Обзор
Эти заметки о выпуске, адрес последние проблемы, которые связаны с Microsoft Forefront единой Access Gateway (UAG) 2010. Перед установкой Forefront единой Access Gateway (UAG) необходимо прочитать данные, содержащиеся в этом документе. Эта статья содержит следующие сведения об этом обновлении.
-
Новые функции и усовершенствования, включенные в данное обновление
-
Ошибки, исправленные в данном обновлении
-
Как получить это обновление
-
Необходимые условия для установки этого обновления
-
Известные проблемы
Введение
В данной статье описаны обновления 2 для Microsoft Forefront UAG 2010 и инструкции по установке. Обновление 2 для Forefront UAG 2010 предоставляет следующие возможности:
-
Расширения компонентов клиента: Компонент Forefront UAG приложения туннелей SSL (пересылки сокета) теперь поддерживается в Windows Vista и Windows 7 64-разрядных операционных системах для 32-разрядных приложений. В приведенной ниже таблице подробности и выдавать #3 для получения дополнительных сведений.
Функция
Windows XP 32-разрядная версия
Windows Vista 32-разрядные
Windows Vista 64-разрядная
Windows 7 32-разрядные
Windows 7 64-разрядная
Mac или Linux
Автономная установка
Да
Да
Да
Да
Да
Нет
Оперативная установка
Да
Да
Да
Да
Да
Да
Определение конечной точки
Да
Да
Да
Да
Да
Да
Wiper вложений
Да
Да
Да
Да
Да
Да
Компонент туннелирование SSL
Да
Да
Да
Да
Да
Да
Сервер пересылки сокета
Да
Да
Да
Да
Да
Нет
Туннелирование SSL приложения (Сетевой разъем)
Да
Да
Да
Нет
Нет
Нет
Примечание: Дополнительные сведения о браузерах, операционных систем и клиентского компонента возможностей и совместимости, посетите следующие веб-страницы Microsoft TechNet:
Общие сведения о требованиях к системе для Microsoft Forefront UAG конечных точек
-
Инфраструктуры виртуальных ПК (VDI): Forefront UAG полностью поддерживает публикации удаленные рабочие столы через личного рабочего стола сценарии VDI.
-
Citrix поддержка публикации: Forefront UAG полностью поддерживает Citrix Presentation Server 4.5 и его замену Citrix XenApp 5.0.
-
Поддержка клиента Citrix компьютера: Forefront UAG поддерживает Citrix XenApp приложения, где клиент XenApp — 32-разрядный доступ к 64-разрядных операционных системах Windows Vista и Windows 7 компьютеров. Проблема #4 ниже дополнительные сведения см.
-
Управления доступом SSTP пользователей и групп: Forefront UAG предоставляет более совершенный механизм авторизации, позволяя администраторам авторизовать отдельные группы для доступа к SSTP.
-
SSL-подтверждения: Forefront UAG теперь обеспечивает более надежную обработку подтверждений SSL между UAG и опубликованных веб-серверов.
-
Делегирования сертификата клиента: Forefront UAG теперь добавляет некоторые ограниченную поддержку для приложений, где сервер приложений требует учетные данные сертификата клиента для согласования.
-
Поддержка сетевой разъем MAC адрес: Сетевой разъем Forefront UAG Server поддерживает широкий диапазон сетевых адаптеров с расширенный диапазон MAC-адресов.
Дополнительные сведения о новых возможностях обновления 2 для Forefront UAG 2010 обратитесь к разделу «Что нового в Forefront UAG» на веб-страницу Майкрософт:
Введение в продукт оценки, которая применяется к Forefront UAG
Дополнительные сведения
Сведения об обновлении
Следующий файл доступен для загрузки из центра загрузки Майкрософт:Загрузить пакет обновления Microsoft Forefront единой Access Gateway (UAG) 2. Для получения дополнительных сведений о том, как скачать файлы поддержки Майкрософт, щелкните следующий номер статьи базы знаний Майкрософт.
Как загрузить файлы поддержки Microsoft через оперативные службы 119591Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последнее антивирусное программное обеспечение, доступное на период публикации файла. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.
Предварительные условия
Это обновление является накопительным и может применяться для устройств, серверов и виртуальных машин, которые выполняются следующие версии UAG 2010:
-
UAG 2010 (RTM)
-
UAG 2010 Update 1
-
UAG 2010 обновление 1 пакета исправлений 1
Дополнительные сведения о UAG обновления 1 щелкните следующий номер статьи базы знаний Майкрософт:
981323 Описание обновления 1 для шлюза единой Access 2010Дополнительные сведения о пакете обновлений 1 1 UAG исправлений щелкните следующий номер статьи базы знаний Майкрософт:
981932 Описание исправления накопительного пакета обновлений 1 для единой Access Gateway 2010 Update 1
Замечания по установке
Порядок установки при использовании в массив сервер UAG
-
Сначала установите обновление 2 диспетчера массива.
-
Перезагрузите компьютер.
-
Активация конфигурации UAG.
-
Подождите, конфигурация для синхронизации.
-
Установите обновление 2 на первый элемент массива без диспетчера.
-
Перезагрузите компьютер.
