Beschrijving van Update 2 voor Unified Access Gateway 2010

Samenvatting

Deze releaseopmerkingen adres nieuwste die problemen betrekking hebben op Microsoft Forefront Unified Access Gateway (UAG) 2010. Voordat u Forefront Unified Access Gateway (UAG) installeert, moet u de informatie die is opgenomen in dit document te lezen. Dit artikel bevat de volgende informatie over deze update:

  • Nieuwe functies en verbeteringen die in deze update zijn opgenomen

  • Problemen die in deze update worden opgelost

  • Deze update downloaden

  • Vereisten voor het installeren van deze update

  • Bekende problemen

Inleiding

In dit artikel beschreven Update 2 voor Forefront UAG 2010 en installatie-instructies. Update 2 voor Forefront UAG 2010 de volgende functies biedt:

  • Uitbreiding van de client-componenten: Het onderdeel Forefront UAG SSL toepassing Tunneling (Socket doorstuurserver) wordt nu ondersteund op Windows Vista en Windows 7 64-bits besturingssystemen voor 32-bits toepassingen. Zie de onderstaande tabel voor meer informatie en verlenen #3 voor meer informatie.

    Functie

    Windows XP 32-bits

    Windows Vista, 32-bits

    Windows Vista, 64-bits

    Windows 7 32-bits

    Windows 7 64-bit

    Mac of Linux

    Offline-installatie

    Ja

    Ja

    Ja

    Ja

    Ja

    Nee

    Online-installatie

    Ja

    Ja

    Ja

    Ja

    Ja

    Ja

    Eindpunt detectie

    Ja

    Ja

    Ja

    Ja

    Ja

    Ja

    Bijlage combinatie

    Ja

    Ja

    Ja

    Ja

    Ja

    Ja

    SSL Tunneling onderdeel

    Ja

    Ja

    Ja

    Ja

    Ja

    Ja

    De doorstuurserver socket

    Ja

    Ja

    Ja

    Ja

    Ja

    Nee

    Toepassing SSL Tunneling (Netwerk aansluiting)

    Ja

    Ja

    Ja

    Nee

    Nee

    Nee

    Opmerking: Voor specifieke informatie over Browsers, besturingssystemen en clientonderdeel functies en compatibiliteit, gaat u naar de volgende Microsoft TechNet-webpagina:

    Inleiding tot de systeemvereisten voor Forefront UAG eindpunten

  • Virtual Desktop Infrastructure (VDI): Forefront UAG biedt volledige ondersteuning voor het publiceren van externe bureaubladen via het persoonlijke bureaublad scenario van VDI.

  • Citrix Support publiceren: Forefront UAG biedt volledige ondersteuning voor Citrix presentatie Server 4.5 en de vervanging van Citrix XenApp 5.0.

  • Citrix-Client computerondersteuning: Forefront UAG biedt ondersteuning voor Windows Vista en Windows 7-computers met een 64-bits besturingssystemen geen toegang tot Citrix XenApp toepassingen waarbij de client XenApp 32-bits is. Zie probleem #4 hieronder voor meer informatie.

  • SSTP gebruikers en groepen toegang hebben tot controle: Forefront UAG biedt nu een fijnere autorisatie mechanisme waarmee beheerders afzonderlijke groepen voor SSTP toegang toe te staan.

  • SSL-Handshake: Forefront UAG biedt nu nog krachtiger de verwerking van SSL-handshakes tussen UAG en gepubliceerde webservers.

  • Client Certificate overdracht: Forefront UAG voegt nu een beperkte ondersteuning voor toepassingen waar de application server de referenties van de client-certificaat voor onderhandeling vereist.

  • Ondersteuning voor netwerk-Connector MAC-adres: Forefront UAG netwerkserver Connector ondersteunt een groter aantal netwerkadapters met een uitgebreide MAC-adresbereik.

Raadpleeg de sectie 'Wat is nieuw in Forefront UAG' op de volgende Microsoft-webpagina voor meer informatie over nieuwe functies in Update 2 voor Forefront UAG 2010:

Inleiding tot de productevaluatie die voor Forefront UAG geldt

Meer informatie

Update-informatie

Het volgende bestand kan worden gedownload vanaf het Microsoft Download Center:

Download De Forefront Unified Access Gateway (UAG) Update 2 nu downloaden.

Voor meer informatie over het downloaden van Microsoft-ondersteuningsbestanden klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

Hoe 119591 Microsoft-ondersteuningsbestanden via online services downloadenMicrosoft heeft dit bestand op virussen gecontroleerd. Microsoft gebruikt de meest actuele software voor virusdetectie die beschikbaar was op de datum waarop het bestand werd gepost. Het bestand is opgeslagen op beveiligde servers die onbevoegde wijzigingen aan het bestand verhinderen.

Vereisten

Deze update is cumulatief en kan worden toegepast op toestellen, servers of virtuele machines met de volgende versies van UAG 2010:

  • UAG 2010 (RTM)

  • UAG 2010 Update 1

  • UAG 2010 1 1 Hotfix updatepakket

Voor meer informatie over UAG 1 klikt u op het volgende artikel in de Microsoft Knowledge Base:

981323 beschrijving van Update 1 voor Unified Access Gateway 2010Voor meer informatie over hotfix-pakket voor UAG 1 updatepakket 1, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base:

981932 beschrijving van het hotfixpakket voor updatepakket 1 voor Unified Access Gateway 2010 Update 1

Opmerkingen bij de installatie

Volgorde van installatie als een matrix UAG server in gebruik

  1. Update 2 eerst op de array manager installeren.

  2. Opnieuw opstarten.

  3. UAG configuratie activeren.

  4. Wacht totdat de configuratie te synchroniseren.

  5. 2 in het eerste matrixlid niet manager geïnstalleerd.

