Перейти к основному контенту
Поддержка
Войти
Войдите с помощью учетной записи Майкрософт
Войдите или создайте учетную запись.
Здравствуйте,
Выберите другую учетную запись.
У вас несколько учетных записей
Выберите учетную запись, с помощью которой нужно войти.

Симптомы

Рассмотрим следующий сценарий:

  • При попытке доступа к веб-сайту Secure Sockets Layer (SSL) через Microsoft Forefront угроз Management Gateway 2010.

  • Веб-сайт использует Указание имени сервера (SNI) для определения, какой сертификат должен использоваться.

  • Проверки HTTPS шлюз управления угроз включена.

  • Threat Management Gateway server использует web chaining для отправки исходящих веб-запросов на вышестоящие прокси-сервера.

  • Набор параметров поставщика HTTPSiDontUseOldClientProtocols включен (на 2545464 КБ).

В этом случае нет доступа к веб-сайту.

Причина

Эта проблема возникает из-за построения Threat Management Gateway неверный заголовок сетевого Адаптера, который возникают ошибки подключения или ошибок веб-сервера.

Решение

Чтобы устранить эту проблему, установите это исправление на всех членах массива Threat Management Gateway. Это исправление не включено по умолчанию. После установки данного исправления, необходимо выполнить следующие действия, чтобы активировать его:

  1. Скопируйте приведенный ниже сценарий в текстовый редактор, например «Блокнот» и сохраните его как UseOriginalHostNameInSslContex.vbs:

    '' Copyright (c) Microsoft Corporation. All rights reserved.
    ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
    ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
    ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
    ' HEREBY PERMITTED.
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
    Const SE_VPS_VALUE = TRUE
    Sub SetValue()
        ' Create the root object.
        Dim root
        ' The FPCLib.FPC root object
        Set root = CreateObject("FPC.Root")
        'Declare the other objects that are needed.
        Dim array       ' An FPCArray object
        Dim VendorSets
        ' An FPCVendorParametersSets collection
        Dim VendorSet
        ' An FPCVendorParametersSet object
        Set array = root.GetContainingArray
        Set VendorSets = array.VendorParametersSets
        On Error Resume Next
        Set VendorSet = VendorSets.Item( SE_VPS_GUID )
        If Err.Number <> 0 Then
            Err.Clear        ' Add the item.
            Set VendorSet = VendorSets.Add( SE_VPS_GUID )
            CheckError
            WScript.Echo "New VendorSet added... " & VendorSet.Name
        Else
            WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
        End If
        if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
            Err.Clear
            VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
            If Err.Number <> 0 Then
                CheckError
            Else
                VendorSets.Save false, true
                CheckError
                If Err.Number = 0 Then
                    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
                End If
            End If
        Else
            WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
        End If
    End Sub
    Sub CheckError()
        If Err.Number <> 0 Then
            WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
            Err.Clear
        End If
    End Sub
    SetValue

  2. Скопировать файл сценария для члена массива Threat Management Gateway, а затем дважды щелкните файл, чтобы запустить сценарий.

Чтобы вернуться к поведению по умолчанию, выполните следующие действия.

  1. Найдите следующую строку сценария:

    Const SE_VPS_VALUE = true

  2. Измените эту строку следующим образом:

    Const SE_VPS_VALUE = false

  3. Повторно запустите сценарий на одном из членов массива Threat Management Gateway.

Сведения об исправлении

Доступно исправление от службы поддержки Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:

http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Необходимо установить Пакет обновления 2 для Microsoft Forefront угроз Management Gateway 2010 для установки этого исправления.

Сведения о перезагрузке компьютера

Может потребоваться перезагрузить компьютер после применения этого накопительного пакета исправлений.

Сведения о замене

Этот накопительный пакет исправлений не заменяет ранее выпущенное исправление свертки.

Английская версия данного исправления содержит атрибуты файла (или более поздние атрибуты файлов), приведенные в следующей таблице. Дата и время для этих файлов указаны в формате общего скоординированного времени (UTC). При просмотре сведений о файле, он преобразуется в локальное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, откройте вкладку Часовой пояс элемента Дата и время в панели управления.