-
Повторите для всех остальных элементов массива.
Примечание. При необходимости удаления обновления 2 должна проводиться в обратном порядке.
Необходимость перезагрузки
В сценарии не массивнет необходимости перезагрузить компьютер после установки этого пакета обновления. После установки пакета обновления необходимо активировать конфигурации UAG. Обратите внимание, что выполнение активации UAG завершит все существующие подключения SSL туннелирования приложения на сервер UAG.
В сценариях массива необходима перезагрузка. Описанные выше действия установки массива необходимы для успешного развертывания обновления при использовании массива, не удалось, выполните следующие действия может привести к повреждению массива и потере конфигурации.Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения об удалении
Чтобы удалить это обновление, воспользуйтесь одним из следующих методов:
-
Войдите в систему как встроенная учетная запись администратора, а затем удалите обновление, используя приложение «программы и компоненты» панели управления.
-
Из командной строки с повышенными привилегиями введите следующую команду и нажмите клавишу ВВОД:
msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}
Сведения о файлах
Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку часовой пояс элемента Дата и время панели управления.
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
---|---|---|---|---|---|
Agent_win_helper.jar |
Неприменимо |
1,286,015 |
30-Aug-2010 |
13:12 |
Неприменимо |
Clientconf.xml |
Неприменимо |
6,675 |
15-Sep-2010 |
06:41 |
Неприменимо |
Configdatacomlayer.dll |
4.0.1269.200 |
192,400 |
15-Sep-2010 |
08:13 |
x64 |
Configdatalayer.dll |
4.0.1269.200 |
3,871,632 |
15-Sep-2010 |
08:06 |
x64 |
Configmgrcom.exe |
4.0.1269.200 |
199,568 |
15-Sep-2010 |
08:01 |
x64 |
Configmgrcomlayer.dll |
4.0.1269.200 |
2,246,032 |
15-Sep-2010 |
08:15 |
x64 |
Configmgrcore.dll |
4.0.1269.200 |
1,375,632 |
15-Sep-2010 |
08:23 |
x64 |
Configmgrinfra.dll |
4.0.1269.200 |
1,599,888 |
15-Sep-2010 |
08:12 |
x64 |
Configmgrlayer.dll |
4.0.1269.200 |
215,440 |
15-Sep-2010 |
08:05 |
x64 |
Configuration.exe |
4.0.1269.200 |
8,920,976 |
15-Sep-2010 |
08:22 |
x64 |
Detection.js |
Неприменимо |
14,591 |
15-Sep-2010 |
07:20 |
Неприменимо |
Https_whlfiltappwrap_forpor |
Неприменимо |
60,961 |
15-Sep-2010 |
07:19 |
Неприменимо |
Http_whlfiltappwrap_forport |
Неприменимо |
59,475 |
15-Sep-2010 |
07:19 |
Неприменимо |
Install.js |
Неприменимо |
11,218 |
15-Sep-2010 |
07:20 |
Неприменимо |
Installanddetect.asp |
Неприменимо |
12,067 |
15-Sep-2010 |
07:20 |
Неприменимо |
Internalerror.asp |
Неприменимо |
8,344 |
15-Sep-2010 |
07:20 |
Неприменимо |
Internalerror.inc |
Неприменимо |
24,402 |
15-Sep-2010 |
07:20 |
Неприменимо |
Login.asp |
Неприменимо |
24,183 |
15-Sep-2010 |
07:20 |
Неприменимо |
Logoffmsg.asp |
Неприменимо |
7,705 |
30-Aug-2010 |
13:11 |
Неприменимо |
Microsoft.uag.da.messages.d |
4.0.1269.200 |
33,680 |
15-Sep-2010 |
08:14 |
x64 |
Microsoft.uag.transformer.c |
4.0.1269.200 |
6,297,488 |
15-Sep-2010 |
08:02 |
x86 |
Monitormgrcom.exe |
4.0.1269.200 |
151,952 |
15-Sep-2010 |
08:01 |
x64 |
Monitormgrcore.dll |
4.0.1269.200 |
740,240 |
15-Sep-2010 |
08:23 |
x64 |
Monitormgrlayer.dll |
4.0.1269.200 |
354,192 |
15-Sep-2010 |
08:12 |
x64 |
Policy.xml |
Неприменимо |
80,244 |
17-Oct-2010 |
12:16 |
Неприменимо |
Policydefinitions.xml |
Неприменимо |
61,516 |
15-Sep-2010 |
07:15 |
Неприменимо |
Redirecttoorigurl.asp |
Неприменимо |
1,423 |
30-Aug-2010 |
13:11 |
Неприменимо |
Repairinstallation.vbs |
Неприменимо |
3,044 |
30-Aug-2010 |
13:12 |
Неприменимо |
Ruleset_forinternalsite.ini |
Неприменимо |
47,019 |
30-Aug-2010 |
13:11 |
Неприменимо |
Sessionmgrcom.exe |
4.0.1269.200 |
233,872 |
15-Sep-2010 |
08:24 |
x64 |
Sessionmgrcomlayer.dll |
4.0.1269.200 |
1,641,360 |
15-Sep-2010 |
08:02 |
x64 |
Sessionmgrcore.dll |
4.0.1269.200 |
738,192 |
15-Sep-2010 |
08:01 |
x64 |
