Sumário
Estas notas de versão do endereço recentes problemas que estão relacionadas ao Microsoft Forefront Unified Access Gateway (UAG) 2010. Antes de instalar o Forefront Unified Access Gateway (UAG), você deve ler as informações contidas neste documento. Este artigo contém as seguintes informações sobre esta atualização:
-
Novos recursos e aperfeiçoamentos incluídos nesta atualização
-
Problemas resolvidos nesta atualização
-
Como obter esta atualização
-
Pré-requisitos para instalar esta atualização
-
Problemas conhecidos
Introdução
Este artigo descreve a atualização 2 do Forefront UAG 2010 e fornece instruções de instalação. Atualização 2 do Forefront UAG 2010 fornece os seguintes recursos:
-
Melhoria de componentes de cliente: O componente do Forefront UAG SSL aplicativo de encapsulamento (soquete encaminhador) agora é suportado no Windows Vista e sistemas de operacionais de 64 bits do Windows 7 para aplicativos de 32 bits. Consulte a tabela abaixo para obter detalhes e emitir #3 para obter mais informações.
Recurso
Windows XP 32 bits
Windows Vista 32 bits
Windows Vista 64 bits
Windows 7 de 32 bits
Windows 7 de 64 bits
Mac ou Linux
Instalação offline
Sim
Sim
Sim
Sim
Sim
Não
Instalação on-line
Sim
Sim
Sim
Sim
Sim
Sim
Detecção de ponto de extremidade
Sim
Sim
Sim
Sim
Sim
Sim
Wiper do anexo
Sim
Sim
Sim
Sim
Sim
Sim
Componente de encapsulamento de SSL
Sim
Sim
Sim
Sim
Sim
Sim
Encaminhador de soquete
Sim
Sim
Sim
Sim
Sim
Não
Encapsulamento de SSL aplicativo (Conector de rede)
Sim
Sim
Sim
Não
Não
Não
Observação: Para obter informações específicas sobre o componente cliente, sistemas operacionais e navegadores recursos e compatibilidade, visite a seguinte página da Web do Microsoft TechNet:
Introdução aos requisitos de sistema para pontos de extremidade do Forefront UAG
-
Virtual Desktop Infrastructure (VDI): Forefront UAG totalmente oferece suporte a áreas de trabalho remotas através do cenário da área de trabalho pessoal de VDI de publicação.
-
Citrix suporte de publicação: Forefront UAG suporta totalmente o Citrix Presentation Server 4.5 e sua substituição Citrix XenApp 5.0.
-
Suporte a computador cliente Citrix: Forefront UAG compatível com Windows Vista e Windows 7 computadores com sistemas operacionais de 64 bits acessar aplicativos Citrix XenApp onde o cliente XenApp é de 32 bits. Consulte o problema n º 4 abaixo para obter detalhes adicionais.
-
SSTP usuário e grupo de controle de acesso: Forefront UAG agora fornece um mecanismo de autorização mais fino, permitindo que os administradores autorizar grupos individuais para acesso SSTP.
-
Handshake SSL: Forefront UAG agora fornece tratamento mais robusto de handshakes SSL entre UAG e servidores web publicados.
-
Delegação de certificado de cliente: Forefront UAG agora adiciona algum suporte limitado para aplicativos em que o servidor de aplicativo requer credenciais de certificado de cliente para negociação.
-
Suporte do endereço MAC do conector de rede: Forefront UAG rede conector Server oferece suporte a uma ampla variedade de adaptadores de rede com um intervalo de endereços MAC expandido.
Para obter mais informações sobre os novos recursos na atualização 2 do Forefront UAG 2010, consulte a seção "O que há de novo no Forefront UAG" na página da Microsoft Web:
Introdução à avaliação de produto aplica-se ao Forefront UAG
Mais informações
Informações sobre a atualização
O seguinte arquivo está disponível para download no Centro de Download da Microsoft:
Para obter mais informações sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 como obter arquivos de suporte da Microsoft a partir de serviços onlineA Microsoft examinou esse arquivo em busca de vírus. A Microsoft usou o software de detecção de vírus mais recente que estava disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores com segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.
Pré-requisitos:
Esta atualização é cumulativa e pode ser aplicada a dispositivos, servidores ou máquinas virtuais que estejam executando as seguintes versões do UAG 2010:
-
UAG 2010 (RTM)
-
UAG 2010 Update 1
-
Pacote de Hotfix do pacote cumulativo de atualizações 1 UAG 2010 Update 1
Para obter mais informações sobre UAG Update 1, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
981323 descrição da atualização 1 para o Gateway de acesso unificado 2010Para obter mais informações sobre o pacote de hotfix UAG Update 1 Rollup 1, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
981932 descrição do pacote de hotfix do pacote cumulativo de atualizações 1 para o Unified Access Gateway 2010 Update 1
Notas de instalação
Ordem de instalação quando uma matriz de servidor UAG está em uso
-
Instale atualização 2 sobre o array manager pela primeira vez.
-
Reinicialização.
-
Ative configuração UAG.
-
Aguarde a configuração sincronizar.
-
Instale atualização 2 do primeiro membro do array manager não.
-
Reinicialização.
-
Repita para todos os demais membros da matriz.
Observação: Se necessário, a desinstalação da atualização 2 deve ser conduzida na ordem inversa.
