Opis aktualizacji 2 dla Unified Access Gateway 2010


Streszczenie


Niniejsze informacje o wersji adresu najnowsze problemy, które odnoszą się do programu Microsoft Forefront Unified Access Gateway (UAG) 2010. Przed zainstalowaniem programu Forefront Unified Access Gateway (UAG), należy przeczytać informacje zawarte w tym dokumencie. Ten artykuł zawiera następujące informacje o tej aktualizacji:
  • Nowe funkcje i ulepszenia uwzględnione w tej aktualizacji
  • Problemów rozwiązanych w tej aktualizacji
  • Jak uzyskać tę aktualizację
  • Wymagania wstępne dotyczące instalowania tej aktualizacji
  • Znane problemy

Wprowadzenie


Ten artykuł zawiera opis aktualizacji 2 dla programu Forefront UAG 2010 i zawiera instrukcje instalacji. Aktualizacja 2 dla programu Forefront UAG 2010 zapewnia następujące funkcje:
  • Rozszerzenie składniki klienta: Składnik oprogramowania Forefront UAG aplikacji tunelowanie SSL (usługi przesyłania dalej gniazda) jest teraz obsługiwane w systemach Windows Vista i Windows 7 64-bitowych systemów operacyjnych dla 32-bitowych aplikacji. Zobacz tabelę poniżej szczegółowe i wystawić #3 Aby uzyskać więcej informacji.
    FunkcjaWindows XP 32-bitoweWindows Vista 32-bitowyWindows Vista 64-bitowyWindows 7 32-bitoweSystem Windows 7 64-bitoweMac lub Linux
    Instalacja w trybie offlineTakTakTakTakTakNie
    Instalacja w trybie onlineTakTakTakTakTakTak
    Wykrywanie punktu końcowegoTakTakTakTakTakTak
    Wycieraczki załącznikaTakTakTakTakTakTak
    Składnik tunelowanie SSLTakTakTakTakTakTak
    Usługi przesyłania dalej gniazdaTakTakTakTakTakNie
    Tunelowanie SSL aplikacji (Złącze sieciowe)TakTakTakNieNieNie
    Uwaga: Aby uzyskać szczegółowe informacje na temat przeglądarek, systemów operacyjnych i składnika klienta funkcji i zgodności, odwiedź następującą stronę TechNet firmy Microsoft w sieci Web:
  • Infrastruktury pulpitu wirtualnego (VDI): Forefront UAG w pełni obsługują publikowanie pulpitów zdalnych za pośrednictwem osobistego pulpitu scenariusza infrastruktury pulpitów wirtualnych.
  • Obsługa publikowania Citrix: Forefront UAG w pełni obsługuje Citrix Presentation Server 4.5 oraz zastąpienie Citrix XenApp 5.0.
  • Obsługa komputera klienta Citrix: Forefront UAG obsługuje systemów Windows Vista i Windows 7 komputery z 64-bitowych systemów operacyjnych, dostęp do aplikacji, Citrix XenApp gdzie klient Citrix XenApp jest 32-bitowy. Więcej informacji na ten temat można znaleźć w kwestii nr 4 poniżej.
  • Protokół SSTP użytkownika i grupy kontroli dostępu: Program Forefront UAG oferuje teraz drobniejsze mechanizmu uwierzytelniania, pozwalając administratorom do autoryzowania poszczególnych grup dostępu SSTP.
  • Uzgadniania SSL: Forefront UAG obecnie zapewnia bardziej niezawodne obsługi uzgodnienia SSL między UAG i serwerów sieci web opublikowana.
  • Delegacji certyfikatu klienta: Forefront UAG teraz dodaje niektóre ograniczoną obsługę aplikacji, gdzie serwer aplikacji wymaga poświadczeń certyfikatu klienta dla negocjacji.
  • Obsługi adresów MAC złącze sieci: Serwer łącznika programu Forefront UAG sieci obsługuje szerszego zakresu kart sieciowych rozszerzony zakres adresów MAC.
Więcej informacji na temat nowych funkcji w aktualizacji 2 dla programu Forefront UAG 2010 można znaleźć w sekcji "Co to jest nowe w programie Forefront UAG" na następującą stronę firmy Microsoft w sieci Web:

Więcej informacji


Informacje o aktualizacji

Następujący plik jest dostępny do pobrania z witryny Centrum pobierania firmy Microsoft:

Download Pobierz teraz pakiet aktualizacji programu Forefront Unified Access Gateway (UAG) 2.

Aby uzyskać więcej informacji dotyczących sposobu pobierania plików pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 jak uzyskać pliki pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów, które było dostępne w dniu opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonych zabezpieczeniach, które uniemożliwiają nieautoryzowane zmiany w pliku.

Wymagania wstępne

Ta aktualizacja jest kumulacyjna i mogą być stosowane do urządzeń, serwerów lub maszyn wirtualnych, które są uruchomione następujące wersje programu UAG 2010:
  • UAG 2010 (RTM)
  • Aktualizacja programu UAG 2010 1
  • Pakiet poprawek pakietu zbiorczego 1 UAG 2010 aktualizacji 1
Aby uzyskać więcej informacji na temat UAG aktualizacji 1 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
981323 Opis aktualizacji 1 dla Unified Access Gateway 2010
Aby uzyskać więcej informacji o pakiecie poprawek pakietu zbiorczego 1 UAG aktualizacji 1 kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
981932 Opis pakietu poprawek dla pakietu zbiorczego 1 dla Unified Access Gateway 2010 aktualizacji 1

Uwagi dotyczące instalacji

Kolejność instalacji, gdy używany jest tablicy serwera UAG
  1. Najpierw zainstalować aktualizacji 2 na Menedżera tablicy.
  2. Ponowny rozruch.
  3. Aktywacja konfiguracji UAG.
  4. Poczekaj na konfigurację, którą chcesz zsynchronizować.
  5. Instalowanie aktualizacji 2 na pierwszy element członkowski macierzy-manager.
  6. Ponowny rozruch.
  7. Powtórz dla wszystkich pozostałych elementów członkowskich macierzy.
Uwaga W razie potrzeby dezinstalacji aktualizacji 2 powinny być prowadzone w odwrotnej kolejności.