Sessionmgrinfra.dll |
4.0.1269.200 |
1,197,968 |
15-Sep-2010 |
08:22 |
x64 |
Sessionmgrlayer.dll |
4.0.1269.200 |
200,592 |
15-Sep-2010 |
08:04 |
x64 |
Sfhlprutil.cab |
Неприменимо |
57,194 |
15-Sep-2010 |
08:35 |
Неприменимо |
Shareaccess.exe |
4.0.1269.200 |
492,944 |
15-Sep-2010 |
08:12 |
x64 |
Sslbox.dll |
4.0.1269.200 |
58,768 |
15-Sep-2010 |
08:14 |
x64 |
Sslvpntemplates.xml |
Неприменимо |
28,704 |
30-Aug-2010 |
13:12 |
Неприменимо |
Sslvpn_https_profiles.xml |
Неприменимо |
968 |
17-Oct-2010 |
12:16 |
Неприменимо |
Uagqec.cab |
Неприменимо |
64,842 |
15-Sep-2010 |
08:36 |
Неприменимо |
Uagqessvc.exe |
4.0.1269.200 |
207,760 |
15-Sep-2010 |
08:04 |
x64 |
Uagrdpsvc.exe |
4.0.1269.200 |
144,272 |
15-Sep-2010 |
08:14 |
x64 |
Uninstalluagupdate.cmd |
Неприменимо |
212 |
15-Sep-2010 |
08:41 |
Неприменимо |
Usermgrcom.exe |
4.0.1269.200 |
119,184 |
15-Sep-2010 |
08:01 |
x64 |
Usermgrcore.dll |
4.0.1269.200 |
837,008 |
15-Sep-2010 |
08:01 |
x64 |
Whlasynccomm.dll |
4.0.1269.200 |
107,408 |
15-Sep-2010 |
08:14 |
x64 |
Whlcache.cab |
Неприменимо |
265,768 |
15-Sep-2010 |
08:36 |
Неприменимо |
Whlclientsetup-all.msi |
Неприменимо |
2,964,992 |
15-Sep-2010 |
08:22 |
Неприменимо |
Whlclientsetup-basic.msi |
Неприменимо |
2,964,992 |
15-Sep-2010 |
08:01 |
Неприменимо |
Whlclientsetup networkconne |
Неприменимо |
2,965,504 |
15-Sep-2010 |
08:04 |
Неприменимо |
Whlclientsetup networkconne |
Неприменимо |
2,965,504 |
15-Sep-2010 |
08:03 |
Неприменимо |
Whlclientsetup socketforwar |
Неприменимо |
2,964,992 |
15-Sep-2010 |
08:24 |
Неприменимо |
Whlclntproxy.cab |
Неприменимо |
242,713 |
15-Sep-2010 |
08:35 |
Неприменимо |
Whlcompmgr.cab |
Неприменимо |
689,483 |
15-Sep-2010 |
08:35 |
Неприменимо |
Whlcppinfra.dll |
4.0.1269.200 |
669,584 |
15-Sep-2010 |
08:23 |
x64 |
Whldetector.cab |
Неприменимо |
263,764 |
15-Sep-2010 |
08:36 |
Неприменимо |
Whlfiltappwrap.dll |
4.0.1269.200 |
315,280 |
15-Sep-2010 |
14:02 |
x64 |
Whlfiltappwrap_http.xml |
Неприменимо |
59,475 |
15-Sep-2010 |
13:19 |
Неприменимо |
Whlfiltappwrap_https.xml |
Неприменимо |
60,961 |
15-Sep-2010 |
13:19 |
Неприменимо |
Whlfiltauthorization.dll |
4.0.1269.200 |
311,696 |
15-Sep-2010 |
14:23 |
x64 |
Whlfilter.dll |
4.0.1269.200 |
589,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote.dll |
4.0.1269.200 |
1,037,200 |
15-Sep-2010 |
14:22 |
x64 |
Whlfiltsecureremote_http.xm |
Неприменимо |
77,404 |
30-Aug-2010 |
13:11 |
Неприменимо |
Whlfiltsecureremote_https.x |
Неприменимо |
80,308 |
17-Oct-2010 |
12:16 |
Неприменимо |
Whlfirewallinfra.dll |
4.0.1269.200 |
444,816 |
15-Sep-2010 |
08:13 |
x64 |
Whlgenlib.dll |
4.0.1269.200 |
511,376 |
15-Sep-2010 |
08:04 |
x64 |
Whlglobalutilities.dll |
4.0.1269.200 |
106,384 |
15-Sep-2010 |
08:05 |
x64 |
Whlinstallanddetect.inc |
Неприменимо |
4,476 |
30-Aug-2010 |
13:11 |
Неприменимо |
Whlio.cab |
Неприменимо |
167,277 |
15-Sep-2010 |
08:35 |
Неприменимо |
Whlioapi.dll |
4.0.1269.200 |
76,176 |
15-Sep-2010 |
08:04 |
x64 |
Whliolic.dll |
4.0.1269.200 |
15,760 |
15-Sep-2010 |
08:22 |
x64 |
Whlios.exe |
4.0.1269.200 |
137,104 |
15-Sep-2010 |
08:24 |
x64 |
Whllln.cab |
Неприменимо |
167,095 |
15-Sep-2010 |
08:36 |
Неприменимо |
Whlllnconf1.cab |
Неприменимо |
6,521 |
15-Sep-2010 |
08:35 |
Неприменимо |
Whlllnconf2.cab |
Неприменимо |
6,610 |
15-Sep-2010 |
08:36 |
Неприменимо |
Whlllnconf3.cab |
Неприменимо |
6,599 |
15-Sep-2010 |
08:35 |
Неприменимо |
Whltrace.cab |
Неприменимо |
254,352 |
15-Sep-2010 |
08:36 |
Неприменимо |
Whltsgauth.dll |
4.0.1269.200 |
184,208 |
15-Sep-2010 |
08:02 |
x64 |
Whltsgconf.dll |
4.0.1269.200 |
87,440 |
15-Sep-2010 |
08:22 |
x64 |
Whlvaw_srv.dll |
4.0.1269.200 |
138,128 |
15-Sep-2010 |
08:05 |
x64 |
Wioconfig.dll |
4.0.1269.200 |
496,528 |
15-Sep-2010 |
08:01 |
x64 |
Основные вопросы, включенные в данное обновление
Это обновление устраняет следующие проблемы, которые ранее не описывались в статьях базы знаний Майкрософт.