Requisitos de reinicialização:
Em cenários de não-matriz, você não precisa reiniciar o computador após aplicar este pacote de atualização. Depois de instalar o pacote de atualização, você deve ativar a configuração UAG. Observe que a realizar a ativação de UAG encerrar quaisquer conexões SSL Tunneling de aplicativo existentes para o servidor UAG.
Em cenários de matriz é necessário reiniciar. As etapas de instalação de array acima são necessárias para uma implantação bem-sucedida da atualização ao usar uma matriz, execute as seguintes etapas pode causar corrupção da matriz e perda da configuração.
Informações de substituição do hotfix:
Esse hotfix não substitui um hotfix lançado anteriormente.
Informações de desinstalação
Para desinstalar essa atualização, use um dos seguintes métodos:
-
Faça logon como um administrador interno e, em seguida, desinstalar a atualização usando o miniaplicativo de programas e recursos no painel de controle.
-
Em um prompt de comando elevado, digite o seguinte comando e pressione ENTER:
msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}
Informações sobre o arquivo:
A versão em inglês deste hotfix possui os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas na Hora Universal Coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para localizar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
|
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
|---|---|---|---|---|---|
|
Agent_win_helper.jar |
Não aplicável |
1,286,015 |
30-Aug-2010 |
13:12 |
Não aplicável |
|
Clientconf.xml |
Não aplicável |
6,675 |
15-Sep-2010 |
06:41 |
Não aplicável |
|
Configdatacomlayer.dll |
4.0.1269.200 |
192,400 |
15-Sep-2010 |
08:13 |
x64 |
|
Configdatalayer.dll |
4.0.1269.200 |
3,871,632 |
15-Sep-2010 |
08:06 |
x64 |
|
Configmgrcom.exe |
4.0.1269.200 |
199,568 |
15-Sep-2010 |
08:01 |
x64 |
|
Configmgrcomlayer.dll |
4.0.1269.200 |
2,246,032 |
15-Sep-2010 |
08:15 |
x64 |
|
Configmgrcore.dll |
4.0.1269.200 |
1,375,632 |
15-Sep-2010 |
08:23 |
x64 |
|
Configmgrinfra.dll |
4.0.1269.200 |
1,599,888 |
15-Sep-2010 |
08:12 |
x64 |
|
Configmgrlayer.dll |
4.0.1269.200 |
215,440 |
15-Sep-2010 |
08:05 |
x64 |
|
Configuration.exe |
4.0.1269.200 |
8,920,976 |
15-Sep-2010 |
08:22 |
x64 |
|
Detection.js |
Não aplicável |
14,591 |
15-Sep-2010 |
07:20 |
Não aplicável |
|
Https_whlfiltappwrap_forpor |
Não aplicável |
60,961 |
15-Sep-2010 |
07:19 |
Não aplicável |
|
Http_whlfiltappwrap_forport |
Não aplicável |
59,475 |
15-Sep-2010 |
07:19 |
Não aplicável |
|
Install.js |
Não aplicável |
11,218 |
15-Sep-2010 |
07:20 |
Não aplicável |
|
Installanddetect.asp |
Não aplicável |
12,067 |
15-Sep-2010 |
07:20 |
Não aplicável |
|
Internalerror.asp |
Não aplicável |
8,344 |
15-Sep-2010 |
07:20 |
Não aplicável |
|
Internalerror.inc |
Não aplicável |
24,402 |
15-Sep-2010 |
07:20 |
Não aplicável |
|
Login.asp |
Não aplicável |
24,183 |
15-Sep-2010 |
07:20 |
Não aplicável |
|
Logoffmsg.asp |
Não aplicável |
7,705 |
30-Aug-2010 |
13:11 |
Não aplicável |
|
Microsoft.uag.da.messages.d |
4.0.1269.200 |
33,680 |
15-Sep-2010 |
08:14 |
x64 |
|
Microsoft.uag.transformer.c |
4.0.1269.200 |
6,297,488 |
15-Sep-2010 |
08:02 |
x86 |
|
Monitormgrcom.exe |
4.0.1269.200 |
151,952 |
15-Sep-2010 |
08:01 |
x64 |
|
Monitormgrcore.dll |
4.0.1269.200 |
740,240 |
15-Sep-2010 |
08:23 |
x64 |
|
Monitormgrlayer.dll |
4.0.1269.200 |
354,192 |
15-Sep-2010 |
08:12 |
x64 |
|
Policy.xml |
Não aplicável |
80,244 |
17-Oct-2010 |
12:16 |
Não aplicável |
|
Policydefinitions.xml |
Não aplicável |
61,516 |
15-Sep-2010 |
07:15 |
Não aplicável |
|
Redirecttoorigurl.asp |
Não aplicável |
1,423 |
30-Aug-2010 |
13:11 |
Não aplicável |
|
Repairinstallation.vbs |
Não aplicável |
3,044 |
30-Aug-2010 |
13:12 |
Não aplicável |
|
Ruleset_forinternalsite.ini |
Não aplicável |
47,019 |
30-Aug-2010 |
13:11 |
Não aplicável |
|
Sessionmgrcom.exe |
4.0.1269.200 |
233,872 |
15-Sep-2010 |
08:24 |
x64 |
|
Sessionmgrcomlayer.dll |
4.0.1269.200 |
1,641,360 |
15-Sep-2010 |
08:02 |
x64 |
|
Sessionmgrcore.dll |
4.0.1269.200 |
738,192 |
15-Sep-2010 |
08:01 |
x64 |
|
Sessionmgrinfra.dll |
4.0.1269.200 |