  6. Opnieuw opstarten.

  7. Herhaal dit voor alle overige matrixleden van de.

Opmerking Indien vereist, moet het verwijderen van 2 in omgekeerde volgorde worden uitgevoerd.

Opnieuw opstarten

In scenario's voor niet-arrayhoeft u niet de computer opnieuw opstarten nadat u dit updatepakket hebt toegepast. Nadat u het updatepakket hebt geïnstalleerd, moet u de configuratie UAG activeren. Houd er rekening mee dat het uitvoeren van de activering UAG worden bestaande verbindingen SSL Tunneling van toepassing op de server UAG wordt beëindigd.

Opnieuw opstarten is vereist in scenario's matrix . De bovenstaande matrix installatiestappen zijn vereist voor een succesvolle implementatie van de update wanneer u een matrix, volgt u deze stappen niet kan leiden tot beschadiging van de matrix en verlies van de configuratie.

Informatie over het vervangen van hotfixes

Deze hotfix vervangt geen eerder uitgebrachte hotfix.

Installatie ongedaan maken

Om deze update te verwijderen, gebruikt u een van de volgende methoden:

  • Meld u aan als beheerder van een ingebouwde en vervolgens de update verwijderen met behulp van het onderdeel programma's en onderdelen in het Configuratiescherm.

  • Typ de volgende opdracht uit vanaf een opdrachtprompt en druk vervolgens op ENTER:

    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Bestandsinformatie

De Engelse versie van deze hotfix heeft de bestandskenmerken (of recentere bestandskenmerken) die in de volgende tabel worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). Wanneer u de bestandsinformatie weergeeft, wordt deze naar lokale tijd geconverteerd. Gebruik het tabblad tijdzone in het onderdeel datum en tijd in het Configuratiescherm om het verschil tussen UTC en lokale tijd.