Проблема 1Симптом Администраторы требовать высокую точность управления доступом для своих клиентов виртуальной частной сети (VPN) Secure Socket туннельный протокол (SSTP). Тем не менее Настройка SSTP на UAG создает правило единого доступа, предоставляющий доступ к VPN-клиента к всей внутренней сети. В следующем тексте из http://technet.microsoft.com/en-us/library/ee522953.aspx по поддерживается использование консоли угроз Management Gateway (TMG) для создания правил, обеспечивающих высокую точность управления доступом для доступа к SSTP VPN: «Создание правила доступа с помощью консоли управления Forefront TMG, для ограничения пользователей, групп и сетей для детализации доступа при развертывании Forefront UAG для VPN удаленного доступа.» Тем не менее когда администраторы создают правила доступа для ограничения доступа пользователей, эти правила удалена или перемещена в нижнюю часть политики доступа после активации UAG. Это означает, что правило по умолчанию имеют приоритет и настроенный детальный контроль теряется. Причина Причиной этой проблемы является ограничение в разработке интеграции между UAG и динамически создаваемого правила, которые будут развернуты в TMG во время активации UAG. Решение Ручное изменение правил TMG поддерживает высокую точность управления доступом, как описано на TechNet амортизируется (и больше не поддерживается после установки обновления 2 UAG) вместо явной поддержки высокую точность управления доступом в консоли управления UAG. Явно UAG Администраторы теперь могут предоставить доступ к определенной внутренние сетевые адреса пользователям SSTP VPN, которые являются членами определенных групп Active Directory. Администраторы UAG следует использовать новую вкладку Группы диалогового окна Настройка туннелирования SSL сети для определения детальный политики доступа IP VPN, который состоит из набора правил доступа. Каждое правило определяет набор внутренней сети IP-адреса и диапазоны IP-адресов, членов определенной группы Active Directory можно получить доступ при подключении к SSTP VPN. Проблема 2 Симптом Поддержка инфраструктуры виртуальных настольных систем Microsoft (VDI) в UAG реализован не полностью. Причина Из-за неправильных пользовательского интерфейса UAG проблемы конфигурации и невозможность поддержки нескольких авторизации в различных ресурсов во время реализации предотвратить VDI работает неправильно. Решение Мы внесли структурных изменений для обновления пользовательского интерфейса UAG и поддерживает сценарии личного рабочего стола с более надежной реализации VDI. Сценарий в пул рабочего стола VDI не была реализована и может быть реализован в дальнейшем UAG. Проблема 3 Симптом Клиентский компонент UAG для SSL приложение туннелирования (пересылки сокета) не поддерживается на 64-разрядной версии Windows 7 и 64-разрядной версии Windows Vista. Причина Это предусмотрено для сохранения UAG клиентских компонентов до выпуска обновления 2 UAG. Решение Мы сделали структурных изменений в адрес следующий сценарий: Существует широкий набор веб-приложений, которые используют пересылки сокета UAG / туннелирования приложения как способ публикации. Например, такие приложения Citrix XenApps и Presentation Server 4.5, а обе программы работают как приложения ActiveX в браузере. До этого обновления из-за технических ограничений, мы запретить развертывание этих методов публикации на 64-разрядной версии операционной системы клиента. Таким образом возможен же опубликованным приложением, которое использует эти методы из 32-разрядной версии клиентская операционная systemss, а не из 64-разрядных операционных системах. Изменения, внесенные в этом сценарии является предоставление метода развертывания клиентского сокета пересылки (SF) компонентов на 64-разрядной версии Windows клиентские операционные системы, чтобы разрешить открытие туннельного приложений. Ниже перечислены ограничения этой реализации.