Wymagania dotyczące ponownego uruchomienia

W scenariuszach bez tablicynie trzeba ponownie uruchomić komputer po zastosowaniu tego pakietu aktualizacji. Po zainstalowaniu pakietu aktualizacji, należy uaktywnić konfigurację programu UAG. Należy pamiętać, że wykonanie aktywacji UAG wygasną wszelkich istniejących połączeń tunelowanie SSL aplikacji do serwera UAG.

W scenariuszach tablicy wymagane jest ponowne uruchomienie. Powyższe kroki instalacji tablicy są wymagane dla pomyślnego wdrożenia aktualizacji, gdy za pomocą tablicy, awaria te kroki, może spowodować uszkodzenie tablicy i utraty konfiguracji.

Informacje dotyczące zastępowania poprawek

Ta poprawka nie zastępuje wcześniej wydanej poprawki.

Informacje o dezinstalacji

Aby odinstalować tę aktualizację, należy użyć jednej z następujących metod:
  • Zaloguj się jako wbudowane konto administratora, a następnie odinstalowania aktualizacji za pomocą apletu Programy i funkcje w Panelu sterowania.
  • Z wiersza polecenia wpisz następujące polecenie i naciśnij klawisz ENTER:
    msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Informacje o plikach

Wersja anglojęzyczna tej poprawki ma atrybuty plików (lub nowsze) wymienione w poniższej tabeli. Daty i godziny odpowiadające tym plikom zostały podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Po wyświetleniu informacji o pliku są konwertowane na czas lokalny. Aby zobaczyć różnicę między czasem UTC i czasem lokalnym, należy użyć z karty Strefa czasowa w aplecie Data i godzina w Panelu sterowania.