Bestandsnaam

Bestandsversie

Bestandsgrootte

Datum

Tijd

Platform

Agent_win_helper.jar

Niet van toepassing

1,286,015

30-Aug-2010

13:12

Niet van toepassing

Clientconf.xml

Niet van toepassing

6,675

15-Sep-2010

06:41

Niet van toepassing

Configdatacomlayer.dll

4.0.1269.200

192,400

15-Sep-2010

08:13

x64

Configdatalayer.dll

4.0.1269.200

3,871,632

15-Sep-2010

08:06

x64

Configmgrcom.exe

4.0.1269.200

199,568

15-Sep-2010

08:01

x64

Configmgrcomlayer.dll

4.0.1269.200

2,246,032

15-Sep-2010

08:15

x64

Configmgrcore.dll

4.0.1269.200

1,375,632

15-Sep-2010

08:23

x64

Configmgrinfra.dll

4.0.1269.200

1,599,888

15-Sep-2010

08:12

x64

Configmgrlayer.dll

4.0.1269.200

215,440

15-Sep-2010

08:05

x64

Configuration.exe

4.0.1269.200

8,920,976

15-Sep-2010

08:22

x64

Detection.js

Niet van toepassing

14,591

15-Sep-2010

07:20

Niet van toepassing

Https_whlfiltappwrap_forpor

Niet van toepassing

60,961

15-Sep-2010

07:19

Niet van toepassing

Http_whlfiltappwrap_forport

Niet van toepassing

59,475

15-Sep-2010

07:19

Niet van toepassing

Install.js

Niet van toepassing

11,218

15-Sep-2010

07:20

Niet van toepassing

Installanddetect.asp

Niet van toepassing

12,067

15-Sep-2010

07:20

Niet van toepassing

Internalerror.asp

Niet van toepassing

8,344

15-Sep-2010

07:20

Niet van toepassing

Internalerror.inc

Niet van toepassing

24,402

15-Sep-2010

07:20

Niet van toepassing

Login.asp

Niet van toepassing

24,183

15-Sep-2010

07:20

Niet van toepassing

Logoffmsg.asp

Niet van toepassing

7,705

30-Aug-2010

13:11

Niet van toepassing

Microsoft.uag.da.messages.d

4.0.1269.200

33,680

15-Sep-2010

08:14

x64

Microsoft.uag.transformer.c

4.0.1269.200

6,297,488

15-Sep-2010

08:02

x86

Monitormgrcom.exe

4.0.1269.200

151,952

15-Sep-2010

08:01

x64

Monitormgrcore.dll

4.0.1269.200

740,240

15-Sep-2010

08:23

x64

Monitormgrlayer.dll

4.0.1269.200

354,192

15-Sep-2010

08:12

x64

Policy.xml

Niet van toepassing

80,244

17-Oct-2010

12:16

Niet van toepassing

Policydefinitions.xml

Niet van toepassing

61,516

15-Sep-2010

07:15

Niet van toepassing

Redirecttoorigurl.asp

Niet van toepassing

1,423

30-Aug-2010

13:11

Niet van toepassing

Repairinstallation.vbs

Niet van toepassing

3,044

30-Aug-2010

13:12

Niet van toepassing

Ruleset_forinternalsite.ini

Niet van toepassing

47,019

30-Aug-2010

13:11

Niet van toepassing

Sessionmgrcom.exe

4.0.1269.200

233,872

15-Sep-2010

08:24

x64

Sessionmgrcomlayer.dll

4.0.1269.200

1,641,360

15-Sep-2010

08:02

x64

Sessionmgrcore.dll

4.0.1269.200

738,192

15-Sep-2010

08:01

x64

Sessionmgrinfra.dll

4.0.1269.200

1,197,968

15-Sep-2010

08:22

x64

Sessionmgrlayer.dll

4.0.1269.200

200,592

15-Sep-2010

08:04

x64

Sfhlprutil.cab

Niet van toepassing

57,194

15-Sep-2010

08:35

Niet van toepassing

Shareaccess.exe

4.0.1269.200

492,944

15-Sep-2010

08:12

x64

Sslbox.dll

4.0.1269.200

58,768

15-Sep-2010

08:14

x64

Sslvpntemplates.xml

Niet van toepassing

28,704

30-Aug-2010

13:12

Niet van toepassing

Sslvpn_https_profiles.xml

Niet van toepassing

968

17-Oct-2010

12:16

Niet van toepassing

Uagqec.cab

Niet van toepassing

64,842

15-Sep-2010

08:36

Niet van toepassing

Uagqessvc.exe

4.0.1269.200

207,760

15-Sep-2010

08:04

x64

Uagrdpsvc.exe

4.0.1269.200

144,272

15-Sep-2010

08:14

x64

Uninstalluagupdate.cmd

Niet van toepassing

212

15-Sep-2010

08:41

Niet van toepassing

Usermgrcom.exe

4.0.1269.200

119,184

15-Sep-2010

08:01

x64

Usermgrcore.dll

4.0.1269.200

837,008

15-Sep-2010

08:01

x64

Whlasynccomm.dll

4.0.1269.200

107,408

15-Sep-2010

08:14

x64

Whlcache.cab

Niet van toepassing

265,768

15-Sep-2010

08:36

Niet van toepassing

Whlclientsetup-all.msi

Niet van toepassing

2,964,992

15-Sep-2010

08:22

Niet van toepassing

Whlclientsetup-basic.msi

Niet van toepassing

2,964,992

15-Sep-2010

08:01

Niet van toepassing

Whlclientsetup networkconne

Niet van toepassing

2,965,504

15-Sep-2010

08:04

Niet van toepassing

Whlclientsetup networkconne

Niet van toepassing

2,965,504

15-Sep-2010

08:03

Niet van toepassing

Whlclientsetup socketforwar

Niet van toepassing

2,964,992

15-Sep-2010

08:24

Niet van toepassing

Whlclntproxy.cab

Niet van toepassing

242,713

15-Sep-2010

08:35

Niet van toepassing

Whlcompmgr.cab

Niet van toepassing

689,483

15-Sep-2010

08:35

Niet van toepassing

Whlcppinfra.dll

4.0.1269.200

669,584

15-Sep-2010

08:23

x64

Whldetector.cab

Niet van toepassing

263,764

15-Sep-2010

08:36

Niet van toepassing

Whlfiltappwrap.dll

4.0.1269.200

315,280

15-Sep-2010

14:02

x64

Whlfiltappwrap_http.xml

Niet van toepassing

59,475

15-Sep-2010

13:19

Niet van toepassing

Whlfiltappwrap_https.xml

Niet van toepassing

60,961

15-Sep-2010

13:19

Niet van toepassing

Whlfiltauthorization.dll

4.0.1269.200

311,696

15-Sep-2010

14:23

x64

Whlfilter.dll

4.0.1269.200

589,200

15-Sep-2010

14:22

x64

Whlfiltsecureremote.dll

4.0.1269.200

1,037,200

15-Sep-2010

14:22

x64

Whlfiltsecureremote_http.xm

Niet van toepassing

77,404

30-Aug-2010

13:11

Niet van toepassing

Whlfiltsecureremote_https.x

Niet van toepassing

80,308

17-Oct-2010

12:16

Niet van toepassing

Whlfirewallinfra.dll

4.0.1269.200

444,816

15-Sep-2010

08:13

x64

Whlgenlib.dll

4.0.1269.200

511,376

15-Sep-2010

08:04

x64

Whlglobalutilities.dll

4.0.1269.200

106,384

15-Sep-2010

08:05

x64

Whlinstallanddetect.inc

Niet van toepassing

4,476

30-Aug-2010

13:11

Niet van toepassing

Whlio.cab

Niet van toepassing

167,277

15-Sep-2010

08:35

Niet van toepassing

Whlioapi.dll

4.0.1269.200

76,176

15-Sep-2010

08:04

x64

Whliolic.dll

4.0.1269.200

15,760

15-Sep-2010

08:22

x64

Whlios.exe

4.0.1269.200

137,104

15-Sep-2010

08:24

x64

Whllln.cab

Niet van toepassing

167,095

15-Sep-2010

08:36

Niet van toepassing

Whlllnconf1.cab

Niet van toepassing

6,521

15-Sep-2010

08:35

Niet van toepassing

Whlllnconf2.cab

Niet van toepassing

6,610

15-Sep-2010

08:36

Niet van toepassing

Whlllnconf3.cab

Niet van toepassing

6,599

15-Sep-2010

08:35

Niet van toepassing

Whltrace.cab

Niet van toepassing

254,352

15-Sep-2010

08:36

Niet van toepassing

Whltsgauth.dll

4.0.1269.200

184,208

15-Sep-2010

08:02

x64

Whltsgconf.dll

4.0.1269.200

87,440

15-Sep-2010

08:22

x64

Whlvaw_srv.dll

4.0.1269.200

138,128

15-Sep-2010

08:05

x64

Wioconfig.dll

4.0.1269.200

496,528

15-Sep-2010

08:01

x64




Opgeloste problemen die in deze update zijn opgenomen

Deze update corrigeert de volgende problemen die niet eerder zijn beschreven in het Microsoft Knowledge Base-artikel.