-
Для пересылки сокета поддерживается только в 64-разрядной версии операционной системы Windows Vista и 64-разрядной версии Windows 7, другой 64-разрядной версии операционных систем не поддерживаются.
-
Сервер пересылки сокета поддерживается только при доступе к UAG из 32-разрядной версии Internet Explorer (под управлением эмуляции WOW64 32 бит).
-
Сервер пересылки сокета будет взаимодействовать только с 32-разрядными приложениями (WOW64 приложения) и не будет взаимодействовать с 64-разрядных приложений в машинном коде.
Ниже приведены параметры развертывания для обновленных компонентов:
-
Интернет: стандартный метод, который выполняет развертывание компонентов SF. Во время самого первого вызова любого приложения портала UAG, использующий SF как метод нисходящей публикации загрузки и установки компонентов.
-
Offline: можно также развертывать соответствующие приложения установщика Windows (MSI) на клиентском компьютере с помощью распространения программного обеспечения со сценариями или ручной установки. После установки обновления 2 UAG файлы будут доступны на сервере UAG в следующей папке:
Directory%\von\PortalHomePage\ Установка UAG %
Проблема 4
Симптом Нет доступа к XenApps Citrix 5.0, которая опубликована с UAG с клиентского компьютера под управлением 64-разрядной версии Windows Vista или Windows 7. Причина Это предусмотрено для сохранения UAG клиентских компонентов до выпуска обновления 2 UAG. Решение Обратитесь к разделу «Решение», проблема 3 подробные сведения. Вопрос 5 Симптом При попытке создать или изменить политику конечной точки в списке политики «McAfee Total Protection» появится два раза. Если выбран второй политики «McAfee Total Protection», появляется сообщение об ошибке, подобное приведенному ниже:не удается найти строку источника
Причина Эта проблема возникает, так как файл directory%\von\Conf\PolicyDefinitions.xml % UAG установки содержит две записи с тем же именем и идентификатором. Решение Двойная запись проблема устранена путем удаления вторую запись из файла PolicyDefinitions.xml. Проблема 6 Symptom При доступе к ресурсу, опубликованное UAG, клиенты сообщение об ошибке «Неизвестная ошибка при обработке сертификата» в веб-обозревателе. Кроме того администратор UAG может появиться в журналах отладки сервера UAG, SEC_I_CONTINUE_NEEDED возвращается во время этапа согласования SSL «Подтверждение состояние подтверждения». После этого шага отладочные журналы покажет что клиенту кода ошибки 37 возвращается на страницу /InternalSite/InternalError.asp . Код ошибки 37-сообщение об ошибке «Неизвестная ошибка при обработке сертификата.» Cause Существующий механизм SSL не правильно ли handli несколько сценариев при выполнении с фонового сервера, опубликованным через UAG SSL-подтверждения. Потоковый характер SSL создает сложные сценарии с вероятность получения либо недостаточно данных или чтение слишком много информации при установлении соединения. В этом случае InitializeSecurityконтексте сообщает, что прошли дополнительные данные, которые должны быть сохранены для использования в будущем (предположительно после считывания дополнительных данных по каналу связи). Resolution Алгоритм подтверждения расширена для поддержки дополнительных потоков случаев и сценариев. Issue 7 Symptom При доступе к опубликованным приложением HTTPS через UAG, пользователь получает сообщение об ошибке 37: «Неизвестная ошибка при обработке сертификата.» Администратор, который осуществляет регистрацию в журнале отладки (включающий трассировки SSLBOX_BASE) при доступе к пользователю приложения будет отображаться следующее сообщение об ошибке:
Ошибка: не удалось инициализировать контекст безопасности. Возвращена ошибка: 0x90320.
Возврат SEC_INCOMPLETE_CREDENTIALS InitializeSecurityContext – Schannel требуются учетные данные сертификата клиентаCause
Серверному приложению сервер настроен на запрос учетных данных сертификата клиента на этапе согласования SSL. До выполнения данного обновления Такая функциональная возможность не поддерживается. Таким образом согласования завершилась ошибкой. Resolution Существует два возможных сценария, где внутренний сервер запрашивает учетные данные сертификата клиента:-
Серверному приложению сервер запрашивает сертификат клиента, чтобы получить контекст сертификата, но не требуется. Для этого случая, резервным вариантом было реализовано, позволяя UAG попытки получения согласования после SEC_INCOMPLETE_CREDENTIALS код возврата. Обычно конечного сервера не требуется сертификат клиента и это согласование успешно завершено.
-
Серверному приложению требуется проверка подлинности сертификата клиента. Изменение макета, который был реализован не позволяет клиенту предоставить доступ через клиентские сертификаты, но не позволяют один действительный сертификат предоставляется на внутреннем веб-сервер для всех пользователей.
В этом случае администратор UAG должен указать действительный клиентский сертификат и установить его на сервер UAG как сертификат компьютера.-
Чтобы указать модуль UAG SSLBox для извлечения и получить правильный сертификат, выполните следующие действия.
-
Выполните команду для открытия консоли управления MMC.
-
Выберите файли нажмите кнопку Добавить/удалить оснастку.
-
Выберите сертификаты из списка и нажмите кнопку Добавить.
-
Выберите учетную запись компьютера и нажмите кнопку Готово.
