現象
問題 1
Microsoft アプリケーション要求ルーティング (ARR) ヘルパー モジュールと組み合わせて使用する場合、 X の転送のため:ヘッダー、不正なクライアントの IP アドレスは web ファームの作業者の要求オブジェクトを生成します。
問題 2
次のような状況を考えます。
-
Web ファームは、HTTPS を使用して作業者に要求を転送する構成です。
-
ARR は、 SecureConnectionIgnoreFlagsレジストリ値を使用します。
-
稼働状態チェックを実行するのには、彼は web ファームが構成されます。
このシナリオでは、正常性チェックの要求が失敗します。
問題 3
HTTPS を使用して作業者に要求を転送するように web ファームを構成する場合は、ARR に web ファームの作業者が特定のサーバー証明書を返すことを検証する方法はありません。
原因
先端の問題によりこれらの問題が発生します。
ダウンロード情報
次のファイルが Microsoft ダウンロード センターからダウンロードできます。
ARR 3.0 パッケージを今すぐダウンロードします。
Microsoft サポート ファイルをダウンロードする方法の詳細については、次の記事番号をクリックして、マイクロソフト サポート技術情報の記事をご参照ください。
119591オンライン サービスからマイクロソフトのサポート ファイルを入手する方法このファイルは、マイクロソフトによってウイルス スキャン済みです。マイクロソフトは、ファイルが公表された日付に使用可能な最新のウイルス検出ソフトウェアを使用しています。このファイルは、ファイルへの不正な変更を防止するセキュリティが強化されたサーバーに格納されています。
必要条件
この修正プログラムを適用するには、アプリケーション要求ルーティング 3.0 が必要 (3.0.1750 またはそれ以降のバージョン) をインストールします。
再起動の必要性
この修正プログラムを適用した後にサーバーを再起動する必要があります。
修正プログラムの置き換えに関する情報
この修正プログラムは、以前にリリースされた修正プログラムを置き換えません。
ファイル情報
このソフトウェア更新プログラムの英語 (米国) 版では、次の表に示す各属性を持つファイル群がインストールされます。各ファイルの日付および時刻は、世界協定時刻 (UTC) で示されています。ローカル コンピューターにおけるこれらのファイルの日付と時刻は、現在の夏時間を使用したローカル時刻で表示されます。ファイルに対して特定の操作を実行すると、日時が変更される場合があります。
すべてサポートされている x86 ベースのバージョンのアプリケーション要求のルーティングの 3.0 の
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
---|---|---|---|---|---|
requestRouter.dll |
7.1.1965.0 |
310,512 |
05-16-2016 |
21:50 |
x86 |
Microsoft.Web.Management.Arr.Client.dll |
7.1.1965.0 |
379,632 |
05-16-2016 |
21:51 |
msil |
Microsoft.Web.Management.Arr.dll |
7.1.1965.0 |
109,296 |
05-16-2016 |
21:51 |
msil |
すべてサポートされている x64 ベースのバージョンのアプリケーション要求ルーティング 3.0
ファイル名 |
ファイル バージョン |
ファイル サイズ |
日付 |
時刻 |
プラットフォーム |
---|---|---|---|---|---|
requestRouter.dll |
7.1.1965.0 |
326,896 |
05-16-2016 |
21:50 |
x64 |
Microsoft.Web.Management.Arr.Client.dll |
7.1.1965.0 |
379,632 |
05-16-2016 |
21:51 |
msil |
Microsoft.Web.Management.Arr.dll |
7.1.1965.0 |
109,296 |
05-16-2016 |
21:51 |
msil |
状況
マイクロソフトでは、対象セクションに記載されているマイクロソフト製品の更新プログラムは認識しています。
詳細
この修正プログラムをインストールした後は、以下の修正が行われます。
Issue 1
この修正プログラムは、アプリケーション要求ルーティング ヘルパー モジュールの構成設定にtrustImmediateProxy属性を追加します。TrustImmediateProxy trustedProxiesリストに自動的に追加する要求を受信したサーバーが必要かどうかを制御します。TrustImmediateProxyが"false"に設定されていない場合は指定された場合
この修正プログラムを適用した後、 trustUnlisted属性の既定値は"true"から"false"に
構成の例:
<proxyHelper> <trustedProxies trustUnlisted="false" trustImmediateProxy="true">
<add ipAddress="1.1.1.1" />
<add ipAddress="2.2.2.2" />
</trustedProxies>
</proxyHelper>
問題 2
この修正プログラムを適用した後、アプリケーション要求ルーティングの状態チェックはSecureConnectionIgnoreFlagsの設定を使用します。
問題 3
この修正プログラムを適用した後には、SSL サーバー証明書の公開鍵、アルゴリズムの OID の省略可能な文字列でのあたりの web ファームのコレクションの構成をサポート アプリケーション要求ルーティングします。これは、web ファームの作業者から受信したサーバー証明書を検証します。
構成の例:
<webFarms> <webFarm name="MyServerFarm">
<server address="first.backend.com" enabled="true" />
<server address="second.backend.com" enabled="true" />
<applicationRequestRouting>
<publicKeys>
<publicKey bytes="112233445566778899AABBCCDDEEFF" algorithmOid="1.2.840.113549.1.1.11" />
<publicKey bytes="AABBCCDDEEFF112233445566778899" />
</publicKeys>
</applicationRequestRouting>
</webFarm>
</webFarms>
注:
-
バイト数フィールドは、スペースを使用せず、サーバーの証明書の公開キー blob の 16 進表現です。
-
AlgorithmOid は、アルゴリズムの OID の文字列表現です。前の例では、1.2.840.113549.1.1.11 は、SHA256 に対応します。AlgorithmOid は、省略可能です。このオプションを指定しない場合は、任意のアルゴリズム OID ができます。
関連情報
Microsoft がソフトウェア更新プログラムを説明するために使用している用語について説明します。