1,197,968 |
15-Sep-2010 |
08:22 |
x64 |
|
Sessionmgrlayer.dll |
4.0.1269.200 |
200,592 |
15-Sep-2010 |
08:04 |
x64 |
|
Sfhlprutil.cab |
Não aplicável |
57,194 |
15-Sep-2010 |
08:35 |
Não aplicável |
|
Shareaccess.exe |
4.0.1269.200 |
492,944 |
15-Sep-2010 |
08:12 |
x64 |
|
Sslbox.dll |
4.0.1269.200 |
58,768 |
15-Sep-2010 |
08:14 |
x64 |
|
Sslvpntemplates.xml |
Não aplicável |
28,704 |
30-Aug-2010 |
13:12 |
Não aplicável |
|
Sslvpn_https_profiles.xml |
Não aplicável |
968 |
17-Oct-2010 |
12:16 |
Não aplicável |
|
Uagqec.cab |
Não aplicável |
64,842 |
15-Sep-2010 |
08:36 |
Não aplicável |
|
Uagqessvc.exe |
4.0.1269.200 |
207,760 |
15-Sep-2010 |
08:04 |
x64 |
|
Uagrdpsvc.exe |
4.0.1269.200 |
144,272 |
15-Sep-2010 |
08:14 |
x64 |
|
Uninstalluagupdate.cmd |
Não aplicável |
212 |
15-Sep-2010 |
08:41 |
Não aplicável |
|
Usermgrcom.exe |
4.0.1269.200 |
119,184 |
15-Sep-2010 |
08:01 |
x64 |
|
Usermgrcore.dll |
4.0.1269.200 |
837,008 |
15-Sep-2010 |
08:01 |
x64 |
|
Whlasynccomm.dll |
4.0.1269.200 |
107,408 |
15-Sep-2010 |
08:14 |
x64 |
|
Whlcache.cab |
Não aplicável |
265,768 |
15-Sep-2010 |
08:36 |
Não aplicável |
|
Whlclientsetup-all.msi |
Não aplicável |
2,964,992 |
15-Sep-2010 |
08:22 |
Não aplicável |
|
Whlclientsetup-basic.msi |
Não aplicável |
2,964,992 |
15-Sep-2010 |
08:01 |
Não aplicável |
|
Whlclientsetup-networkconne |
Não aplicável |
2,965,504 |
15-Sep-2010 |
08:04 |
Não aplicável |
|
Whlclientsetup-networkconne |
Não aplicável |
2,965,504 |
15-Sep-2010 |
08:03 |
Não aplicável |
|
Whlclientsetup-socketforwar |
Não aplicável |
2,964,992 |
15-Sep-2010 |
08:24 |
Não aplicável |
|
Whlclntproxy.cab |
Não aplicável |
242,713 |
15-Sep-2010 |
08:35 |
Não aplicável |
|
Whlcompmgr.cab |
Não aplicável |
689,483 |
15-Sep-2010 |
08:35 |
Não aplicável |
|
Whlcppinfra.dll |
4.0.1269.200 |
669,584 |
15-Sep-2010 |
08:23 |
x64 |
|
Whldetector.cab |
Não aplicável |
263,764 |
15-Sep-2010 |
08:36 |
Não aplicável |
|
Whlfiltappwrap.dll |
4.0.1269.200 |
315,280 |
15-Sep-2010 |
14:02 |
x64 |
|
Whlfiltappwrap_http.xml |
Não aplicável |
59,475 |
15-Sep-2010 |
13:19 |
Não aplicável |
|
Whlfiltappwrap_https.xml |
Não aplicável |
60,961 |
15-Sep-2010 |
13:19 |
Não aplicável |
|
Whlfiltauthorization.dll |
4.0.1269.200 |
311,696 |
15-Sep-2010 |
14:23 |
x64 |
|
Whlfilter.dll |
4.0.1269.200 |
589,200 |
15-Sep-2010 |
14:22 |
x64 |
|
Whlfiltsecureremote.dll |
4.0.1269.200 |
1,037,200 |
15-Sep-2010 |
14:22 |
x64 |
|
Whlfiltsecureremote_http.xm |
Não aplicável |
77,404 |
30-Aug-2010 |
13:11 |
Não aplicável |
|
Whlfiltsecureremote_https.x |
Não aplicável |
80,308 |
17-Oct-2010 |
12:16 |
Não aplicável |
|
Whlfirewallinfra.dll |
4.0.1269.200 |
444,816 |
15-Sep-2010 |
08:13 |
x64 |
|
Whlgenlib.dll |
4.0.1269.200 |
511,376 |
15-Sep-2010 |
08:04 |
x64 |
|
Whlglobalutilities.dll |
4.0.1269.200 |
106,384 |
15-Sep-2010 |
08:05 |
x64 |
|
Whlinstallanddetect.inc |
Não aplicável |
4,476 |
30-Aug-2010 |
13:11 |
Não aplicável |
|
Whlio.cab |
Não aplicável |
167,277 |
15-Sep-2010 |
08:35 |
Não aplicável |
|
Whlioapi.dll |
4.0.1269.200 |
76,176 |
15-Sep-2010 |
08:04 |
x64 |
|
Whliolic.dll |
4.0.1269.200 |
15,760 |
15-Sep-2010 |
08:22 |
x64 |
|
Whlios.exe |
4.0.1269.200 |
137,104 |
15-Sep-2010 |
08:24 |
x64 |
|
Whllln.cab |
Não aplicável |
167,095 |
15-Sep-2010 |
08:36 |
Não aplicável |
|
Whlllnconf1.cab |
Não aplicável |
6,521 |
15-Sep-2010 |
08:35 |
Não aplicável |
|
Whlllnconf2.cab |
Não aplicável |
6,610 |
15-Sep-2010 |
08:36 |
Não aplicável |
|
Whlllnconf3.cab |
Não aplicável |
6,599 |
15-Sep-2010 |
08:35 |
Não aplicável |
|
Whltrace.cab |
Não aplicável |
254,352 |
15-Sep-2010 |
08:36 |
Não aplicável |
|
Whltsgauth.dll |
4.0.1269.200 |
184,208 |
15-Sep-2010 |
08:02 |
x64 |
|
Whltsgconf.dll |
4.0.1269.200 |
87,440 |
15-Sep-2010 |
08:22 |
x64 |
|
Whlvaw_srv.dll |
4.0.1269.200 |
138,128 |
15-Sep-2010 |
08:05 |
x64 |
|
Wioconfig.dll |
4.0.1269.200 |
496,528 |
15-Sep-2010 |
08:01 |
x64 |
Problemas corrigidos que estão incluídos nesta atualização
Essa atualização corrige os seguintes problemas que não foram documentados anteriormente em um artigo da Base de Conhecimento Microsoft.