Probleem 1


Symptoom

Beheerders moeten nauwkeurig toegangsbeheer voor hun Secure Socket Tunneling Protocol (SSTP) virtueel particulier netwerk (VPN)-clients. SSTP configureren op UAG wordt een afzonderlijke-regel die de VPN-client toegang tot het volledige interne netwerk geeft gemaakt.

Volgens de volgende tekst in http://technet.microsoft.com/en-us/library/ee522953.aspx wordt ondersteund voor het gebruik van de console Threat Management Gateway (TMG) voor het maken van regels die nauwkeurig toegangsbeheer voor SSTP VPN-toegang inschakelen:

"Maken toegangsregels met behulp van de Forefront TMG-beheerconsole voor het beperken van gebruikers, groepen en netwerken voor gedetailleerde toegang bij het implementeren van Forefront UAG voor netwerktoegang voor VPN-RAS."

Echter wanneer beheerders toegangsregels gebruikerstoegang te beperken maakt, zijn deze regels verwijderd of verplaatst naar de onderkant van het toegangsbeleid na UAG activeren. Dit betekent dat de standaardregel prioriteit en de geconfigureerde granulaire controle verloren gegaan is.

Oorzaak

Deze problemen wordt veroorzaakt door een beperking in het ontwerp van de integratie tussen UAG en de dynamisch gegenereerde regels die tijdens de activering UAG naar TMG worden geïmplementeerd.

Oplossing

Handmatige wijziging van TMG regels nauwkeurig toegangsbeheer ondersteunen zoals beschreven op TechNet wordt afgeschreven (en wordt niet meer ondersteund na de installatie van UAG 2) door de expliciete ondersteuning nauwkeurig toegangsbeheer in de beheerconsole UAG.

UAG beheerders kunnen de toegang tot specifieke interne netwerkadressen SSTP VPN-gebruikers die lid van een bepaalde Active Directory-groepen zijn nu expliciet inschakelen. UAG beheerders moeten het nieuwe tabblad Gebruikersgroepen van het dialoogvenster SSL Tunneling netwerkconfiguratie gebruiken voor het definiëren van gedetailleerde VPN IP-beleid dat uit een reeks toegangsregels bestaat. Elke regel definieert een set interne netwerk IP-adressen en IP-adresbereiken voor leden van een bepaalde Active Directory-groep toegang tot verbonden met SSTP VPN.

Probleem 2


Symptoom

Ondersteuning voor Microsoft Virtual Desktop Infrastructure (VDI) in UAG is niet volledig geïmplementeerd.

Oorzaak

Vanwege een misleidende UAG UI, problematische configuraties en niet voor de ondersteuning van meerdere vergunning in verschillende bronnen tijdens uitvoering VDI werken niet goed.

Oplossing

We hebben een ontwerp wijzigen om de UI UAG bijwerken en ondersteunen van het scenario van het persoonlijke bureaublad van VDI met een krachtiger uitvoering aangebracht. Het bureaublad gepoold scenario van VDI is niet geïmplementeerd en kan worden uitgevoerd in een toekomstige update van UAG.

Probleem 3


Symptoom

Het clientonderdeel UAG voor SSL toepassing Tunneling (Socket doorstuurserver) wordt niet ondersteund op 64-bits versie van Windows 7 en 64-bits versie van Windows Vista.

Oorzaak

Dit is het ontworpen gedrag van de clientonderdelen UAG vóór het uitbrengen van 2 UAG.

Oplossing

We hebben aangebracht ontwerp wijzigen om het volgende scenario:

Er zijn andere toepassingen die gebruikmaken van UAG Socket doorsturen brede verzameling / toepassing Tunneling als methode voor publicatie. Bijvoorbeeld, dergelijke toepassingen Citrix XenApps en presentatie Server 4.5, en ze beide ActiveX-toepassingen in de browser worden uitgevoerd. Voordat u deze update door technische beperkingen, wij niet toestaan implementatie van deze methoden publiceren op 64-bits versie van de besturingssystemen op clientcomputers. Daarom mag de gepubliceerde toepassing die gebruikmaakt van deze methoden worden geopend van 32-bits versie van de client gebruik van systemss in plaats van 64-bits besturingssystemen.

De wijziging aangebracht in dit scenario is bedoeld als een methode van implementatie voor de client Socket doorsturen (SF) onderdelen op 64-bits versie van Windows-besturingssystemen waarmee getunnelde toepassingen worden geopend. De beperkingen van deze toepassing zijn als volgt:

  • Ondersteuning voor Socket doorstuurserver is beperkt tot 64-bits versie van Windows Vista en de 64-bits versie van Windows 7, andere 64-bits versies van besturingssystemen worden niet ondersteund.

  • Socket doorstuurserver wordt alleen ondersteund wanneer gebruikers UAG vanuit de 32-bits versie van Internet Explorer (uitgevoerd in WOW64 32 bit emulatie).

  • Socket doorstuurserver zullen alleen werken met 32-bits toepassingen (toepassingen WOW64) en zullen niet werken met native 64-bits toepassingen.

Implementatieopties voor bijgewerkte onderdelen zijn:

  • On line: de standaardmethode die implementatie van SF-componenten worden uitgevoerd. De onderdelen worden op de eerste aanroep van UAG portal toepassingen die als de methode voor tunneling publishing SF, gedownload en geïnstalleerd.

  • Off line: beheerders ook de juiste toepassing van Windows Installer (MSI) op een client kunnen implementeren met behulp van scripts softwaredistributie of handmatige installatie. Na de installatie van 2 UAG zijn de bestanden beschikbaar op de server UAG op de volgende locatie:

    % UAG installatie directory%\von\PortalHomePage\

Probleem 4


Symptoom

U geen toegang tot Citrix XenApps 5.0 die wordt gepubliceerd met UAG vanaf een clientcomputer waarop een 64-bits versie van Windows Vista of venster 7.