Nazwa plikuWersja plikuRozmiar plikuDataGodzinaPlatforma
Agent_win_helper.jarNie dotyczy1,286,01530-Aug-201013:12Nie dotyczy
Clientconf.xmlNie dotyczy6,67515-Sep-201006:41Nie dotyczy
Configdatacomlayer.dll4.0.1269.200192,40015-Sep-201008:13x64
Configdatalayer.dll4.0.1269.2003,871,63215-Sep-201008:06x64
Configmgrcom.exe4.0.1269.200199,56815-Sep-201008:01x64
Configmgrcomlayer.dll4.0.1269.2002,246,03215-Sep-201008:15x64
Configmgrcore.dll4.0.1269.2001,375,63215-Sep-201008:23x64
Configmgrinfra.dll4.0.1269.2001,599,88815-Sep-201008:12x64
Configmgrlayer.dll4.0.1269.200215,44015-Sep-201008:05x64
Configuration.exe4.0.1269.2008,920,97615-Sep-201008:22x64
Detection.jsNie dotyczy14,59115-Sep-201007:20Nie dotyczy
Https_whlfiltappwrap_forporNie dotyczy60,96115-Sep-201007:19Nie dotyczy
Http_whlfiltappwrap_forportNie dotyczy59,47515-Sep-201007:19Nie dotyczy
Install.jsNie dotyczy11,21815-Sep-201007:20Nie dotyczy
Installanddetect.aspNie dotyczy12,06715-Sep-201007:20Nie dotyczy
Internalerror.aspNie dotyczy8,34415-Sep-201007:20Nie dotyczy
Internalerror.incNie dotyczy24,40215-Sep-201007:20Nie dotyczy
Login.aspNie dotyczy24,18315-Sep-201007:20Nie dotyczy
Logoffmsg.aspNie dotyczy7,70530-Aug-201013:11Nie dotyczy
Microsoft.uag.da.messages.d4.0.1269.20033,68015-Sep-201008:14x64
Microsoft.uag.transformer.c4.0.1269.2006,297,48815-Sep-201008:02x86
Monitormgrcom.exe4.0.1269.200151,95215-Sep-201008:01x64
Monitormgrcore.dll4.0.1269.200740,24015-Sep-201008:23x64
Monitormgrlayer.dll4.0.1269.200354,19215-Sep-201008:12x64
Policy.xmlNie dotyczy80,24417-Oct-201012:16Nie dotyczy
Policydefinitions.xmlNie dotyczy61,51615-Sep-201007:15Nie dotyczy
Redirecttoorigurl.aspNie dotyczy1 42330-Aug-201013:11Nie dotyczy
Repairinstallation.vbsNie dotyczy3,04430-Aug-201013:12Nie dotyczy
Ruleset_forinternalsite.iniNie dotyczy47,01930-Aug-201013:11Nie dotyczy
Sessionmgrcom.exe4.0.1269.200233,87215-Sep-201008:24x64
Sessionmgrcomlayer.dll4.0.1269.2001,641,36015-Sep-201008:02x64
Sessionmgrcore.dll4.0.1269.200738,19215-Sep-201008:01x64
Sessionmgrinfra.dll4.0.1269.2001,197,96815-Sep-201008:22x64
Sessionmgrlayer.dll4.0.1269.200200,59215-Sep-201008:04x64
Sfhlprutil.cabNie dotyczy57,19415-Sep-201008:35Nie dotyczy
Shareaccess.exe4.0.1269.200492,94415-Sep-201008:12x64
Sslbox.dll4.0.1269.20058,76815-Sep-201008:14x64
Sslvpntemplates.xmlNie dotyczy28,70430-Aug-201013:12Nie dotyczy
Sslvpn_https_profiles.xmlNie dotyczy96817-Oct-201012:16Nie dotyczy
Uagqec.cabNie dotyczy64,84215-Sep-201008:36Nie dotyczy
Uagqessvc.exe4.0.1269.200207,76015-Sep-201008:04x64
Uagrdpsvc.exe4.0.1269.200144,27215-Sep-201008:14x64
Uninstalluagupdate.cmdNie dotyczy21215-Sep-201008:41Nie dotyczy
Usermgrcom.exe4.0.1269.200119,18415-Sep-201008:01x64
Usermgrcore.dll4.0.1269.200837,00815-Sep-201008:01x64
Whlasynccomm.dll4.0.1269.200107,40815-Sep-201008:14x64
Whlcache.cabNie dotyczy265,76815-Sep-201008:36Nie dotyczy
Whlclientsetup-all.msiNie dotyczy2,964,99215-Sep-201008:22Nie dotyczy
Whlclientsetup-basic.msiNie dotyczy2,964,99215-Sep-201008:01Nie dotyczy
Whlclientsetup-networkconneNie dotyczy2,965,50415-Sep-201008:04Nie dotyczy
Whlclientsetup-networkconneNie dotyczy2,965,50415-Sep-201008:03Nie dotyczy
Whlclientsetup-socketforwarNie dotyczy2,964,99215-Sep-201008:24Nie dotyczy
Whlclntproxy.cabNie dotyczy242,71315-Sep-201008:35Nie dotyczy
Whlcompmgr.cabNie dotyczy689,48315-Sep-201008:35Nie dotyczy
Whlcppinfra.dll4.0.1269.200669,58415-Sep-201008:23x64
Whldetector.cabNie dotyczy263,76415-Sep-201008:36Nie dotyczy
Whlfiltappwrap.dll4.0.1269.200315,28015-Sep-201014:02x64
Whlfiltappwrap_http.xmlNie dotyczy59,47515-Sep-201013:19Nie dotyczy
Whlfiltappwrap_https.xmlNie dotyczy60,96115-Sep-201013:19Nie dotyczy
Whlfiltauthorization.dll4.0.1269.200311,69615-Sep-201014:23x64
Whlfilter.dll4.0.1269.200589,20015-Sep-201014:22x64
Whlfiltsecureremote.dll4.0.1269.2001,037,20015-Sep-201014:22x64
Whlfiltsecureremote_http.xmNie dotyczy77,40430-Aug-201013:11Nie dotyczy
Whlfiltsecureremote_https.xNie dotyczy80,30817-Oct-201012:16Nie dotyczy
Whlfirewallinfra.dll4.0.1269.200444,81615-Sep-201008:13x64
Whlgenlib.dll4.0.1269.200511,37615-Sep-201008:04x64
Whlglobalutilities.dll4.0.1269.200106,38415-Sep-201008:05x64
Whlinstallanddetect.incNie dotyczy4.47630-Aug-201013:11Nie dotyczy
Whlio.cabNie dotyczy167,27715-Sep-201008:35Nie dotyczy
Whlioapi.dll4.0.1269.20076,17615-Sep-201008:04x64
Whliolic.dll4.0.1269.20015,76015-Sep-201008:22x64
Whlios.exe4.0.1269.200137,10415-Sep-201008:24x64
Whllln.cabNie dotyczy167,09515-Sep-201008:36Nie dotyczy
Whlllnconf1.cabNie dotyczy6,52115-Sep-201008:35Nie dotyczy
Whlllnconf2.cabNie dotyczy6,61015-Sep-201008:36Nie dotyczy
Whlllnconf3.cabNie dotyczy6,59915-Sep-201008:35Nie dotyczy
Whltrace.cabNie dotyczy254,35215-Sep-201008:36Nie dotyczy
Whltsgauth.dll4.0.1269.200184,20815-Sep-201008:02x64
Whltsgconf.dll4.0.1269.20087,44015-Sep-201008:22x64
Whlvaw_srv.dll4.0.1269.200138,12815-Sep-201008:05x64
Wioconfig.dll4.0.1269.200496,52815-Sep-201008:01x64



Rozwiązane problemy, które są zawarte w tej aktualizacji

Ta aktualizacja rozwiązuje następujące problemy, które nie były wcześniej udokumentowane w żadnym artykule z bazy wiedzy Microsoft Knowledge Base.

Problem 1


Symptom

Administratorzy wymagali precyzyjną kontrolę dostępu dla swoich klientów wirtualnej sieci prywatnej (VPN) tunelowania protokół SSTP (Secure Socket). Jednak skonfigurowanie SSTP na UAG tworzy regułę dostępu pojedynczego zapewniający dostęp klienta sieci VPN do całej sieci wewnętrznej.

Według następujących tekstu z http://technet.microsoft.com/en-us/library/ee522953.aspx jest obsługiwana umożliwia tworzenie reguł, które umożliwiają precyzyjną kontrolę dostępu dla dostępu do sieci VPN protokół SSTP konsoli Threat Management Gateway (TMG):

"Tworzenie reguły dostępu za pomocą konsoli zarządzania programu Forefront TMG, w celu ograniczania użytkowników, grup i sieci dla granulowanego dostępu podczas wdrażania programu Forefront UAG dla dostępu zdalnego sieci VPN."

Jednakże gdy Administratorzy tworzą reguły dostępu, aby ograniczyć dostęp użytkowników, reguły te są usuwane lub przenoszone do dolnej części zasady dostępu po aktywacji UAG. Oznacza to, że pierwszeństwo ma reguła domyślna i skonfigurowanych szczegółową kontrolę zostaną utracone.

Przyczyna

Ograniczenia w projekcie integracji pomiędzy UAG oraz generowanych dynamicznie reguł, które są wdrażane w TMG podczas aktywacji UAG jest przyczyną problemów tego.

