידי שרת היעד אינו תואם את השם של המחשב המארח המבוקש.

הגורם

בעיה זו מתרחשת עקב מיוחדים מבוססת DNS איזון עומס האלגוריתם.

כאשר לקוח proxy nonweb פותח אתר אינטרנט כגון https://contoso.com, הלקוח פותר את שם עצמו ומנסה ליצור התקשרות Secure Sockets Layer (SSL) לכתובת ה-IP של היעד כגון, לדוגמה, IP-1.

כאשר מופעלת ביקורת HTTPS, TMG 2010 מקים חיבור בשם הלקוח ומנסה לאמת את האישור של שרת לפני התקשרות הלקוח מופעלת. אחת מבדיקות רבות המבוצעות (עבור דוגמה, חוקיות ביטול) מוודא שאתר האינטרנט הנכון מחובר.

האימות מתבצע כדלקמן:

1. TMG 2010 קורא את השדות שם נושא ושם חלופי של הנושא של האישור המאוחזרים, כגון Contoso.com במקרה זה.

2. TMG 2010 מנסה לזהות את האישור על-ידי שימוש ב- DNS.

3. TMG 2010 בודק אם התוצאה תואם את כתובת ה-IP של היעד הלקוח בשימוש כאשר נוצר החיבור.

עקב עומסים כיצד נפתרה עבור אתר האינטרנט, זיהוי שמות ב- TMG 2010 מניב כתובת IP שונה, IP-2. לכן, מאחר שתי כתובות IP אינן אותו (IP-1 לעומת IP-2), TMG 2010 מונעת את החיבור.

פתרון

כדי לפתור בעיה זו, התקן את חבילת התיקון החם המתואר במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base:

2735208 אוסף עדכונים 3 עבור Forefront איום ניהול שער (TMG) 2010 ה-Service Pack 2הערה לאחר התקנת תיקון זה, באפשרותך להגדיר הוצאה מהכלל להגדיר שם התחום עבור אימות כתובת IP האיכות HTTPS. אלה הם שמות תחומים שעבורם העלמה חלק אימות כתובת HTTPS-הבדיקה. עם זאת, עדיין מתבצעות פעולות נוספות של אימות.

קובץ ה-script הבא מגדיר את אי-כלילה להגדיר שם תחום להיות אחת בשם בתחילת קובץ ה-script. קובץ ה-script יוצר אי-כלילה להגדיר שם תחום גם אם הוא לא קיים כבר. על-ידי שימוש בכלי ניהול TMG רגיל כגון מסוף ניהול ו- scripting, המנהל יכולים לאכלס את המשתנה DomainNameSet לפי הצורך.

' The domain name set for the exclusion listconst strDomainNameSetName = _
    "HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"


Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002

Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
                    objArray.RuleElements.DomainNameSets, _
                    strDomainNameSetName, _
                    strDomainNameSetDescription _
                    )
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save

function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
    On Error Resume Next
    Set objDNSet = objDNSets.Item(strDNSetName)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set objDNSet = objDNSets.Add(strDNSetName)
        objDNSet.Description = strDNSetDescription
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
    End If

    Set OpenDNSet = objDNSet
end function

function OpenVPSet(objParent, strVpsGUID)
    Set objVPSets = objParent.VendorParametersSets
    On Error Resume Next
    Set OpenVPSet = objVPSets.Item(strVpsGUID)
    ' Save the Err properties in case it needs to be re-raised
    errNumber      = Err.Number
    errSource      = Err.Source
    errDescription = Err.Description
    errHelpFile    = Err.HelpFile
    errHelpContext = Err.HelpContext

    On Error GoTo 0

    if errNumber = Error_FileNotFound Then
        Set OpenVPSet = objVPSets.Add(strVpsGUID)
    Elseif errNumber < 0 Then
        ' An error other than "file not found" occured -- re-raise the error,
        ' this time not under "On Error Resume Next"
        Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
     End If
end function

פתרון הבעיה

כדי לעקוף בעיה זו, הגדר את הלקוח יפעל כמחשב לקוח proxy אינטרנט. במקרה זה, זיהוי שמות מתרחש בשרת TMG בלבד. להוציא לקוח מושפעת מכלל הבדיקה HTTPS או אי-כלילה של אתר האינטרנט של היעד בעייתית, כפי שמתואר באתר האינטרנט הבא של Microsoft TechNet:

אי-כלילת מקורות ויעדים מתוך בדיקת HTTPS

מצב

Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft הרשומים במקטע 'חל על'.

הפניות

לקבלת מידע נוסף על מינוח עדכוני התכנה, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:

824684 תיאור המינוח הרגיל המשמש לתיאור עדכוני התוכנה של מיקרוסופט