الأعراض
يرجى مراعاة السيناريو التالي:
-
يمكنك استخدام عميل غير عميل وكيل ويب مثل عميل جدار حماية أو جهاز عميل SecureNAT على شبكة الشركة.
-
يحاول العميل للاتصال بأحد مواقع ويب HTTPS من خلال خادم يقوم بتشغيل Microsoft Forefront التهديد إدارة العبارة (تونس) 2010. على سبيل المثال، يحاول العميل للاتصال ب https://contoso.com.
-
يتم تمكين التفتيش HTTPS على خادم يقوم بتشغيل حالة حرية التعبير في 2010.
-
يستخدم موقع ويب HTTPS المستندة إلى نظام اسم المجال DNS حمل خوارزمية خاصة بإرجاع مسؤول ملقم DNS عنوان IP البديل الذي يحتوي على قيمة منخفضة "فترة البقاء". في هذه الحالة، يؤدي استعلامات متتالية لموقع ويب (contoso.com) عناوين IP مختلفة.
في هذا السيناريو، قد يكون غير قادر على استعراض موقع ويب العميل. بالإضافة إلى ذلك، التالي قد يتم تسجيل في سجل التطبيق على خادم يقوم بتشغيل مجموعة المراقبة 2010:
حالة 12227 لا يطابق الاسم الموجود في شهادة ملقم SSL يوفرها ملقم وجهة اسم المضيف المطلوب.
السبب
تحدث هذه المشكلة بسبب خاص يستند إلى DNS حمل الخوارزمية.
عند فتح عميل وكيل نونويب موقع ويب مثل https://contoso.com، يحل الاسم نفسه العميل ومحاولة تأسيس اتصال طبقة مأخذ توصيل آمنة (SSL) لعنوان IP للوجهة مثل، على سبيل المثال، IP 1.
عند تمكين التفتيش HTTPS، 2010 حالة حرية التعبير في تأسيس اتصال باسم العميل ومحاولة التحقق من صحة شهادة الملقم قبل تمكين اتصال العميل. واحدة من العديد من التحقيقات التي تجري (على سبيل المثال، صلاحية إبطال) بالتحقق من الاتصال الموقع الصحيح.
يتم تنفيذ التحقق كما يلي:
-
يقرأ 2010 مجموعة حقول الشهادة المستردة، مثل Contoso.com اسم الموضوع و اسم الموضوع البديل في هذه الحالة.
-
مجموعة طلعت مصطفى 2010 يحاول الشهادة باستخدام DNS.
-
2010 مجموعة المراقبة التحقق ما إذا كانت النتيجة مطابقة عنوان IP الوجهة الذي يستخدم العميل عندما تم تأسيس الاتصال.
بسبب كيفية موازنة التحميل يتم حل لموقع ويب، وعنوان IP آخر، IP 2يعطي تحليل الاسم في حالة حرية التعبير في عام 2010. لذلك، نظراً لعدم عنواني IP نفس (IP 1 مقابل IP 2)، يرفض 2010 مجموعة الاتصال.
الحل
لحل هذه المشكلة، تثبيت حزمة الإصلاح العاجل الموضح في مقالة "قاعدة معارف Microsoft" التالية:
2735208 مجموعة التحديثات 3 Forefront التهديد إدارة العبارة (تونس) 2010 حزمة الخدمة 2ملاحظة: بعد تثبيت هذا الإصلاح، يمكنك تكوين استثناء "تعيين اسم المجال" للتحقق من صحة عنوان IP التفتيش HTTPS. هذه هي أسماء النطاقات التي يتم منعها جزء التحقق من صحة عنوان HTTPS-التفتيش. ومع ذلك، لا يزال يتم تنفيذ خطوات التحقق من الصحة.
تكوين البرنامج النصي التالي استبعاد "تعيين اسم المجال" أن يكون الشخص الذي يدعى في بداية البرنامج النصي. إنشاء البرنامج النصي أيضا استبعاد "تعيين اسم المجال" إذا كان غير موجود مسبقاً. باستخدام أدوات إدارة حالة حرية التعبير العادي مثل وحدة تحكم الإدارة والبرمجة النصية، يمكنك تعبئة المسؤول المتغير دوميناميسيت حسب الاقتضاء.
' The domain name set for the exclusion listconst strDomainNameSetName = _
"HTTPS-inspection IP address validation exception"
const strDomainNameSetDescription = "HTTPS sites whose certificate's domain-name matches this set are excluded from the validation that the domain-name indeed resolves to the IP address that the Web client originally connected to"
Const strVpsGUID = "{143F5698-103B-12D4-FF34-1F34767DEABC}"
Const strVpsPropertyName = "HTTPSiIpAddressValidationExclusionDNSet"
Const Error_FileNotFound = &H80070002
Set objArray = CreateObject("FPC.Root").GetContainingArray()
Set objDNSet = OpenDNSet( _
objArray.RuleElements.DomainNameSets, _
strDomainNameSetName, _
strDomainNameSetDescription _
)
Set objVPSet = OpenVPSet(objArray.ArrayPolicy, strVpsGUID)
objVPSet.Value(strVpsPropertyName) = objDNSet.PersistentName
objArray.Save
function OpenDNSet(objDNSets, strDNSetName, strDNSetDescription)
On Error Resume Next
Set objDNSet = objDNSets.Item(strDNSetName)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext
On Error GoTo 0
if errNumber = Error_FileNotFound Then
Set objDNSet = objDNSets.Add(strDNSetName)
objDNSet.Description = strDNSetDescription
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If
Set OpenDNSet = objDNSet
end function
function OpenVPSet(objParent, strVpsGUID)
Set objVPSets = objParent.VendorParametersSets
On Error Resume Next
Set OpenVPSet = objVPSets.Item(strVpsGUID)
' Save the Err properties in case it needs to be re-raised
errNumber = Err.Number
errSource = Err.Source
errDescription = Err.Description
errHelpFile = Err.HelpFile
errHelpContext = Err.HelpContext
On Error GoTo 0
if errNumber = Error_FileNotFound Then
Set OpenVPSet = objVPSets.Add(strVpsGUID)
Elseif errNumber < 0 Then
' An error other than "file not found" occured -- re-raise the error,
' this time not under "On Error Resume Next"
Err.Raise errNumber, errSource, errDescription, errHelpFile, errHelpContext
End If
end function
الحل البديل
للتغلب على هذه المشكلة، تكوين العميل للعمل كعميل وكيل ويب. في هذه الحالة، يحدث تحليل الاسم فقط على ملقم مجموعة المراقبة. أو، استبعاد العميلة المتأثرة من التفتيش HTTPS أو استبعاد موقع ويب الوجهة مشكوك فيه، كما هو موصوف على موقع Microsoft TechNet التالي على الويب:
الحالة
أقرت Microsoft أن هذه مشكلة في منتجات Microsoft المسردة في قسم "ينطبق على".
المراجع
لمزيد من المعلومات حول مصطلحات تحديث البرامج، انقر فوق رقم المقال التالي لعرضه في "قاعدة معارف Microsoft":
824684 وصف للمصطلحات القياسية المستخدمة في وصف تحديثات برامج Microsoft