Rozwiązanie

Ręczne zmiany zasad TMG do obsługi precyzyjną kontrolę dostępu, zgodnie z opisem w witrynie TechNet jest amortyzowany (i nie jest już obsługiwane po zainstalowaniu aktualizacji nr 2 UAG) na rzecz jawną obsługę precyzyjną kontrolę dostępu w konsoli zarządzania programu UAG.

Administratorzy programu UAG teraz można jawnie włączyć dostęp do określonego wewnętrzne adresy sieciowe do SSTP sieci VPN użytkownicy, którzy są członkami określonej grupy usługi Active Directory. Administratorzy UAG należy używać nowej karcie Grup użytkowników okna dialogowego konfiguracji tunelowania sieci protokołu SSL do definiowania granulowany zasady dostępu IP sieci VPN, który składa się z zestawu reguł dostępu. Każda reguła określa zestaw adresów IP w sieci wewnętrznej i zakresów adresów IP, których członkowie danej grupy usługi Active Directory dostęp po połączeniu się SSTP sieci VPN.

Problem 2


Symptom

Obsługa Microsoft infrastruktury pulpitu wirtualnego (VDI) w UAG nie jest w pełni zaimplementowana.

Przyczyna

Ze względu na błąd interfejsu użytkownika programu UAG konfiguracje problematyczne i niezdolność do obsługi wielu autoryzacji w różnych zasobów w trakcie realizacji uniemożliwić VDI działa poprawnie.

Rozwiązanie

Zrobiliśmy projektu do zaktualizowania interfejsu użytkownika programu UAG i obsługuje scenariusza osobistego pulpitu VDI z implementacją bardziej niezawodne. Scenariusz w puli pulpitu VDI nie została zaimplementowana i może być implementowana w przyszłej aktualizacji UAG.

Problem 3


Symptom

Składnik klienta UAG dla tunelowania aplikacji SSL (usługi przesyłania dalej gniazda) nie jest obsługiwana w 64-bitowej wersji systemu Windows 7 i 64-bitowej wersji systemu Windows Vista.

Przyczyna

Jest zaprojektowane zachowanie składników klienta programu UAG przed wydaniem UAG aktualizacji 2.

Rozwiązanie

Zrobiliśmy projektu do rozwiązania następujący scenariusz:

Istnieje szeroki zestaw aplikacji sieci web, które używają przekazywania gniazdo UAG / tunelowania aplikacji jako metoda publikowania. Na przykład takie aplikacje są Citrix XenApps i prezentacji Server 4.5, a zarówno ich uruchamiania jako aplikacji ActiveX w przeglądarce. Przed zainstalowaniem aktualizacji ze względu na ograniczenia techniczne, możemy uniemożliwić wdrażania tych metod publikowania w 64-bitowych wersji systemów operacyjnych klientów. W związku z tym samym opublikowanej aplikacji, która korzysta z tych metod, można uzyskać dostęp z 32-bitowych wersji systemu operacyjnego poziomy zamiast z 64-bitowych systemach operacyjnych klienta.

Zmiany wprowadzone w tym scenariuszu jest zapewnienie metodę wdrażania klienta gniazdo Forwarding (SF) składników w wersji 64-bitowych systemów operacyjnych klientów systemu Windows umożliwiające otwarcie tunelowane aplikacji. Ograniczenia tej implementacji, są następujące:
  • Obsługa usługi przesyłania dalej gniazda jest ograniczona do 64-bitowej wersji systemu Windows Vista i 64-bitowej wersji systemu Windows 7, innych wersji 64-bitowych systemów operacyjnych nie są obsługiwane.
  • Usługi przesyłania dalej gniazda jest obsługiwany tylko w przypadku, gdy użytkownicy uzyskują dostęp UAG z 32-bitowej wersji programu Internet Explorer (działa w emulatorze WOW64 32 bit emulacji).
  • Usługi przesyłania dalej gniazda będzie komunikować się tylko z 32-bitowych aplikacji (aplikacje WOW64) i nie będzie współdziałać z macierzystej aplikacji 64-bitowych.
Dostępne są następujące opcje wdrażania aktualizacji składników:
  • Online: standardowe metody, która wykonuje wdrażania składników SF. Na pierwsze wezwanie dowolnej aplikacji portalu UAG, który używa SF jako metoda publikowania tunelowania składniki są pobierane i instalowane.
  • Offline: Administratorzy mogą również rozmieścić w odpowiedniej aplikacji Instalator Windows (MSI) na komputerze klienckim przy użyciu dystrybucji oprogramowania przy użyciu skryptu lub przy instalacji ręcznej. Po zainstalowaniu programu UAG aktualizacji 2 pliki będą dostępne na serwerze UAG w następującej lokalizacji:
    Directory%\von\PortalHomePage\ instalacji UAG %
Problem 4


Symptom

Nie można uzyskać dostępu 5.0 XenApps Citrix, która jest publikowana z UAG z komputera klienckiego, na którym jest uruchomiona 64-bitowej wersji systemu Windows Vista lub Windows 7.

Przyczyna

Jest zaprojektowane zachowanie składników klienta programu UAG przed wydaniem UAG aktualizacji 2.

Rozwiązanie

Zapoznaj się z sekcją "Rozwiązanie" Issue 3, aby uzyskać szczegółowe informacje.

Wydanie 5


Symptom

Podczas tworzenia lub edytowania zasady dla punktu końcowego, zasada "Całkowita ochrona McAfee" pojawia się dwa razy na liście. Jeśli wybierzesz drugą zasadę "Firmy McAfee Całkowita ochrona", pojawi się komunikat o błędzie podobny do następującego:

Nie można zlokalizować wiersza źródłowego

Przyczyna

Ten problem występuje, ponieważ plik directory%\von\Conf\PolicyDefinitions.xml % UAG instalacji zawiera dwa wpisy, które mają ten sam tytuł i identyfikator.

Rozwiązanie

Problem podwójnego zapisu został rozwiązany przez usunięcie drugiego rekordu z pliku PolicyDefinitions.xml.