-
Откройте хранилище личных сертификатов.
-
Выберите из списка сертификат проверки подлинности клиента требуется и дважды щелкните сертификат. Правой кнопкой мыши сертификат и нажмите кнопку Открыть.
-
В области сведений выберите и прокрутите вниз.
-
Выберите свойство отпечаток .
-
Выберите значение свойства в панели ниже ссылке и скопируйте его значение, нажав CTRL + C.
-
Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:
322756 как резервное копирование и восстановление реестра Windowsа. Запустите редактор реестра (Regedt32.exe). б. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
c. в меню Правка выберите пункт Добавить значениеи добавьте следующий параметр реестра:Имя значения: ClientCertHash
Тип данных: строка Значение: {текст скопирован на шаге 9} [например: a7 36 4b ЦС 87 3f переменного тока 10 d5 4b 0f ЦС 83 9e 9e 74 c8 3e ОС 8b] d. Выйдите из редактора реестра. e. Запустите команду IISReset, как администратор, чтобы перезапустить службы IIS. е. Активация конфигурации UAG.
-
-
Проблема 8
Symptom В некоторых редких случаях клиентских компьютеров, на которых установлены компоненты клиента UAG на них сообщение об ошибке «uagqecsvc» событие ID 85 журнала записываются в журналы событий Windows при связи клиента с сервером UAG каждую минуту. Хотя это оповещение ЛОЖЬ, это заполняется журналы событий клиента, что затрудняет для администраторов или справочной службы из выявлению реальных событий в журналах событий Windows клиента. Эти сообщения будут всегда отображаться на клиентском компьютере каждую минуту при подключении клиента к серверу IAG.Код события: 85
Источник: uagqecsvc Тип: ошибка Описание: Компонент Клиент принудительного карантина для Microsoft Forefront UAG не удалось инициализировать обратный вызов клиента принудительной защиты значение HRESULT: 0x8027000E. Эта проблема может возникнуть, если политики безопасности не включить компонент.Также возможно другого связанные события в журнале событий клиента.
Код события: 16
Источник: uagqecsvc Имя журнала: приложения Описание: Компонент Клиент принудительного карантина для Microsoft Forefront UAG не удалось получить состояние службы агента защиты сетевого доступа (NAP). Системная ошибка 1115: выполняется завершение работы системы. (0x45b). когда Microsoft Forefront UAG клиент принудительного карантина для компонента, он пытается параметры запроса службы агента NAP.Несмотря на то, что эта проблема не связаны непосредственно UAG или развертываний UAG, возможна с некоторых развертываниях пользователей, имеющих клиентские компоненты UAG, установленную на них будет доступ IAG и UAG серверов.
Cause Клиентские компоненты UAG статусом компонент службы «uagqecsvc» с отображаемым именем из «Microsoft Forefront UAG клиент принудительного карантина для» какие запросы конечной точки работоспособности с помощью NAP и сообщает о состоянии обратно к модулю защиты доступа к сети на UAG. В некоторых редких случаях эта проблема будут отображаться в развертываниях UAG как служба повторно пытается повторно привязать сервер UAG. Привязка будет выполняться в цикл с тайм-аутом минуты до соединения. Кроме того, начиная с 3 IAG Пакет обновления 2 обновления, были перенесены IAG UAG клиентских компонентов. Поэтому служба uagqecsvc также установлена на клиентских компьютерах, подключающихся к любому серверу IAG, имеющий клиентские компоненты 2 обновления Пакет обновления 3. Поскольку функциональные возможности обнаружения конечной точки NAP в IAG не существует, клиент, использующий UAG компоненты, установленные на их продолжит попробовать подключиться к службе UAG NAP каждую минуту в процессе создания вышеупомянутые журнала корреляции в журнале событий Windows. Resolution В более ранних версиях клиентских компонентов по умолчанию время ожидания между повторными попытками установки для взаимодействия с агентом UAG NAP обнаружения был установлен до минуты он является был изменен в UAG обновления 2 на один час. Для администраторов, которым необходимо изменить это значение предоставляется возможность вручную задать время ожидания для клиента. Важно. Этот раздел, метод или задача содержат действия, содержащие указания по изменению реестра. Однако, при некорректных изменениях реестра могут возникнуть серьезные проблемы. Поэтому выполняйте следующие действия внимательно. Для дополнительной защиты сделайте резервную копию реестра перед внесением изменений. В таком случае при возникновении неполадок можно будет восстановить реестр. Чтобы узнать дополнительные сведения о резервном копировании и восстановлении реестра, щелкните следующий номер статьи базы знаний Майкрософт:322756 как резервное копирование и восстановление реестра WindowsПользователи или Администраторы можно вручную определить на любом клиентском компьютере тайм-аута в миллисекундах. Чтобы сделать это, выполните следующие действия.
-
Запустите редактор реестра (Regedt32.exe).
-
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
-
В меню Правка выберите пункт Добавить значениеи добавьте следующий параметр реестра:
Имя значения: InitRetryTimeout
Тип данных: REG_DWORD Основание системы счисления: десятичная Значение: (по умолчанию используется время в миллисекундах 360000, но это значение должно быть задать размер затем 6000) -
Закройте редактор реестра.