Oorzaak

Dit is het ontworpen gedrag van de clientonderdelen UAG vóór het uitbrengen van 2 UAG.

Oplossing

Raadpleeg de sectie 'Oplossing' van probleem 3 voor meer informatie.

Probleem 5


Symptoom

Wanneer u probeert te maken of bewerken van een eindpuntbeleid, voorkomt het beleid van de "Totale bescherming van McAfee" twee keer in de lijst. Als u het tweede "Totale bescherming van McAfee" beleid selecteert, wordt een foutbericht van de volgende strekking:

bronregel kan niet worden gevonden


Oorzaak

Dit probleem treedt op omdat het bestand % UAG installatie directory%\von\Conf\PolicyDefinitions.xml bevat twee vermeldingen met dezelfde naam en id

Oplossing

Het dubbel boekhouden probleem is opgelost door het verwijderen van de tweede record van het bestand PolicyDefinitions.xml.

Probleem 6

Symptom

Wanneer u toegang een bron die wordt gepubliceerd door UAG tot, foutbericht clients een "onbekende fout tijdens het verwerken van het certificaat" in de browser. De beheerder UAG kan Zie ook in UAG serverlogboeken voor foutopsporing die SEC_I_CONTINUE_NEEDED als resultaat worden gegeven tijdens de SSL-onderhandeling stap "Handshake bevestigen staat." Na die stap de logboeken voor foutopsporing worden weergegeven dat de pagina /InternalSite/InternalError.asp wordt geretourneerd naar de client met fout code 37. Foutcode 37 wordt het foutbericht "Er is een onbekende fout opgetreden tijdens het verwerken van het certificaat."

Cause

Het bestaande mechanisme van SSL wordt niet correct handli verschillende scenario's wanneer er SSL-handshake wordt uitgevoerd met een back-endserver gepubliceerd via UAG. De streaming aard van SSL maakt een ingewikkelder scenario met een mogelijkheid van hetzij onvoldoende gegevens te ontvangen of te veel informatie tijdens de handshake lezen. In dit scenario, InitializeSecurityContext wordt gemeld dat u aanvullende gegevens die moeten worden opgeslagen voor gebruik in de toekomst hebt doorgegeven (vermoedelijk nadat u meer gegevens lezen via de kabel).

Resolution

De handshake-algoritme is uitgebreid met ondersteuning van bijkomende gevallen voor streaming en scenario's.


Issue 7

Symptom

Als u een gepubliceerde toepassing van HTTPS via UAG, ontvangt de gebruiker fout 37: "Er is een onbekende fout opgetreden tijdens het verwerken van het certificaat." Een beheerder die logboekregistratie voor foutopsporing (waarin de trace SSLBOX_BASE) terwijl de gebruiker toegang heeft tot de toepassing verschijnt het volgende foutbericht weergegeven:

Fout: kan niet worden geïnitialiseerd beveiligingscontext. Fout: 0x90320.

InitializeSecurityContext return SEC_INCOMPLETE_CREDENTIALS – Schannel vereist de referenties van de client-certificaat

Cause

De van de back-end-toepassingsserver is geconfigureerd voor het vragen om referenties voor client-certificaat tijdens de SSL-onderhandeling. Voordat u deze update is deze functionaliteit niet ondersteund. Daarom mislukt de onderhandeling met een fout.

Resolution

Er zijn twee mogelijke scenario's waar de back-end-server om de referenties van de client-certificaat vraagt:

  • De back-end application server vraagt om een certificaat te verkrijgen van een certificaatcontext maar is niet vereist. Voor deze aanvraag die een terugval is geïmplementeerd UAG opnieuw uit te voeren zodat wordt de onderhandelingen na de SEC_INCOMPLETE_CREDENTIALS -retourcode ontvangen. Gewoonlijk wordt de back-end-server hoeft geen certificaat en deze onderhandeling met succes is voltooid.

  • De back-endtoepassing is vereist voor verificatie van clientcertificaten. De wijziging die is geïmplementeerd in het ontwerp is niet toegestaan voor de client op te geven door clientcertificaten, maar wordt toegestaan voor een enkel geldig clientcertificaat in te vullen met de back-end-webserver voor alle gebruikers.

    In dit geval moet de beheerder UAG leveren een geldig clientcertificaat en op UAG server als een computercertificaat installeren.

    1. Als de module UAG SSLBox te halen en het juiste certificaat te verkrijgen, gaat u als volgt te werk:

      1. Voer de opdracht MMC opent de beheerconsole.

      2. Klik op bestanden klik vervolgens op module toevoegen/verwijderen.

      3. Selecteer certificaten uit de lijst en klik vervolgens op toevoegen.

      4. Selecteer computeraccount en klik vervolgens op Voltooien.

      5. Open het persoonlijke certificaatarchief.

      6. Selecteer het vereiste certificaat voor clientverificatie voor in de lijst en dubbelklik op het certificaat. Of klik met de rechtermuisknop op het certificaat en klik vervolgens op openen.

      7. Selecteer het deelvenster met Details en omlaag schuiven.

      8. Selecteer de eigenschap vingerafdruk .

      9. De waarde van de eigenschap in het deelvenster bellow selecteren en de waarde kopiëren door op CTRL + C te drukken.

      10. Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:

        322756 het back-up maken en het register terugzetten in Windowsa. start de Register-Editor (Regedt32.exe).

        b. Zoek en klik op de volgende sleutel in het register:

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. Klik in het menu bewerken op Waarde toevoegenen voeg de volgende registerwaarde toe:

        Naam: ClientCertHash
        Gegevenstype: String
        Waarde: {tekst gekopieerd in stap 9} [bijvoorbeeld: a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e VA-8b]
        d. Sluit Register-Editor.
        e. IISReset uitvoeren als beheerder IIS opnieuw starten.
        f. de UAG configuratie activeren.