Имя файла

Версия файла

Размер файла

Дата

Время

Платформа

Authdflt.dll

7.0.9193.650

252,768

22-Apr-15

9:46

x64

Comphp.dll

7.0.9193.650

257,912

22-Apr-15

9:46

x64

Complp.dll

7.0.9193.650

108,032

22-Apr-15

9:46

x64

Cookieauthfilter.dll

7.0.9193.650

682,760

22-Apr-15

9:46

x64

Dailysum.exe

7.0.9193.650

186,288

22-Apr-15

9:46

x64

Diffserv.dll

7.0.9193.650

162,616

22-Apr-15

9:46

x64

Diffservadmin.dll

7.0.9193.650

310,400

22-Apr-15

9:46

x64

Empfilter.dll

7.0.9193.650

711,088

22-Apr-15

9:46

x64

Empscan.dll

7.0.9193.650

267,664

22-Apr-15

9:46

x64

Gwpafltr.dll

7.0.9193.650

191,456

22-Apr-15

9:46

x64

Httpadmin.dll

7.0.9193.650

242,944

22-Apr-15

9:46

x64

Httpfilter.dll

7.0.9193.650

251,208

22-Apr-15

9:46

x64

Isarepgen.exe

7.0.9193.650

79,704

22-Apr-15

9:46

x64

Ldapfilter.dll

7.0.9193.650

189,896

22-Apr-15

9:46

x64

Linktranslation.dll

7.0.9193.650

418,592

22-Apr-15

9:46

x64

Managedapi.dll

7.0.9193.650

80,752

22-Apr-15

9:46

x64

Microsoft.isa.reportingservices.dll

7.0.9193.650

876,328

22-Apr-15

9:46

x64

Microsoft.isa.rpc.managedrpcserver.dll

7.0.9193.650

172,440

22-Apr-15

9:46

x64

Microsoft.isa.rpc.rwsapi.dll

7.0.9193.650

136,920

22-Apr-15

9:46

x64

Mpclient.dll

7.0.9193.650

128,632

22-Apr-15

9:46

x64

Msfpc.dll

7.0.9193.650

1,079,304

22-Apr-15

9:46

x64

Msfpccom.dll

7.0.9193.650

13,446,024

22-Apr-15

9:46

x64

Msfpcmix.dll

7.0.9193.650

569,448

22-Apr-15

9:46

x64

Msfpcsec.dll

7.0.9193.650

386,656

22-Apr-15

9:46

x64

Msfpcsnp.dll

7.0.9193.650

17,112,848

22-Apr-15

9:46

x64

Mspadmin.exe

7.0.9193.650

1,121,552

22-Apr-15

9:46

x64

Mspapi.dll

7.0.9193.650

130,680

22-Apr-15

9:46

x64

Msphlpr.dll

7.0.9193.650

1,279,136

22-Apr-15

9:46

x64

Mspmon.dll

7.0.9193.650

150,232

22-Apr-15

9:46

x64

Mspsec.dll

7.0.9193.650

84,872

22-Apr-15

9:46

x64

Pcsqmconfig.com.xml

Неприменимо

137,103

13-Feb-12

20:24

Неприменимо

Preapi.dll

7.0.9193.650

21,536

22-Apr-15

9:46

x64

Radiusauth.dll

7.0.9193.650

138,408

22-Apr-15

9:46

x64

Ratlib.dll

7.0.9193.650

148,184

22-Apr-15

9:46

x64

Reportadapter.dll

7.0.9193.650

723,888

22-Apr-15

9:46

x86

Reportdatacollector.dll

7.0.9193.650

1,127,648

22-Apr-15

9:46

x86

Softblockfltr.dll

7.0.9193.650

143,552

22-Apr-15

9:46

x64

Updateagent.exe

7.0.9193.650

211,520

22-Apr-15

9:46

x64

W3filter.dll

7.0.9193.650

1,409,416

22-Apr-15

9:46

x64

W3papi.dll

7.0.9193.650

21,024

22-Apr-15

9:46

x64

W3pinet.dll

7.0.9193.650

35,432

22-Apr-15

9:46

x64

W3prefch.exe

7.0.9193.650

341,312

22-Apr-15

9:46

x64

Webobjectsfltr.dll

7.0.9193.650

170,320

22-Apr-15

9:46

x64

Weng.sys

7.0.9193.572

845,440

12-Dec-12

21:31

x64

Wengnotify.dll

7.0.9193.572

154,280

12-Dec-12

21:31

x64

Wploadbalancer.dll

7.0.9193.650

203,840

22-Apr-15

9:46

x64

Wspapi.dll

7.0.9193.650

49,840

22-Apr-15

9:46

x64

Wspperf.dll

7.0.9193.650

131,192

22-Apr-15

9:46

x64

Wspsrv.exe

7.0.9193.650

2,464,136

22-Apr-15

9:46

x64



Дополнительные сведения

Сетевого Адаптера — это функция безопасности уровня транспорта SSL (TLS), которая позволяет клиенту отправлять заголовок в сообщение «Hello» клиента SSL, которое указывает полное доменное имя (FQDN) осуществляется. Это действие позволяет серверу определить, что сертификат для отправки клиенту на основе заголовка сетевого Адаптера.

При включении проверки угроз управления шлюз SSL Threat Management Gateway согласования SSL на целевой веб-сервер обрабатывает и идентифицируется как клиент согласования SSL веб-сервера.

Threat Management Gateway неправильно формирует заголовок сетевого Адаптера с помощью имени вышестоящим сервером и не имя целевого веб-сервера, если выполняются следующие условия:

  • Threat Management Gateway является нижестоящим прокси-сервер.

  • Threat Management Gateway добавляет исходящие запросы на вышестоящий сервер Threat Management Gateway.

  • Набор параметров поставщика HTTPSiDontUseOldClientProtocols включается для каждого 2545464 КБ.

Это может вызвать ошибки подключения или ошибок веб сервера, в зависимости от реакции на неверный заголовок сетевого Адаптера с веб-сервером.

Facebook LinkedIn Электронная почта
ПОДПИСКА НА RSS-КАНАЛЫ

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Обнаружение Сообщества

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

Преимущества подписки на Microsoft 365

Обучение работе с Microsoft 365

Microsoft Security

Центр специальных возможностей

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Вопросы сообществу Microsoft

Сообщество Microsoft Tech Community

Участники программы предварительной оценки Windows

Участники программы предварительной оценки Microsoft 365

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?
После нажатия кнопки "Отправить" ваш отзыв будет использован для улучшения продуктов и служб Майкрософт. Эти данные будут доступны для сбора ИТ-администратору. Заявление о конфиденциальности.

Спасибо за ваш отзыв!

×