-
Перезагрузите компьютер.
Проблема 9
Симптом (Администратор UAG) имеется UAG, установленные на сервере, на котором выполняется локализованная версия языка APAC Windows 2008 R2. При попытке создания магистральных UAG, появляется сообщение об ошибке и создание канала связи остановлена. Например, пустые окна, сообщениями неожиданных ошибок или частых MMC сбои возникают при попытке создания магистральных UAG. Причина Эта проблема возникает из-за неправильного манипуляции системных ресурсов. Эти манипуляции с неправильным привести к отказу при запуске UAG в некоторых версиях языка не западной операционных систем (корейский и японский и китайский). Решение Код, обеспечивающий доступ к этим ресурсам системы фиксированной. Вопрос 10 Симптом Конечная точка сеанса очистки компонентов не запускается для выполнения после перезагрузки конечной точки. Кроме того в окне обозревателя открывается, указывающий на папку компоненты клиента после перезагрузки. Причина Перед перезагрузкой конечная точка сеанса очистки компонентов записывает значения реестра в разделе «Запуск». Это значение реестра позволяет Windows для автоматического запуска после перезагрузки компонента сеанса очистки конечной точки. Однако этот путь реестра значение исполняемый путь, содержащий пробелы. Таким образом возникает ошибка. Решение Значение пути, указывающего на исполняемый файл Wiper вложения, записываются в раздел «Запуск» теперь записывается как строка в кавычках, чтобы предотвратить сбои. Вопрос 11 Симптом При попытке получить доступ к языковой настройки параметров в Exchange Server 2007 веб-приложения (Outlook), опубликованный через UAG следующее сообщение об ошибке будет отправлено клиенту.Предпринята попытка доступа к URL, ограничен.
Причина Эта проблема возникает из-за нехватки шаблон для Exchange Server 2007 OWA не имеет записи набора правил для URL"/owa/languageselection.aspx». Механизм правил UAG не разрешает доступ к любой URL-адрес, который не включен в белый список. Решение Для Exchange 2007 OWA публикации для доступа к этому ресурсу URL-адрес добавляется новое правило. В этом случае новое правило «ExchangePub2007_Rule36» предоставляет доступ к URL-АДРЕСУ «/owa/languageselection.aspx». Проблема 12 Симптом Когда пользователь пытается получить доступ к узлу UAG или пытается открыть закладку путь внутри приложения, а не путь входа UAG, пользователь получает 500 Внутренняя ошибка сервера и не может получить доступ к узлу. Примечание. Узел UAG использует ADFS для проверки подлинности и запросов опубликованных приложений напрямую. Причина При настройке служб ADFS для проверки подлинности UAG несколько перенаправления происходят от службы маркеров безопасности (STS) и внутренний узел UAG. Если redirectes не выполняется ожидаемым образом, UAG возвращает ошибки. Когда пользователь пытается получить прямой доступ к опубликованным ресурсов вместо узла портала, re-routing процесса разрывается. Таким образом возникает внутренняя ошибка сервера. Решение Эта проблема устранена в данное обновление. Проблема 13 Симптом Когда администратор выполняет настройку хранилища ActiveDirectory тип проверки подлинности, администратор не может задать группу вложенности значение «unlimited». В соответствии со спецификацией UAG значение поля вложения группы может быть пустым. Тем не менее если это поле пусто, сохраняется и активации конфигурации имеет значение обратно на «0» неожиданно. Примечание. UAG MMC необходимо закрыть и повторно открыть для получения отображается значение «0». Как спецификация UAG «0» означает, что не вложенные группы. Таким образом вложенные группы не работает должным образом. Причина Эта проблема возникает из-за правильное значение в поле вложения группы не может быть сохранен в конфигурации. Таким образом правильным значением не может применяться для пользовательского интерфейса и функций проверки подлинности. Решение Значение в конфигурации теперь правильно хранится и обновляется при удалении вложения значение группы из графического интерфейса Кроме того, значение надлежащим образом применяются к функции проверки подлинности. Примечание. Корпорация Майкрософт рекомендует значение быть наименьшим номером, который необходим для авторизации в UAG. Можно присвоить значение больше, чем 2 уровней вложения из-за возможных задержек и необходимых ресурсов. Если выше, чем 2 уровня необходимы для развертывания, необходимо проверить влияние этих изменений перед развертыванием в производственной системе. В крайних случаях эти параметры могут привести к сервер UAG и все контроллеры домена, которые используются для проверки подлинности, UAG сбой из-за требований высокую загрузку ресурсов. Проблема 14 Симптом При попытке закрыть окно конфигурации сервера сетевой разъем (NC) после включения сервера NC, может появиться следующее сообщение об ошибке:
Неверные параметры сетевой разъем, недопустимый адрес сегмента
Причина Туннелирование SSL сетевой службы может использоваться только в том случае, когда физические сетевые адаптеры имеют MAC-адреса, начинающиеся с «00». Решение Туннелей SSL сетевой службы может использоваться, даже если физические сетевые адаптеры MAC-адреса, начинающиеся с «00». Проблема 15 Симптом Частичная поддержка Citrix XenApp 5 была выпущена UAG. Если вы хотите опубликовать Citrix без ошибок, они обязательно выполните инструкции, содержащиеся в веб-узел Майкрософт:
Общие сведения о том, как опубликовать Citrix XenApp 5.x с UAG 2010 Причина Эта проблема возникает из-за разрыва поддержка Citrix. Решение Действия, предоставляемые, чтобы должным образом опубликовать Citrix XenApp 5.0 теперь включены в данное обновление. Проблема 16 Симптом Антивирусный продукт «Trend Micro OfficeScan антивирусной программы» или «Trend Micro PC-Cillin антивирусные» выбирается из графического интерфейса пользователя. В этом случае при создании политики и затем применить политику к приложению, появляется следующее сообщение об ошибке при активации:
Не удается найти строку источника
Причина Эта проблема возникает из-за алгоритма проверки синтаксиса политики промахов зависимости, необходимые для этих конкретных политик. Решение После установки этого обновления зависимостей, которые требуются эти политики будут добавлены алгоритм проверки синтаксиса политики.