Problem 6

Symptom

Dostęp do zasobu, który jest wydawany przez UAG, klienci otrzymują komunikat o błędzie "Wystąpił nieznany błąd podczas przetwarzania certyfikatu" w przeglądarce. Ponadto UAG administrator może zostać wyświetlony w dziennikach debugowania serwera UAG, które SEC_I_CONTINUE_NEEDED jest zwracane podczas etapu negocjacji protokołu SSL "Państwo Potwierdź Handshake." W następstwie tego kroku debugowania dzienniki wykaże, że strona /InternalSite/InternalError.asp jest zwracany do klienta wraz z kodem błędu 37. Kod błędu 37 jest komunikat o błędzie "Wystąpił nieznany błąd podczas przetwarzania certyfikatu."

Cause

Istniejącego mechanizmu SSL nie pozwala na właściwe handli kilka scenariuszy podczas wykonywania uzgadniania SSL z serwerem zaplecza opublikowane za pośrednictwem UAG. Charakter przesyłania strumieniowego SSL tworzy skomplikowanych scenariusza z możliwością otrzymania albo wystarczających danych lub odczytywania zbyt wiele informacji podczas uzgadniania. W tym scenariuszu InitializeSecuritykontekstu raportuje, że przeszły dodatkowe dane, które muszą zostać zapisane do użytku w przyszłości (prawdopodobnie po przeczytaniu więcej danych przesyłanych).

Resolution

Algorytm uzgadniania zostaje przedłużony do obsługi dodatkowych przypadków przesyłania strumieniowego i scenariusze.


Issue 7

Symptom

Dostęp do opublikowanej aplikacji HTTPS za pośrednictwem UAG, użytkownik otrzymuje błąd 37: "Wystąpił nieznany błąd podczas przetwarzania certyfikatu." Administrator, który robi rejestrowania debugowania, (która obejmuje śledzenia SSLBOX_BASE) podczas, gdy użytkownik uzyskuje dostęp do aplikacji będzie zobacz następujący komunikat o błędzie:
Błąd: nie można zainicjować kontekstu zabezpieczeń. Zwrócony błąd: 0x90320.

SEC_INCOMPLETE_CREDENTIALS zwrotu InitializeSecurityContext-Schannel wymaga poświadczeń certyfikatu klienta
Cause

Serwer aplikacji zaplecza jest skonfigurowany z prośbą o poświadczenia certyfikatu klienta podczas fazy negocjacji protokołu SSL. Przed zainstalowaniem aktualizacji takich funkcji nie jest obsługiwana. W związku z tym negocjacje nie powiodło się z powodu błędu.

Resolution

Istnieją dwa możliwe scenariusze, gdzie serwera typu back-end z prośbą o poświadczenia certyfikatu klienta:
  • Serwer aplikacji zaplecza żąda certyfikatu klienta, aby uzyskać kontekstu certyfikatu, ale nie jest wymagane. W tym przypadku, który powrót został wdrożony, pozwalając UAG ponownych prób negocjacji po SEC_INCOMPLETE_CREDENTIALS zwraca kod jest odbierany. Zazwyczaj serwer zaplecza nie wymaga certyfikatu klienta i negocjowanie zabezpieczeń jest pomyślnie ukończona.
  • Aplikacja zaplecza wymaga uwierzytelniania certyfikatów klientów. Zmiany projektu, który został wdrożony nie zezwala na klienta o podanie przechodzą przez certyfikaty klientów, ale nie pozwalają na jednego ważnego certyfikatu klienta mają być dostarczone do serwera zaplecza w sieci web dla wszystkich użytkowników.

    Dla tej sprawy UAG Administrator należy podać prawidłowy certyfikat klienta i zainstalować go na serwerze UAG jako certyfikat komputera.
    1. Aby poinstruować modułu UAG SSLBox, aby pobrać i uzyskać poprawny certyfikat, wykonaj następujące kroki:
      1. Uruchom polecenia programu MMC, otworzyć konsolę zarządzania.
      2. Kliknij plik, a następnie kliknij przycisk Dodaj/Usuń przystawkę.
      3. Wybierz Certyfikaty z listy, a następnie kliknij przycisk Dodaj.
      4. Wybierz konto komputera, a następnie kliknij przycisk Zakończ.
      5. Otworzyć osobistego magazynu certyfikatów.
      6. Wybierz certyfikat uwierzytelniania klienta wymagane z listy i kliknij dwukrotnie certyfikat. Lub, kliknij prawym przyciskiem myszy certyfikat, a następnie kliknij przycisk Otwórz.
      7. Okienko szczegółów , a następnie przewiń w dół.
      8. Wybierz właściwość odcisk palca .
      9. Wybierz wartość właściwości na panelu poniżej i skopiować jego wartość, naciskając klawisze CTRL + C.
      10. Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
        322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows
        a. Uruchom Edytor rejestru (Regedt32.exe).

        b. Zlokalizuj i kliknij następujący klucz w rejestrze:

        HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
        c. w menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
        Nazwa wartości: ClientCertHash
        Typ danych: String
        Wartość: {tekst skopiowany w kroku 9} [na przykład: a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
        d. Zamknij Edytor rejestru.
        e. Uruchom polecenie IISReset jako administrator, aby uruchomić ponownie usługi IIS.
        f. aktywować konfiguracji UAG.
Problem 8

Symptom

W rzadkich przypadkach komputerów klienckich, które są zainstalowane na nich składniki klienta programu UAG komunikat "uagqecsvc" 85 identyfikator zdarzenia dziennika zapisywane w dziennikach zdarzeń systemu Windows co minutę, kiedy ten klient jest podłączony do serwera UAG. Chociaż to false alarm, może on zawierać dzienników zdarzeń klienta, co utrudnia dla administratorów lub pracownikom pomocy technicznej z lunety rzeczywiste zdarzenia w dzienniku zdarzeń systemu Windows klienta. Te wiadomości zawsze pojawi się na kliencie co minutę, jeśli ten klient łączy się z serwerem programu IAG.
Identyfikator zdarzenia: 85

Źródło: uagqecsvc

Typ: błąd

Opis: Składnika klienta wymuszania kwarantanny programu Microsoft Forefront UAG nie może zainicjować wywołania zwrotnego klienta egzekwowania wartość HRESULT: 0x8027000E. Ten problem może wystąpić, jeśli zasady zabezpieczeń, nie należy włączać składnika.