Probleem 8

Symptom

In sommige gevallen bericht clientcomputers waarop de clientonderdelen UAG geïnstalleerd in een 'uagqecsvc' gebeurtenis-ID 85 logboek geschreven naar de Windows-gebeurtenislogboeken elke minuut wanneer die client met een Server UAG communiceert. Hoewel dit een false waarschuwing vult dit het gebeurtenissenlogboek van client waardoor het moeilijk voor beheerders of de helpdesk van het ontdekken van de echte gebeurtenissen in de Windows-gebeurtenislogboeken van de client. Deze berichten wordt altijd weergegeven op de client elke minuut als die client verbinding met een server IAG maakt.

Gebeurtenis-ID: 85

Bron: uagqecsvc

Type: fout

Beschrijving van Het onderdeel Microsoft Forefront UAG Quarantine Enforcement Client kan de enforcement client callback HRESULT-waarde niet initialiseren: 0x8027000E. Dit probleem kan optreden als het onderdeel beveiligingsbeleid niet inschakelen.


Er kan ook worden een andere gerelateerde gebeurtenis in de gebeurtenislogboeken van de client.

Gebeurtenis-ID: 16

Bron: uagqecsvc

Log naam: toepassing

Beschrijving van Het onderdeel Microsoft Forefront UAG Quarantine Enforcement Client kan de status van de service Network Access Protection (NAP)-Agent niet ophalen. Systeemfout 1115: afsluiten van het systeem wordt uitgevoerd. (0x45b). Als de Microsoft Forefront UAG Quarantine Enforcement Client component wordt gestart, probeert het query-instellingen van de service NAP-agent.

Hoewel dit probleem niet rechtstreeks is gerelateerd aan UAG of UAG implementaties, is het mogelijk dat bij sommige implementaties UAG client components geïnstalleerd op deze hebt gebruikers toegang IAG- en UAG servers tot.

Cause

De clientonderdelen UAG een onderdeel service 'uagqecsvc' met een weergavenaam van 'Microsoft Forefront UAG Quarantine Enforcement Client' welke query's eindpunt de gezondheidsstatus hebben met NAP en meldt de status terug naar de module NAP op UAG. In sommige gevallen wordt dit probleem in UAG implementaties worden gezien als de service opnieuw herhaaldelijk probeert te binden aan de UAG server. De binding wordt uitgevoerd in de lus met een time-out minuut totdat de verbinding kan maken.

Bovendien beginnen bij IAG Service Pack 2-Update 3, zijn de clientonderdelen UAG overgezet naar IAG. Daarom is ook de uagqecsvc-service geïnstalleerd op clientcomputers die verbinding met de IAG-server met Service Pack 2-Update 3 client-componenten. Omdat de functie voor de detectie van NAP-eindpunt bestaat niet in IAG, blijft de client die de UAG geïnstalleerd op deze onderdelen verbinding maakt met de service NAP-UAG elke minuut, tijdens het genereren van de eerder genoemde logboek mailberichten in de gebeurtenislogboeken van Windows.

Resolution

In eerdere versies van de componenten een minuut is ingesteld als de standaard time-outperiode voor nieuwe pogingen om te communiceren met de detectie UAG NAP-agent is deze gewijzigd in UAG Update 2 tot 1 uur. Handmatig bepalen de time-outwaarde op de client is bedoeld voor beheerders om deze waarde te wijzigen.

Belangrijk Deze sectie, methode of taak bevat stappen voor het wijzigen van het register. Echter, er kunnen ernstige problemen optreden als u het register onjuist bewerkt. Daarom is het belangrijk de volgende stappen zorgvuldig te volgen. Als extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Vervolgens kunt u het register herstellen als er een probleem optreedt. Voor meer informatie over hoe u een back-up van het register kunt maken en terugzetten, klikt u op het volgende artikel in de Microsoft Knowledge Base:

322756 het back-up maken en het register terugzetten in WindowsComputergebruikers of beheerders kunnen handmatig definiëren op elke clientcomputer de time-outwaarde in milliseconden. Ga hiervoor als volgt te werk:

  1. Start Register-Editor (Regedt32.exe).

  2. Zoek en klik op de volgende sleutel in het register:

    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC

  3. Klik op Waarde toevoegenin het menu bewerken en voeg de volgende registerwaarde toe:

    Naam: InitRetryTimeout
    Gegevenstype: REG_DWORD
    Grondtal: decimaal
    Waarde: (tijd in milliseconden 360000 is de standaard, maar deze waarde moet
    groter vervolgens 6000)

  4. Sluit Register-editor.

  5. Start de computer opnieuw op.

Probleem 9
Symptoom

(Beheerder UAG) hebt geïnstalleerd op een server waarop een gelokaliseerde APAC taalversie van Windows 2008 R2 UAG. Wanneer u een trunk op UAG maken probeert, wordt een foutbericht weergegeven en het maken van romp is gestopt.

Bijvoorbeeld lege vensters, onverwachte foutberichten of frequente MMC optreden crashes wanneer u probeert een trunk op UAG maken.

Oorzaak

Dit probleem treedt op vanwege onjuiste manipulaties van systeembronnen. Deze onjuiste manipulaties leiden tot een fout tijdens het uitvoeren van UAG in sommige taalversies van niet-Westers van besturingssystemen (Chinees/Japans/Koreaans).