Известные проблемы
-
После установки данного обновления в окне «Сетевые подключения» становится невидимым сетевое туннелирование SSL сетевой адаптер. Данное поведение является особенностью. Убедитесь, что сетевой адаптер является установки откройте диспетчер устройств и выберите «Показать скрытые устройства» запись в меню Вид.
-
Иногда операции обновления для удаления может завершиться с ошибкой с сообщением об ошибке, указав установочный файл «FirefrontUAG.msi» не удается найти или Ошибка установки 1269.
-
Откройте меню "Пуск" и введите Показать скрытые файлы и папки.
-
В открытое окно Дополнительные параметры снимите флажок Скрывать защищенные системные файлы (рекомендуется) и нажмите OK.
-
Откройте окно командной строки с повышенными привилегиями и введите UninstallUagUpdate.
-
Подождите несколько минут для восстановления базы данных установки, если это необходимо.
Примечание. Может появиться сообщение, которое информирует вас о необходимости восстановления.
-
-
Citrix XenApp поддерживается только для версии 5.0. Более поздние версии не поддерживаются.
-
Этот выпуск поддерживает только сценарии VDI личного рабочего стола. Внешние сценарии для настольных ПК в настоящее время не поддерживается.
-
Пересылки сокета доступна на Windows 7 и Vista 64-разрядных клиентов для 32-разрядных приложений (приложения в эмуляторе WOW64). Он недоступен для собственных 64-разрядных приложений.
-
Публикация OWA для Exchange 2010 Пакет обновления 1, UAG требует ручной модификации AppWrap и изменения наборов правил. О действиях, необходимых для этого статья опубликована на блоге группы продукта UAG http://blogs.technet.com/b/edgeaccessblog/. Действия, описанные в статье будут интегрированы в будущие обновления UAG.
-
Службы поддержки клиентов корпорации Майкрософт (CSS) не обеспечивают поддержку клиентов при использовании бета-версии, не RTM или не--общедоступной (GA) такие продукты, как Internet Explorer 9 бета-версии. Поддержка IE9 будут включены в будущие обновления после IE9 официального выпуска.
Известные проблемы с массивами и балансировки сетевой нагрузки (NLB)
-
При попытке присоединения двух серверов тот же массив в то же время хранения массива может быть поврежден. В этом случае восстановите параметры из резервной копии.
-
При удалении IPv6 виртуальный IP-адрес (VIP) в консоли управления Forefront UAG адреса не могут полностью удалены. Чтобы обойти эту проблему, вручную удалите адрес от сетевого адаптера в центре управления сетями и общим доступом и консоль управления Forefront UAG.
-
Forefront UAG может не обнаружить, что элементом массива, который использует встроенный NLB теряет связь с сетью (например, системы ISP-ошибка). В этом случае Forefront UAG продолжить маршрутизацию трафика на сервер недоступен. Чтобы избежать этой проблемы, отключите адаптеры внутренних и внешних элементов массива в автономном режиме. После разрешения проблемы подключения снова включите адаптеры.
-
Если у вас есть Microsoft System Center Operations Manager 2007 в организации развернуты, можно отслеживать состояние сетевых адаптеров элементов массива. Чтобы сделать это, выполните следующие действия.
-
Убедитесь, что установлены пакеты управления операционной системы Windows Server и Windows Server 2008 NLB на каждого члена массива.
-
Используйте для поиска отключенных сетевых адаптеров на члены массива Operations Manager 2007.
Примечание. Operations Manager 2007 сообщает о проблемах следующим образом:-
Если проблема с адаптер, подключенный к внутренней сети, Operations Manager 2007 сообщает обнаружения без подтверждения.
-
Если проблема с адаптер, подключенный к внешней сети, Operations Manager 2007 сообщает о проблеме балансировки сетевой Нагрузки Windows.
-
-
-
При создании магистральных перенаправления для магистральных HTTPS в массиве, не активирована Балансировка нагрузки, необходимо вручную назначить магистральных перенаправление IP-адреса для каждого члена массива. Эта задача описана в следующей статье:
Введение в установке обновления 1 в массив с помощью балансировки сетевой Нагрузки