Mogą występować również inne pokrewne zdarzenie w dzienniku zdarzeń klienta.
Identyfikator zdarzenia: 16

Źródło: uagqecsvc

Rejestrowanie nazwy: Aplikacja

Opis: Składnika klienta wymuszania kwarantanny programu Microsoft Forefront UAG nie można pobrać stanu usługi agenta ochrony dostępu do sieci (NAP). Błąd systemu 1115: Trwa zamykanie systemu. (0x45b). uruchamiania składnika podczas Microsoft Forefront UAG klient wymuszania kwarantanny, podejmowana jest próba ustawienia kwerendy usługi agenta ochrony dostępu do sieci.

Chociaż ten problem nie jest związany bezpośrednio do programu UAG lub wdrożeń UAG, jest możliwe, że z niektórych wdrożeń użytkowników, którzy mają zainstalowane na nich składniki klienckie UAG będą uzyskiwać dostęp zarówno IAG i UAG serwerów.

Cause

Składniki klienta programu UAG mają składnik usługi "uagqecsvc" wraz z wyświetlaną nazwą programu "Microsoft Forefront UAG klient wymuszania kwarantanny" stanu zdrowia punktu końcowego kwerend za pomocą ochrony dostępu do sieci i informuje o stanie modułu ochrony dostępu do sieci na UAG Wstecz. W rzadkich przypadkach ten problem będzie widać we wdrożeniach UAG, jak usługa ponownie próbuje wielokrotnie powiązania do serwera UAG. Bind będzie uruchamiany w pętli z minuty limitu czasu, dopóki można połączyć.

Składniki klienta programu UAG dodatkowo począwszy od programu IAG Service Pack 2 aktualizacja 3, zostały przeniesione do programu IAG. W związku z tym usługa uagqecsvc również jest zainstalowany na komputerach klienckich łączących się do dowolnego serwera programu IAG zawierającą składniki klienta dodatku Service Pack 2 aktualizacja 3. Ponieważ w IAG nie ma funkcji wykrywania punktu końcowego ochrony dostępu do sieci, klient, który ma zainstalowane na nich składniki UAG będzie próbować połączyć się z usługą ochrony dostępu do sieci UAG co minutę w procesie generowania dziennika opisanych powyżej, wysyłać w wiadomościach w dzienniku zdarzeń systemu Windows.

Resolution

We wcześniejszych wersjach składniki klienta, domyślny limit czasu dla ponownych prób do komunikowania się z agentem wykrywania UAG ochrony dostępu do sieci została ustawiona na minuty to jest została zmieniona w UAG aktualizacji 2 do 1 godziny. Sposób, aby ręcznie zdefiniować limit czasu na kliencie jest świadczone dla administratorów, którzy chcą zmodyfikować tę wartość.

Ważne Niniejsza sekcja, metoda lub zadanie zawiera informacje dotyczące modyfikowania rejestru. Jednak niepoprawne zmodyfikowanie rejestru może spowodować poważne problemy. W związku z tym upewnij się, że wykonujesz następujące kroki ostrożnie. Aby zapewnić sobie dodatkową ochronę, wykonaj kopię zapasową rejestru przed przystąpieniem do modyfikacji. Wtedy będziesz mógł przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 jak wykonać kopię zapasową i przywrócić rejestr w systemie Windows
Użytkownicy komputera lub Administratorzy ręcznie zdefiniować na każdym komputerze klienckim limit czasu w milisekundach. Aby to zrobić, wykonaj następujące kroki:
  1. Uruchom Edytor rejestru (Regedt32.exe).
  2. Zlokalizuj i kliknij następujący klucz w rejestrze:
    HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
  3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
    Nazwa wartości: InitRetryTimeout
    Typ danych: REG_DWORD
    Podstawa: dziesiętny
    Wartość: (czas w milisekundach 360000 jest to ustawienie domyślne, ale wartość ta musi być
    zestaw większy 6000)
  4. Zamknij Edytor rejestru.
  5. Uruchom ponownie komputer
Wydanie 9
Symptom

(UAG administrator) masz zainstalowanych na serwerze, na którym jest uruchomiony zlokalizowanej wersji językowych systemu Windows 2008 R2 Azja i PACYFIK UAG. Podczas próby utworzenia bagażnika na UAG, zostanie wyświetlony komunikat o błędzie i tworzenie tułowia jest zatrzymana.

Na przykład, windows puste, nieoczekiwane komunikaty lub MMC częste awarie wystąpić podczas próby utworzyć tułowia na UAG.

Przyczyna

Ten problem występuje z powodu niepoprawne manipulacje zasobów systemowych. Te nieprawidłowe manipulacje prowadzić do awarii po uruchomieniu programu UAG w niektórych wersjach językowych-Zachodnia systemów operacyjnych (koreański/japoński/chiński).

Rozwiązanie

Kod, który jest odpowiedzialny za uzyskiwanie dostępu do tych zasobów systemowych jest stała.

Problem 10


Symptom

Punkt końcowy sesji oczyszczanie składników nie rozpocznie się wykonać po ponownym uruchomieniu punktu końcowego. Dodatkowo okna programu explorer otwiera wskazujący folder składniki klienta po ponownym uruchomieniu.