Problema 1
Sintoma
Os administradores requerem controle de acesso granular para os clientes de rede virtual privada (VPN) de Secure Socket Tunneling protocolo SSTP (). No entanto, configurar o SSTP UAG cria uma regra de acesso que permite o acesso do cliente VPN para toda a rede interna.
De acordo com o seguinte texto de http://technet.microsoft.com/en-us/library/ee522953.aspx, há suporte para usar o console de gerenciamento de ameaças Gateway (TMG) para criar regras que permitem o controle de acesso granular para acesso de VPN SSTP:
"Criando regras de acesso usando o console de gerenciamento do Forefront TMG, com o objetivo de limitar os usuários, grupos e redes de acesso granular ao implantar o Forefront UAG para acesso de rede remoto VPN."
No entanto, quando os administradores criam as regras de acesso para limitar o acesso do usuário, essas regras são removidas ou movidas para a parte inferior da diretiva de acesso após a ativação de UAG. Isso significa que a regra padrão terá precedência e o controle granular configurado é perdido.
Causa
Esse problemas é causado por uma limitação no design da integração entre UAG e as regras geradas dinamicamente que são implantadas para TMG durante a ativação de UAG.
Resolução
Modificação manual das regras TMG para dar suporte ao controle de acesso detalhado conforme descrito no TechNet é depreciada (e não é mais suportada após a instalação da atualização 2 do UAG) em favor de suporte explícito de controle de acesso granular no console de gerenciamento de UAG.
Os administradores UAG explicitamente agora podem permitir o acesso a endereços de rede internos específicos para usuários de SSTP VPN que são membros de grupos específicos do Active Directory. Os administradores UAG devem usar na nova guia User Groups da caixa de diálogo Configuração de encapsulamento de rede SSL para definir a diretiva de acesso VPN IP granular, que consiste em um conjunto de regras de acesso. Cada regra define um conjunto de endereços IP da rede interna e os intervalos de endereços IP que podem ser acessados por membros de um determinado grupo do Active Directory enquanto conectado à VPN SSTP.
Problema 2
Sintoma
Suporte a Microsoft Virtual Desktop Infrastructure (VDI) no UAG não está totalmente implementado.
Causa
Devido a uma UI UAG enganosas, configurações problemáticas e incapacidade de oferecer suporte à autorização vários recursos diferentes durante a implementação impedir VDI funcionando corretamente.
Resolução
Fizemos um design alterar para atualizar a UI UAG e suportar o cenário de área de trabalho pessoal de VDI com uma implementação mais robusta. O cenário de área de trabalho do pool de VDI não foi implementado e pode ser implementado em uma atualização futura do UAG.
Problema 3
Sintoma
Não há suporte para o componente de cliente UAG para encapsulamento de SSL Application (encaminhador de soquete) na versão de 64 bits do Windows 7 e a versão de 64 bits do Windows Vista.
Causa
Este é o comportamento padrão dos componentes de cliente UAG antes do lançamento do UAG Update 2.
Resolução
Fizemos um design alterar para lidar com o cenário a seguir:
Há amplo conjunto de aplicativos web não que usam encaminhamento de soquete UAG aplicativo de encapsulamento como um método de publicação. Por exemplo, esses aplicativos são Citrix XenApps e Presentation Server 4.5, e ambos são executados como aplicativos ActiveX no navegador. Antes desta atualização, devido a limitações técnicas, nós não permitir implantação desses métodos publicação na versão de 64 bits dos sistemas operacionais clientes. Portanto, o mesmo aplicativo publicado que usa esses métodos pode ser acessado na versão de 32 bits do cliente operacional systemss em vez de sistemas operacionais de 64 bits.