Oplossing

De code die verantwoordelijk is voor het verkrijgen van toegang tot deze systeembronnen is opgelost.

Probleem 10


Symptoom

Eindpunt sessie opruimen onderdeel uit te voeren na het opnieuw opstarten van een eindpunt niet gestart. Bovendien een explorer-venster wordt geopend die naar de map components client na een herstart verwijst.

Oorzaak

Voordat u opnieuw op te starten schrijft eindpunt sessie opruimen onderdeel een registerwaarde onder de sleutel 'Uitvoeren'. Deze registerwaarde kan Windows eindpunt sessie opruimen onderdeel automatisch wordt gestart na een herstart. Deze padwaarde van de registersleutel is echter een uitvoerbaar pad die spaties bevat. Dus optreedt een fout.

Oplossing

De padwaarde die naar het uitvoerbare bestand van bijlage combinatie die is geschreven onder de sleutel verwijst 'Uitvoeren' wordt nu geschreven als een tekenreeks tussen aanhalingstekens om te voorkomen dat eventuele fouten.

Probleem 11


Symptoom

Wanneer u probeert toegang te krijgen tot de opties instellen in Exchange Server 2007 Outlook Web Application (OWA) die worden gepubliceerd via UAG taal, wordt het volgende foutbericht naar de client worden verzonden.

U hebt geprobeerd toegang te krijgen tot een beperkte URL.


Oorzaak

Dit probleem treedt op omdat het vak sjabloon verouderd voor Exchange Server 2007 OWA niet beschikt over een RuleSet post voor de URL"/owa/languageselection.aspx". Het mechanisme UAG RuleSet kunnen niet de toegang tot een URL die niet in de lijst met wit.

Oplossing

Een nieuwe regel wordt toegevoegd om de toegang tot deze bron URL voor publicatie in OWA Exchange 2007. In dit geval kan de nieuwe regel 'ExchangePub2007_Rule36' de toegang tot de URL '/owa/languageselection.aspx'.

Probleem 12


Symptoom

Wanneer een gebruiker probeert toegang te krijgen tot een site UAG of probeert toegang te krijgen tot een bladwijzer pad binnen de toepassing in plaats van het pad UAG aanmelding, wordt de gebruiker 500 Interne serverfout ontvangt en geen toegang tot de site.

Opmerking De site UAG AD FS gebruikt voor verificatie en direct een uitgegeven toepassing aanvraagt.

Oorzaak

Bij UAG ADFS gebruiken voor verificatie is geconfigureerd, worden diverse omleidingen tussen Security Token Service (STS) en de interne site UAG optreden. Als de redirectes niet op de verwachte wijze gebeurt zijn, geeft UAG fouten als resultaat. Wanneer een gebruiker probeert direct toegang tot een gepubliceerde bron in plaats van de portal-site, is het hieronder vermeld afwijkt verbroken. Daarom optreedt interne serverfout.

Oplossing

Dit probleem is opgelost in deze update.

Probleem 13

Symptoom

Wanneer een beheerder een opslagplaats ActiveDirectory type verificatie te configureren is, kan de beheerder de geneste waarde van de groep "onbeperkt" instellen. Volgens specificatie UAG, kan de waarde van het veld voor de geneste groep niet leeg zijn. Echter, als het veld leeg is, en de configuratie is opgeslagen en geactiveerd, de waarde is ingesteld terug naar "0" onverwacht.

Opmerking De MMC UAG moet worden gesloten en opnieuw geopend om de waarde 0 (nul) weergegeven. Als UAG-specificatie betekent '0' dat er geen geneste groepen. Nesten van groepen werken daardoor niet zoals verwacht.

Oorzaak

Dit probleem treedt op omdat de juiste waarde voor het veld voor de geneste groep in de configuratie kan niet worden opgeslagen. Daarom kan niet de juiste waarde worden toegepast op de grafische interface en de functies voor verificatie.

Oplossing

De waarde in de configuratie wordt nu juist opgeslagen en bijgewerkt wanneer u de geneste groep-waarde wordt verwijderd uit de GUI ook, de waarde correct is toegepast op de functies voor verificatie.

Opmerking Microsoft raadt u aan de waarde voor het laagste nummer dat vereist is voor de vergunning in UAG. U kunt de waarde hoger is dan 2 niveaus van geneste vanwege de mogelijke vertraging en de vereiste resources instellen. Als meer dan 2 niveaus vereist voor een implementatie zijn, kunt u de gevolgen van deze wijzigingen moet testen voordat het systeem wordt geïmplementeerd in de productie. Deze instellingen kunnen leiden tot de server UAG en DC's die worden gebruikt voor verificatie door UAG vastlopen vanwege de hoge systeembronnen in extreme gevallen.

Probleem 14


Symptoom

Wanneer u probeert het venster te sluiten netwerk connector (NC) server configuratie nadat u de NC-server inschakelt, wordt het volgende foutbericht weergegeven:

Verkeerde Netwerkconnector parameters, ongeldige segmentadres


Oorzaak

SSL Tunneling van netwerk-service kan worden gebruikt wanneer de fysieke netwerkadapters hebt MAC-adressen die met "00 beginnen".

Oplossing

SSL Tunneling van netwerk-service kan worden gebruikt, zelfs als de fysieke netwerkadapters hebt MAC-adressen die met "00 beginnen".

Probleem 15


Symptoom

UAG werd uitgebracht met slechts gedeeltelijke ondersteuning voor Citrix XenApp 5.

Als u publiceren Citrix zonder fouten wilt, zijn zij verplicht om de stappen die worden beschreven in de volgende Microsoft-website:

Inleiding tot het publiceren van Citrix XenApp 5.x met UAG 2010
Oorzaak

Dit probleem treedt op omdat de Citrix-ondersteuning verbroken is.

Oplossing

De stappen die worden beschreven in het bovenstaande goed publiceren Citrix XenApp 5.0 zijn nu opgenomen in deze update.

Probleem 16


Symptoom

De AV-product "Trend Micro OfficeScan anti-virus" of "Trend Micro PC-Cillin-antivirussoftware" is vanuit de grafische gebruikersinterface ingeschakeld. In dit geval als u een beleid maken en pas het beleid aan een toepassing, wordt het volgende foutbericht weergegeven tijdens het activeren:

Bronregel kan niet worden gevonden


Oorzaak

Dit probleem treedt op omdat het validatiealgoritme beleid syntaxis missers afhankelijkheden die voor een bepaald beleid vereist zijn.

Oplossing

De afhankelijkheden die zijn vereist voor dit beleid worden toegevoegd aan beleid syntaxis validatiealgoritme nadat u deze update hebt geïnstalleerd.

Bekende problemen


  • Nadat u deze update wordt de netwerkadapter SSL netwerk Tunneling onzichtbaar in het venster Netwerkverbindingen. Dit gedrag is inherent aan het ontwerp. Om ervoor te zorgen dat de netwerkadapter is geïnstalleerd Apparaatbeheer openen en selecteer 'verborgen apparaten weergeven' post in het menu Beeld.

  • De bewerking van de update verwijderen kan soms met een foutbericht weergegeven, die aangeeft dat het bestand 'FirefrontUAG.msi' kan niet worden gevonden of de installatiefout 1269 mislukken.

    1. Menu Start openen en geef verborgen bestanden en mappen weergeven.

    2. In het geopende venster Geavanceerde instellingen de optie Beveiligde besturingssysteembestanden (aanbevolen) verbergen uitschakelen en klik op OK.

    3. Open een verhoogd opdrachtpromptvenster en typ UninstallUagUpdate.

    4. Wacht enkele minuten voor de database installatie herstellen als dat nodig is.
      Opmerking Verschijnt er een bericht weergegeven waarin u informatie over de noodzaak van een reparatie.


  • Citrix XenApp ondersteuning is alleen voor versie 5.0. Latere versies worden niet ondersteund.

  • Deze release ondersteunt alleen het persoonlijke bureaublad scenario van VDI. Gegroepeerde desktop scenario wordt momenteel niet ondersteund.

  • Socket doorsturen is beschikbaar in het venster 7 en Vista 64-bits clients voor 32-bits toepassingen (toepassingen WOW64). Het is niet beschikbaar voor native 64-bits toepassingen.

  • Publishing OWA voor Exchange 2010 Service Pack 1 door UAG vereist handmatige wijziging van een AppWrap en wijzigingen in de RuleSets. Een artikel over de stappen die nodig zijn om dit te doen is gepubliceerd op het Product UAG team blog http://blogs.technet.com/b/edgeaccessblog/. De stappen die worden beschreven in het artikel zal worden geïntegreerd in een toekomstige update van UAG.

  • Microsoft Customer Support Services (CSS) kan geen ondersteuning bieden aan klanten als ze beta, met niet-RTM of niet-algemeen-beschikbare (GA) producten, zoals Internet Explorer 9 bèta. Ondersteuning voor IE9 wordt opgenomen in een toekomstige update nadat IE9 officieel is uitgebracht.

Bekende problemen met matrices en Network Load Balancing (NLB)

  • Wanneer u probeert twee servers toevoegen aan de matrix dezelfde op hetzelfde moment, is de array-opslag mogelijk beschadigd. Als dit gebeurt, kunt u de instellingen herstellen vanaf back-up.

  • Als u een IPv6-virtuele IP-adres (VIP) in de beheerconsole van Forefront UAG verwijdert, wordt het adres niet volledig verwijderd. U kunt dit probleem omzeilen, adres handmatig te verwijderen van de netwerkadapter in het Netwerkcentrum en de Forefront UAG Management-console.

  • Forefront UAG niet gedetecteerd dat een matrixlid dat via NLB geïntegreerde netwerkverbinding (bijvoorbeeld een Internet-provider-systeemfout verliest). In dit scenario blijven Forefront UAG verkeer doorsturen naar de server niet beschikbaar is. U kunt dit probleem voorkomen door de interne en externe adapters van off line matrixleden uit te schakelen. De adapters weer inschakelen nadat u verbindingsproblemen zijn opgelost.

  • Als u Microsoft System Center Operations Manager 2007 in uw organisatie is geïmplementeerd, kunt u de status van de matrix lid netwerkadapters kunt controleren. Ga hiervoor als volgt te werk:

    • Zorg ervoor dat het besturingssysteem van Windows Server en Windows Server 2008 NLB management packs zijn geïnstalleerd op elk matrixlid.

    • Operations Manager 2007 gebruiken voor het detecteren van verbroken netwerkadapters op matrixleden.
      Opmerking Operations Manager 2007 rapporteert problemen als volgt:

      • Als er een probleem met de adapter die is verbonden met het interne netwerk, worden Operations Manager 2007 meldt dat er geen hartslag wordt gedetecteerd.

      • Als er een probleem met de adapter die is verbonden met het externe netwerk, meldt Operations Manager 2007 een Windows NLB-probleem.

  • Wanneer u een omleiding trunk voor een HTTPS-trunk in een matrix die is geen netwerktaakverdeling is ingeschakeld maakt, moet u handmatig de IP-adressen van de romp omleiding voor elk matrixlid toewijzen. Deze taak wordt beschreven in het volgende artikel:

    Update 1 te installeren op een matrix met behulp van Netwerktaakverdeling-Inleiding



Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×