Przyczyna

Przed ponownym uruchomieniem punkt końcowy sesji oczyszczania składnik zapisuje wartość rejestru w kluczu "Uruchom". Ta wartość rejestru umożliwia uruchomienie składnika Oczyszczanie sesji punktu końcowego automatycznie po ponownym uruchomieniu systemu Windows. Jednak ta wartość ścieżka klucza rejestru jest ścieżka pliku wykonywalnego, który zawiera spacje. W związku z tym wystąpi awaria.

Rozwiązanie

Wartość ścieżki, który wskazuje plik wykonywalny wycieraczki załącznika, które są zapisywane w kluczu "Uruchom" teraz jest zapisywana jako ciąg w cudzysłowach zapobiegające zakończą się niepowodzeniem.

Problem 11


Symptom

Podczas próby dostępu do języka, ustawienia opcji w Exchange Server 2007 Outlook Web aplikacji (OWA) opublikowaną za pomocą programu UAG, wysyłany jest następujący komunikat o błędzie do klienta.

Próbowano uzyskać dostęp ograniczony adres URL.

Przyczyna

Ten problem występuje, ponieważ limit szablonu pola dla programu Exchange Server 2007 w programie OWA nie ma wpisu zestawu reguł dla URL"/owa/languageselection.aspx". Mechanizm UAG RuleSet nie zezwala na dostęp do dowolnego adresu URL, który nie jest na białej liście.

Rozwiązanie

Dodaje się nową regułę dla programu Exchange 2007 OWA publikowania, aby umożliwić dostęp do tego zasobu adresu URL. W takim przypadku nowa reguła "ExchangePub2007_Rule36" umożliwia dostęp do adresu URL "/owa/languageselection.aspx".

Problem 12


Symptom

Gdy użytkownik próbuje uzyskać dostęp do witryny programu UAG lub próbuje uzyskać dostęp, oznaczonego zakładką ścieżki w aplikacji, a nie ścieżkę UAG logowania, użytkownik otrzymuje 500 Wewnętrzny błąd serwera i nie może uzyskać dostępu do witryny.

Uwaga Witryny programu UAG do uwierzytelniania używa programu ADFS i bezpośrednio żąda opublikowanej aplikacji.

Przyczyna

Gdy UAG jest skonfigurowany na potrzeby uwierzytelniania programu ADFS, kilka przekierowań występować między zabezpieczeń usługi tokenu (STS) i wewnętrznej witryny UAG. Jeśli redirectes nie są wykonywane w oczekiwany sposób, UAG zwraca błędy. Gdy użytkownik próbuje uzyskać bezpośredni dostęp do opublikowanego zasobu zamiast witryny portalu, proces przekierowania jest przerwane. W związku z tym występuje błąd wewnętrzny serwera.

Rozwiązanie

Ten problem został rozwiązany w tej aktualizacji.

Problem 13

Symptom

Gdy administrator konfiguruje ActiveDirectory typ uwierzytelniania stron, administrator nie można ustawić wartość zagnieżdżania grup "nieograniczony". Zgodnie ze specyfikacją UAG wartość pola zagnieżdżania grup może być puste. Jednakże gdy pole to jest puste i zapisano i aktywacji konfiguracji, wartość jest ustawiana na "0" nieoczekiwanie.

Uwaga UAG MMC musi zamknąć i otworzyć ponownie w celu uzyskania widoczna wartość "0". Jako specyfikacja UAG "0" oznacza, że istnieje nie zagnieżdżanie grup. W związku z tym zagnieżdżanie grup nie działa zgodnie z oczekiwaniami.

Przyczyna

Ten problem występuje, ponieważ prawidłowe wartości dla pola zagnieżdżania grupy nie mogą być przechowywane w konfiguracji. W związku z tym poprawna wartość nie może dotyczyć zarówno graficzny interfejs użytkownika, jak i funkcji uwierzytelniania.

Rozwiązanie

Wartości w konfiguracji jest teraz odpowiednio przechowywane i aktualizowane, gdy wartość zagnieżdżanie grup jest usuwana z Graficznym dodatkowo, wartość jest prawidłowo stosowane do funkcji uwierzytelniania.

Uwaga Firma Microsoft zaleca ustawienie wartości się najniższy numer, który jest wymagany do autoryzacji w UAG. Można ustawić wartość do wartości większej niż 2 poziomów zagnieżdżenia ze względu na potencjalne opóźnienia i wymaganych zasobów. Jeżeli jest większy niż 2 poziomy są wymagane do wdrożenia, wpływ tych zmian należy przetestować przed wdrożeniem systemu w produkcji. W skrajnych przypadkach tych ustawień może spowodować zarówno serwera UAG i żadnych kontrolerów domen, które są używane do uwierzytelniania przez UAG awarię ze względu na wymagania dużego wykorzystania zasobów.

Problem 14


Symptom

Gdy użytkownik próbuje zamknąć okno Konfiguracja sieci łącznika (NC) serwera po włączeniu serwera NC, może zostać wyświetlony następujący komunikat o błędzie:

Złe parametry złącze sieciowe, adres nieprawidłowy segmentu

Przyczyna

Usługi tunelowanie SSL sieci można używać tylko w przypadku karty sieci fizycznej mają adresy MAC, rozpoczynające się od "00".

Rozwiązanie

Tunelowanie SSL sieci usługi można nawet karty sieci fizycznej mają adresy MAC, rozpoczynające się od "00".

Problem 15


Symptom

UAG została wydana z częściowych obsługi tylko dla klientów Citrix XenApp 5.

Kiedy chcesz opublikować Citrix bez błędów, były one obowiązku postępuj zgodnie z instrukcjami podanymi w następującej witryny firmy Microsoft:

Przyczyna

Ten problem występuje, ponieważ obsługa Citrix jest przerwane.

Rozwiązanie

Czynności, które są zawarte w powyższym poprawnie opublikować Citrix XenApp 5.0 znajdują się obecnie w tej aktualizacji.