A alteração feita para esse cenário é fornecer um método de implantação para o cliente de encaminhamento de soquete (SF) componentes na versão de 64 bits do Windows sistemas operacionais para permitir abertura de aplicativos em túnel. As limitações dessa implementação são os seguintes:
-
Suporte para soquete encaminhador é limitado a versão de 64 bits do Windows Vista e a versão de 64 bits do Windows 7, outra versão de 64 bits dos sistemas operacionais não são suportados.
-
Encaminhador de soquete é suportado apenas quando os usuários acessam UAG da versão de 32 bits do Internet Explorer (executando a emulação WOW64 de 32 bits).
-
Encaminhador de soquete só irá interagir com os aplicativos de 32 bits (WOW64 aplicativos) e não irão interagir com aplicativos nativos de 64 bits.
A seguir estão as opções de implantação para os componentes atualizados:
-
On-line: O método padrão que realiza a implantação dos componentes de IT. Na primeira chamada de qualquer aplicativo de portal UAG que usa SF como o método de publicação de encapsulamento, os componentes são baixados e instalados.
-
Off-line: os administradores também podem implantar o aplicativo apropriado do Windows Installer (MSI) em um cliente usando a distribuição de software com scripts ou instalação manual. Após a instalação do UAG Update 2 os arquivos estarão disponíveis no servidor UAG no seguinte local:
% UAG instalação directory%\von\PortalHomePage\
Problema 4
Sintoma
Você não pode acessar o Citrix XenApps 5.0 publicado com UAG de um computador cliente que esteja executando uma versão de 64 bits do Windows Vista ou janela 7.
Causa
Este é o comportamento padrão dos componentes de cliente UAG antes do lançamento do UAG Update 2.
Resolução
Consulte a seção "Resolução" do problema 3 para obter informações detalhadas.
Problema 5
Sintoma
Quando você tenta criar ou editar uma diretiva de empresa, a diretiva "McAfee Total Protection" aparece duas vezes na lista. Se você selecionar a segunda diretiva "McAfee Total Protection", você recebe uma mensagem de erro semelhante à seguinte:
linha de origem não pôde ser localizada
Causa
Esse problema ocorre porque o arquivo de directory%\von\Conf\PolicyDefinitions.xml % UAG instalação contém duas entradas que têm o mesmo título e ID.
Resolução
Entrada dupla é resolvido removendo o segundo registro do arquivo PolicyDefinitions.xml.
Problema 6
Symptom
Quando você acessa um recurso publicado pela UAG, clientes recebem um erro "Ocorreu um erro desconhecido ao processar o certificado" no navegador. Além disso, o administrador UAG pode ver nos logs de depuração do servidor UAG SEC_I_CONTINUE_NEEDED é retornado durante a etapa de negociação SSL "Handshake confirmar estado." Após essa etapa a depuração logs mostrará que a página /InternalSite/InternalError.asp é retornada para o cliente juntamente com o código de erro 37. Código de erro 37 é a mensagem de erro "Ocorreu um erro desconhecido ao processar o certificado."
Cause
O mecanismo SSL existente não não corretamente handli várias situações quando ele executa um handshake de SSL com um servidor back-end publicado por meio de UAG. A natureza de fluxo contínuo do SSL cria um cenário complicado com possibilidade de receber dados insuficientes ou ler muitas informações durante o handshake. Nesse cenário, InitializeSecuritycontexto relata que passaram dados adicionais que devem ser salvos para uso no futuro (supostamente após você ler mais dados pela conexão).
Resolution
O algoritmo de handshake é estendido para oferecer suporte a cenários e casos adicionais de fluxo contínuo.
Issue 7
Symptom
Quando você acessar um aplicativo publicado de HTTPS por meio de UAG, o usuário recebe o erro 37: "Ocorreu um erro desconhecido ao processar o certificado." Um administrador que está fazendo o log de depuração (que inclui o rastreamento SSLBOX_BASE) enquanto o usuário está acessando o aplicativo verá a seguinte mensagem de erro:
Erro: Falha ao inicializar o contexto de segurança. Retornou o erro: 0x90320.
SEC_INCOMPLETE_CREDENTIALS retorno InitializeSecurityContext – Schannel requer credenciais de certificado de cliente
Cause
O servidor de aplicativos back-end está configurado para solicitar credenciais de certificado de cliente durante a fase de negociação SSL. Antes desta atualização não havia suporte para essa funcionalidade. Portanto, a negociação falhou com um erro.
Resolution
Há dois possíveis cenários em que o servidor back-end está solicitando credenciais de certificado de cliente:
-
O servidor de aplicativos back-end está solicitando um certificado de cliente para obter um contexto de certificado, mas ele não seja necessário. Para esse caso que um fallback foi implementado permitindo UAG repetir a negociação após o código de retorno de SEC_INCOMPLETE_CREDENTIALS é recebida. Geralmente o servidor back-end não exige o certificado de cliente e essa negociação é concluída com êxito.
-
O aplicativo de back-end requer autenticação de certificado de cliente. A alteração do design foi implementada não permite que o cliente forneça passar por certificados de cliente mas não permite que um certificado de cliente válido único a serem fornecidos para o servidor web de back-end para todos os usuários.
Nesse caso o administrador UAG deve fornecer um certificado de cliente válido e instalá-lo em um servidor UAG como um certificado de máquina.-
Para instruir o módulo UAG SSLBox para recuperar e obter o certificado correto, execute estas etapas:
-
Execute o comando MMC para abrir o console de gerenciamento.
-
Clique em Arquivo e, em seguida, clique em Adicionar/Remover Snap-in.
-
Selecione certificados na lista e, em seguida, clique em Adicionar.
-
Selecione conta de computador e, em seguida, clique em Concluir.
-
Abra o armazenamento de certificados pessoais .
-
Selecione o certificado de autenticação de cliente necessário na lista e clique duas vezes no certificado. Ou, clique no certificado e, em seguida, clique em Abrir.
-
Selecione o painel de detalhes e rolar para baixo.
-
Selecione a propriedade Thumbprint .
-
Selecione o valor da propriedade no abaixo do painel e copie seu valor pressionando CTRL + C.
-
Importante: essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Dados de Conhecimento da Microsoft:
322756 como fazer backup e restaurar o registro no Windowsr. Inicie o Editor do registro (Regedt32.exe).
b. Localize e clique na seguinte chave no registro:HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
c. no menu Editar , clique em Adicionar valore adicione o seguinte valor do registro:Nome do valor: ClientCertHash
Tipo de dados: String
Valor: {o texto copiado na etapa 9} [por exemplo: a7 4b 36 ca 87 3f CA 10 d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
d. sair do Editor do registro.
e. Execute IISReset como administrador para reiniciar o IIS.
f. Ative a configuração UAG.
-
-
Problema 8
Symptom
Em alguns casos raros computadores que têm componentes de cliente UAG instalados neles recebem uma mensagem de log de evento ID 85 "uagqecsvc" gravada nos logs de eventos do Windows quando o cliente está se comunicando com um servidor UAG a cada minuto. Embora isso um falso alarme, isso encher os logs de eventos do cliente tornando difícil para os administradores ou o helpdesk de descobrir reais eventos nos logs de eventos do Windows do cliente. Essas mensagens serão sempre exibidas no cliente cada minuto se o cliente se conecta a um servidor IAG.
Identificação do evento: 85
Fonte: uagqecsvc
Tipo: erro
Descrição: O componente de cliente de imposição de quarentena do Microsoft Forefront UAG não é possível inicializar o retorno de chamada do cliente de imposição valor HRESULT: 0x8027000E. Esse problema pode ocorrer se as diretivas de segurança não permitem que o componente.
Também pode haver outro evento relacionado nos logs de evento do cliente.
Identificação do evento: 16
Fonte: uagqecsvc
Nome de logon: aplicativo
Descrição: O componente de cliente de imposição de quarentena do Microsoft Forefront UAG não é possível recuperar o status do serviço agente de proteção de acesso à rede (NAP). Erro de sistema 1115: um desligamento do sistema está em andamento. (0x45b). componente quando o Microsoft Forefront UAG quarentena cliente de imposição é iniciado, ele tenta fazer configurações de consulta do serviço agente NAP.
Embora esse problema não está relacionado diretamente a UAG ou implantações UAG, é possível que, com algumas implantações de usuários que têm os componentes de cliente UAG instalados neles terão acesso servidores IAG e UAG.
Cause
Componentes de cliente UAG têm um componente serviço "uagqecsvc" com um nome de exibição do "Cliente de imposição do Microsoft Forefront UAG quarentena" status de funcionamento do ponto de extremidade que consultas usando NAP e reporta o status de volta para o módulo NAP no UAG. Em alguns casos raros esse problema será visto em implantações UAG como o serviço novamente tenta repetidamente para vincular a um servidor UAG. A ligação será executado no loop com um tempo limite de minutos até que ele possa se conectar.
Os componentes de cliente UAG partir IAG Service Pack 2 Atualização 3 Além disso, foram transferidos para IAG. Portanto, o serviço uagqecsvc também é instalado em computadores cliente que se conectar a qualquer servidor IAG que tem componentes de cliente do Service Pack 2 Atualização 3. Porque a funcionalidade de detecção de ponto de extremidade NAP não existe no IAG, o cliente que tem os componentes UAG instalados neles continuará a tentar se conectar ao serviço UAG NAP cada minuto, no processo de geração de log mencionado anteriormente mensagem nos logs de eventos do Windows.
Resolution
Nas versões anteriores dos componentes do cliente o tempo limite padrão de tentativas para se comunicar com o agente de detecção UAG NAP foi definido como um minuto, ele tiver sido alterado no UAG Update 2 para uma hora. Para os administradores que desejam modificar esse valor encontra-se uma maneira de definir o tempo limite manualmente no cliente.
Importante: essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Portanto, certifique-se de seguir estes passos cuidadosamente. Para obter mais proteção, faça backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número do artigo a seguir para visualizá-lo na Base de Dados de Conhecimento da Microsoft:
322756 como fazer backup e restaurar o registro no WindowsUsuários ou administradores podem definir manualmente em qualquer computador cliente o tempo limite em milissegundos. Para fazer isso, execute as seguintes etapas:
-
Inicie o Editor do registro (Regedt32.exe).
-
Localize e clique na seguinte chave no registro:
HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
-
No menu Editar , clique em Adicionar valore adicione o seguinte valor do registro:
Nome do valor: InitRetryTimeout
Tipo de dados: REG_DWORD
Base: Decimal
Valor: (tempo em milissegundos 360000 é o padrão, mas este valor deve ser
Defina maior, em seguida, 6000) -
Saia do Editor de Registro.
-
Reinicie o computador.
Problema 9
Sintoma
(Administrador UAG) tiver UAG instalado em um servidor que esteja executando uma versão de idioma APAC localizada do Windows 2008 R2. Quando você tenta criar um tronco em UAG, você recebe uma mensagem de erro e criação de tronco está parado.
Por exemplo, janelas em branco, mensagens de erro inesperadas ou frequente MMC falhas ocorrem quando você tenta criar um tronco em UAG.
Causa
Esse problema ocorre devido à manipulação incorreta de recursos do sistema. Essas manipulações incorretas levam a uma falha ao executar UAG em algumas versões de idioma não Ocidental dos sistemas operacionais (coreano/japonês/chinês).
Resolução
O código que é responsável por acessar esses recursos do sistema é fixa.
Problema 10
Sintoma
Componente de limpeza de sessão do ponto de extremidade não começar a executar após a reinicialização de um ponto de extremidade. Além disso, uma janela do explorer é aberta que aponta para a pasta de componentes do cliente após a reinicialização.
Causa
Antes de uma reinicialização, o componente de limpeza do ponto de extremidade sessão grava um valor do registro sob a chave "Executar". Esse valor do registro permite que o Windows iniciar o componente de limpeza do ponto de extremidade sessão automaticamente após a reinicialização. No entanto, esse valor de caminho de chave do registro é um caminho do arquivo executável que contém espaços. Portanto, ocorre uma falha.
Resolução
O valor do caminho que aponta para o executável Wiper de anexo que está escrito na chave "Executar" agora é escrito como uma sequência de caracteres entre aspas para evitar quaisquer falhas.
Problema 11
Sintoma
Quando você tenta acessar a linguagem de definição de opções no Exchange Server 2007 Outlook Web Application (OWA) que são publicados por meio de UAG, a seguinte mensagem de erro será enviada para o cliente.
Você tentou acessar uma URL restrita.
Causa
Esse problema ocorre porque o limite do modelo de caixa para o OWA do Exchange Server 2007 não tem uma entrada de conjunto de regras para a URL"/owa/languageselection.aspx". O mecanismo de UAG RuleSet não permite o acesso a qualquer URL que não esteja na lista branca.
Resolução
Uma nova regra é adicionada para o Exchange 2007 OWA para permitir o acesso a esse recurso de URL de publicação. Nesse caso, a nova regra "ExchangePub2007_Rule36" permite o acesso para o URL "/owa/languageselection.aspx".
Problema de 12
Sintoma
Quando um usuário tenta acessar um site UAG ou tenta acessar um caminho indicado dentro do aplicativo, e não o caminho de login UAG, o usuário recebe um erro de servidor interno 500 e não pode acessar o site.
Observação: O site UAG utiliza o ADFS para autenticação e solicitações diretamente de um aplicativo publicado.
Causa
Quando UAG está configurado para usar o ADFS para autenticação, vários redirecionamentos ocorrem entre o serviço de Token de segurança (STS) e o site interno UAG. Se o redirectes não são feitas da maneira esperada, UAG retornará erros. Quando um usuário tenta acessar diretamente um recurso publicado em vez de site de portal, o processo de re-routing está quebrado. Portanto, ocorrerá erro de servidor interno.
Resolução
Esse problema foi corrigido nessa atualização.
Problema 13
Sintoma
Quando um administrador está configurando um repositório de autenticação do tipo Active Directory, o administrador não pode definir o valor de aninhamento de grupo como "ilimitado". De acordo com a especificação de UAG, o valor do campo de aninhamento de grupo pode ser em branco. No entanto, quando o campo estiver em branco e a configuração é salva e ativada, o valor é definido novamente como "0" inesperadamente.
Observação: O MMC UAG deve ser fechado e reaberto para obter o valor de "0" visível. Como especificação UAG, "0" significa que não há nenhum aninhamento de grupo. Portanto, o aninhamento de grupo não funciona conforme o esperado.
Causa
Esse problema ocorre porque o valor correto para o campo de aninhamento de grupo não pode ser armazenado na configuração. Portanto, o valor correto não pode ser aplicado para o GUI e as funções de autenticação.
Resolução
O valor na configuração agora corretamente é armazenado e atualizado quando o valor de aninhamento de grupo é excluído da GUI Além disso, corretamente, o valor será aplicado para as funções de autenticação.
Observação: A Microsoft recomenda a definição do valor como o número mais baixo é necessário para a autorização no UAG. Você pode definir o valor para maior do que 2 níveis de aninhamento devido ao possível atraso e os recursos necessários. Se for maior que 2 níveis são necessários para a implantação, você deve testar o impacto dessas alterações antes que o sistema seja implantado na produção. Em casos extremos, essas configurações podem causar a um servidor UAG e controladores de domínio que estão sendo usados para autenticação por UAG falha devido às demandas de recursos de alta.
Problema 14
Sintoma
Quando você tentar fechar a janela de configuração do servidor de conector (NC) rede após ativar o servidor NC, você receberá a seguinte mensagem de erro:
Parâmetros de conector de rede incorretos, endereço de segmento inválido
Causa
O serviço SSL túnel de rede pode ser usado somente quando os adaptadores de rede física têm endereços MAC que começam com "00".
Resolução
O serviço SSL túnel de rede pode ser usado mesmo que os adaptadores de rede física têm endereços MAC que começam com "00".
Problema 15
Sintoma
UAG foi lançado com apenas suporte parcial a Citrix XenApp 5.
Quando você desejar publicar Citrix sem erros, eles eram obrigados a seguir as etapas fornecidas no seguinte site da Microsoft:
Introdução a como publicar Citrix XenApp 5. x com UAG 2010
Causa
Esse problema ocorre porque o suporte para Citrix está quebrado.
Resolução
As etapas são fornecidas acima para publicar corretamente Citrix XenApp 5.0 agora estão incluídas nesta atualização.
Problema 16
Sintoma
O produto AV "Trend Micro OfficeScan antivírus" ou "Trend Micro PC-Cillin antivírus" é selecionado a partir da GUI. Nesse caso, quando você cria uma diretiva e aplicá-la a um aplicativo, você recebe a seguinte mensagem de erro durante a ativação:
Linha de origem não pôde ser localizada
Causa
Esse problema ocorre porque o algoritmo de validação de sintaxe de diretiva erros de dependências que são exigidas por essas diretivas específicas.
Resolução
As dependências são exigidas por essas políticas são adicionadas ao algoritmo de validação de sintaxe de diretiva depois de instalar esta atualização.
Problemas conhecidos
-
Depois que você instalar essa atualização do adaptador de rede SSL Tunneling de rede torna-se invisível na janela Conexões de rede. Esse comportamento é pré-definido. Para certificar-se de que o adaptador de rede está instalado abrir Gerenciador de dispositivos e selecione 'Mostrar dispositivos ocultos' entrada no menu Exibir.
-
Às vezes, a operação de atualização de desinstalação pode falhar com uma mensagem de erro, especificando que o arquivo de instalação "FirefrontUAG.msi" não foi encontrado ou o erro de instalação 1269.
-
Abra o menu Iniciar e digite Mostrar pastas e arquivos ocultos.
-
Na janela Configurações avançadas desmarque a opção Ocultar arquivos protegidos do operação sistema (recomendado) em pressione Okey.
-
Abra uma janela de Prompt de comando elevada e digite UninstallUagUpdate.
-
Aguarde alguns minutos para que o reparo do banco de dados de instalação se necessário.
Observação: Você pode receber uma mensagem que informa a necessidade de um reparo.
-
-
Suporte ao Citrix XenApp é apenas para versão 5.0. Não há suporte para versões posteriores.
-
Esta versão suporta apenas o cenário de área de trabalho pessoal de VDI. Cenário de desktop em pool não é suportado atualmente.
-
Encaminhamento de soquete está disponível na janela 7 e Vista clientes de 64 bits para 32 bits aplicativos (WOW64). Não está disponível para aplicativos de 64 bits nativo.
-
Publicação OWA para Exchange 2010 Service Pack 1 por UAG requer modificação manual de um AppWrap e modificações para o conjunto de regras. Um artigo sobre as etapas que são necessárias para fazer isso é publicado sobre o produto UAG team blog http://blogs.technet.com/b/edgeaccessblog/. As etapas descritas no artigo serão integradas em uma atualização futura do UAG.
-
Microsoft cliente suporte dos serviços (CSS) não fornecer suporte aos clientes se eles usam a versão beta, não RTM ou produtos (GA) não--disponível como versão Beta do Internet Explorer 9. Suporte para IE9 será incluído em uma atualização futura após o lançamento oficial do IE9.
Problemas conhecidos com matrizes e balanceamento de carga de rede (NLB)
-
Quando você tenta ingressar em dois servidores ao mesmo tempo no mesmo conjunto, o storage array pode estar corrompido. Se isso acontecer, restaure as configurações de backup.
-
Quando você exclui um IPv6 endereço IP virtual (VIP) no console de gerenciamento do Forefront UAG, o endereço pode não ser removido completamente. Para contornar esse problema, exclua manualmente endereço do adaptador de rede na Central de rede e compartilhamento e no console de gerenciamento do Forefront UAG.
-
Forefront UAG pode não detectar que um membro da matriz que utiliza integrado NLB perde conectividade de rede (como uma ISP-falha do sistema). Nesse cenário, o Forefront UAG pode continuar rotear o tráfego para o servidor não está disponível. Para evitar esse problema, desative os adaptadores internos e externos de membros de matriz offline. Habilite os adaptadores novamente depois de problemas de conectividade são resolvidos.
-
Se você tiver o Microsoft System Center Operations Manager 2007 implantado na organização, você pode monitorar o status de adaptadores de rede de membro de matriz. Para fazer isso, execute as seguintes etapas:
-
Certifique-se de que os pacotes de gerenciamento do sistema operacional Windows Server e Windows Server 2008 NLB estão instalados em cada membro da matriz.
-
Use o Operations Manager 2007 para detectar os adaptadores de rede desconectados nos membros da matriz.
Observação: O Operations Manager 2007 relata problemas da seguinte maneira:-
Se houver um problema com o adaptador conectado à rede interna, Operations Manager 2007 relata que não há pulsação é detectada.
-
Se houver um problema com o adaptador conectado à rede externa, o Operations Manager 2007 relata um problema do Windows NLB.
-
-
-
Quando você cria um tronco de redirecionamento para um tronco HTTPS em uma matriz que não tem o balanceamento de carga de habilitado, você deve atribuir manualmente os endereços IP do tronco redirecionar para cada membro da matriz. Esta tarefa é descrita no seguinte artigo:
Introdução ao como instalar atualização 1 em uma matriz usando NLB