Wydania 16


Symptom

Produkt "Trend Micro OfficeScan Anti-Virus" lub "Trend Micro PC-Cillin Anti-Virus" jest wybierany z graficznego interfejsu użytkownika. W takim przypadku gdy można utworzyć zasadę, a następnie zastosować zasady do aplikacji, pojawić następujący komunikat o błędzie podczas aktywacji:

Nie można zlokalizować wiersza źródłowego

Przyczyna

Ten problem występuje, ponieważ algorytm sprawdzania poprawności składni zasad zanika zależności, które są wymagane przez te szczególne zasady.

Rozwiązanie

Zależności, które są wymagane przez te zasady są dodawane do zasad algorytm sprawdzania poprawności składni, po zainstalowaniu tej aktualizacji.

Znane problemy

  • Po zainstalowaniu tej aktualizacji karty sieciowej tunelowanie SSL sieciowego w oknie Połączenia sieciowe staje się niewidoczne. To zachowanie jest zgodne z projektem. Aby upewnić się, że karta sieciowa jest zainstalowana Otwórz Menedżera urządzeń i wybierz opcję "Pokaż ukryte urządzenia" wpis w menu Widok.
  • Czasem operacji odinstalowania aktualizacji może zakończyć się niepowodzeniem z komunikatem o błędzie, określając, że nie można odnaleźć pliku instalacyjnego "FirefrontUAG.msi" lub z powodu błędu instalacji 1269.
    1. Otwórz Start menu i wpisz Pokaż ukryte pliki i foldery.
    2. W otwartym oknie ustawień zaawansowanych, usuń zaznaczenie opcji Ukryj chronione pliki systemu operacji (zalecane) i naciśnij przycisk OK.
    3. Otwórz podwyższone okno wiersza polecenia i wpisz UninstallUagUpdate.
    4. Odczekaj kilka minut dla napraw bazę danych instalacji, jeśli jest to wymagane.
      Uwaga Może być wyświetlany komunikat, który informuje o konieczności naprawy.

  • Obsługa Citrix XenApp jest tylko dla wersji 5.0. Nowsze wersje nie są obsługiwane.
  • To wydanie obsługuje tylko scenariusza osobistego pulpitu infrastruktury pulpitów wirtualnych. Zbiorcze scenariuszu pulpitu nie jest obecnie obsługiwane.
  • Gniazdo jest dostępne na klientach 64-bitowe okno 7 i Vista aplikacje 32-bitowe (WOW64 aplikacje). Nie jest dostępny dla aplikacji macierzystej 64-bitowej.
  • OWA publikowania dla Exchange 2010 z dodatkiem Service Pack 1 przez UAG wymaga ręcznej modyfikacji AppWrap i modyfikacji zestawów reguł. Artykuł na temat czynności, które są wymagane w tym celu jest opublikowany w blogu zespołu produktu UAG http://blogs.technet.com/b/edgeaccessblog/. Kroki, które są opisane w artykule zostaną włączone do przyszłej aktualizacji UAG.
  • Usługi obsługi klienta firmy Microsoft (CSS) nie może świadczyć pomoc techniczną klientom, jeśli korzystają z wersji beta, non-RTM, lub non ogólnie dostępne produkty (GA), takie jak Internet Explorer 9 w wersji Beta. Wsparcie dla IE9 znajdują się w przyszłej aktualizacji po IE9 jest oficjalnie wydany.

Znane problemy związane z tablicami i równoważenia obciążenia sieciowego (NLB)

  • Podczas próby dołączenia do dwóch serwerów do tej samej tablicy, w tym samym czasie, może być uszkodzona macierz pamięci masowej. Jeśli tak się stanie, należy przywrócić ustawienia z kopii zapasowej.
  • Po usunięciu IPv6 wirtualny adres IP (VIP) w konsoli zarządzania programu Forefront UAG adres może nie zostanie całkowicie usunięty. Aby obejść ten problem, należy ręcznie usunąć adres z karty sieciowej w Centrum sieci i udostępniania oraz w programie Forefront UAG Management console.
  • Forefront UAG może nie wykryć, że elemencie członkowskim macierzy, który wykorzystuje zintegrowany równoważenia obciążenia Sieciowego utraci połączenie z siecią (na przykład systemu usługodawcy internetowego-awarii). W tym scenariuszu Forefront UAG mogą nadal kierować ruchem na serwer niedostępny. Aby uniknąć tego problemu, należy wyłączyć wewnętrznych i zewnętrznych kart sieciowych elementów członkowskich macierzy offline. Ponownie włączyć karty sieciowe po są rozwiązywane problemy z łącznością.
  • Jeśli masz program Microsoft System Center Operations Manager 2007 wdrożony w organizacji, można monitorować stan karty sieciowe Członkowskich tablicy. Aby to zrobić, wykonaj następujące kroki:
    • Upewnij się, że dla każdego elementu członkowskiego macierzy są zainstalowane pakiety zarządzania systemu operacyjnego Windows Server i Windows Server 2008 równoważenia obciążenia Sieciowego.
    • Używać programu Operations Manager 2007 do wykrywania karty sieciowe odłączonych elementów członkowskich macierzy.
      Uwaga Programu Operations Manager 2007 raportuje problemy w następujący sposób:
      • Jeśli występuje problem z kartą, który jest połączony z siecią wewnętrzną, programu Operations Manager 2007 raporty, że pulsu nie została wykryta.
      • Jeśli występuje problem z kartą, który jest podłączony do sieci zewnętrznej, programu Operations Manager 2007 raportuje problem równoważenia obciążenia Sieciowego systemu Windows.
  • Podczas tworzenia tułowia przekierowania dla tułowia HTTPS w tablicy, który nie ma włączone Równoważenie obciążenia sieciowego, należy ręcznie przypisać adresy IP tułowia przekierowania dla każdego elementu członkowskiego macierzy. To zadanie jest opisany w następującym artykule: