Applies ToMicrosoft Forefront Threat Management Gateway 2010 Service Pack 2 Microsoft Forefront Threat Management Gateway 2010 Service Pack 2 Forefront Threat Management Gateway 2010 Enterprise Forefront Threat Management Gateway 2010 Standard

Symptom

Föreställ dig följande:

  • Du försöker komma åt en webbplats med SSL (Secure Sockets Layer) (SSL) via Microsoft Forefront Threat Management Gateway 2010.

  • Webbplatsen använder Server namn beteckning (SNI) för att avgöra vilka certifikat som ska fungera.

  • Threat Management Gateway HTTPS-kontroll är aktiverat.

  • Threat Management Gateway-server använder web chaining för att skicka utgående begäranden till en uppströms proxyserver.

  • HTTPSiDontUseOldClientProtocols -leverantör Parameteruppsättningen är aktiverad (per KB 2545464).

I det här fallet kan du inte använda webbplatsen.

Orsak

Det här problemet uppstår eftersom Threat Management Gateway bygger ett felaktigt SNI-huvud som orsakar connectivity-fel eller fel i webbservern.

Lösning

Lös problemet genom att installera den här snabbkorrigeringen på alla Threat Management Gateway matrismedlemmar. Den här snabbkorrigeringen är inte aktiverat som standard. När du har installerat den här snabbkorrigeringen måste du följa dessa instruktioner för att aktivera snabbkorrigeringen:

  1. Kopiera följande skript till en textredigerare som anteckningar och sedan spara den som UseOriginalHostNameInSslContex.vbs:

    '' Copyright (c) Microsoft Corporation. All rights reserved.' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS' HEREBY PERMITTED.''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"Const SE_VPS_VALUE = TRUESub SetValue()    ' Create the root object.    Dim root    ' The FPCLib.FPC root object    Set root = CreateObject("FPC.Root")    'Declare the other objects that are needed.    Dim array       ' An FPCArray object    Dim VendorSets    ' An FPCVendorParametersSets collection    Dim VendorSet    ' An FPCVendorParametersSet object    Set array = root.GetContainingArray    Set VendorSets = array.VendorParametersSets    On Error Resume Next    Set VendorSet = VendorSets.Item( SE_VPS_GUID )    If Err.Number <> 0 Then        Err.Clear        ' Add the item.        Set VendorSet = VendorSets.Add( SE_VPS_GUID )        CheckError        WScript.Echo "New VendorSet added... " & VendorSet.Name    Else        WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)    End If    if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then        Err.Clear        VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE        If Err.Number <> 0 Then            CheckError        Else            VendorSets.Save false, true            CheckError            If Err.Number = 0 Then                WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"            End If        End If    Else        WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"    End IfEnd SubSub CheckError()    If Err.Number <> 0 Then        WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description        Err.Clear    End IfEnd SubSetValue
  2. Kopiera skriptfilen till en matrismedlem Threat Management Gateway och dubbelklicka sedan på filen för att köra skriptet.

Gör så här om du vill återgå till standardinställningen:

  1. Leta upp följande rad i skriptet:

    Const SE_VPS_VALUE = true
  2. Ändra den här raden till följande:

    Const SE_VPS_VALUE = false
  3. Kör skriptet på en matrismedlemmar Threat Management Gateway.

Information om snabbkorrigeringen

En snabbkorrigering är tillgänglig från Microsoft Support. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd den här snabbkorrigeringen endast på datorer som har problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:

http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.

Förutsättningar

Du måste ha Service Pack 2 för Microsoft Forefront Threat Management Gateway 2010 installerat för att kunna installera den här snabbkorrigeringen.

Information om omstart

Du kan behöva starta om datorn när du har installerat den här samlade uppdateringen.

Information om ersättning

Det här snabbkorrigeringspaketet ersätter inte tidigare utgiven snabbkorrigering.

Den engelska versionen av den här snabbkorrigeringen har de filattribut (eller senare filattribut) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (UTC). När du visar filinformationen konverteras den till lokal tid. Använd fliken tidszon i datum och tid på Kontrollpanelen om du vill se skillnaden mellan UTC-tid och lokal tid.

Filnamn

Filversion

Storlek

Datum

Tid

Plattform

Authdflt.dll

7.0.9193.650

252,768

22-Apr-15

9:46

x64

Comphp.dll

7.0.9193.650

257,912

22-Apr-15

9:46

x64

Complp.dll

7.0.9193.650

108,032

22-Apr-15

9:46

x64

Cookieauthfilter.dll

7.0.9193.650

682,760

22-Apr-15

9:46

x64

Dailysum.exe

7.0.9193.650

186,288

22-Apr-15

9:46

x64

Diffserv.dll

7.0.9193.650

162,616

22-Apr-15

9:46

x64

Diffservadmin.dll

7.0.9193.650

310,400

22-Apr-15

9:46

x64

Empfilter.dll

7.0.9193.650

711,088

22-Apr-15

9:46

x64

Empscan.dll

7.0.9193.650

267,664

22-Apr-15

9:46

x64

Gwpafltr.dll

7.0.9193.650

191,456

22-Apr-15

9:46

x64

Httpadmin.dll

7.0.9193.650

242,944

22-Apr-15

9:46

x64

Httpfilter.dll

7.0.9193.650

251,208

22-Apr-15

9:46

x64

Isarepgen.exe

7.0.9193.650

79,704

22-Apr-15

9:46

x64

Ldapfilter.dll

7.0.9193.650

189,896

22-Apr-15

9:46

x64

Linktranslation.dll

7.0.9193.650

418,592

22-Apr-15

9:46

x64

Managedapi.dll

7.0.9193.650

80,752

22-Apr-15

9:46

x64

Microsoft.isa.reportingservices.dll

7.0.9193.650

876,328

22-Apr-15

9:46

x64

Microsoft.isa.rpc.managedrpcserver.dll

7.0.9193.650

172,440

22-Apr-15

9:46

x64

Microsoft.isa.rpc.rwsapi.dll

7.0.9193.650

136,920

22-Apr-15

9:46

x64

Mpclient.dll

7.0.9193.650

128,632

22-Apr-15

9:46

x64

Msfpc.dll

7.0.9193.650

1,079,304

22-Apr-15

9:46

x64

Msfpccom.dll

7.0.9193.650

13,446,024

22-Apr-15

9:46

x64

Msfpcmix.dll

7.0.9193.650

569,448

22-Apr-15

9:46

x64

Msfpcsec.dll

7.0.9193.650

386,656

22-Apr-15

9:46

x64

Msfpcsnp.dll

7.0.9193.650

17,112,848

22-Apr-15

9:46

x64

Mspadmin.exe

7.0.9193.650

1,121,552

22-Apr-15

9:46

x64

Mspapi.dll

7.0.9193.650

130,680

22-Apr-15

9:46

x64

Msphlpr.dll

7.0.9193.650

1,279,136

22-Apr-15

9:46

x64

Mspmon.dll

7.0.9193.650

150,232

22-Apr-15

9:46

x64

Mspsec.dll

7.0.9193.650

84,872

22-Apr-15

9:46

x64

Pcsqmconfig.com.xml

Ej tillämplig

137,103

13-Feb-12

20:24

Ej tillämplig

Preapi.dll

7.0.9193.650

21,536

22-Apr-15

9:46

x64

Radiusauth.dll

7.0.9193.650

138,408

22-Apr-15

9:46

x64

Ratlib.dll

7.0.9193.650

148,184

22-Apr-15

9:46

x64

Reportadapter.dll

7.0.9193.650

723,888

22-Apr-15

9:46

x86

Reportdatacollector.dll

7.0.9193.650

1,127,648

22-Apr-15

9:46

x86

Softblockfltr.dll

7.0.9193.650

143,552

22-Apr-15

9:46

x64

Updateagent.exe

7.0.9193.650

211,520

22-Apr-15

9:46

x64

W3filter.dll

7.0.9193.650

1,409,416

22-Apr-15

9:46

x64

W3papi.dll

7.0.9193.650

21,024

22-Apr-15

9:46

x64

W3pinet.dll

7.0.9193.650

35,432

22-Apr-15

9:46

x64

W3prefch.exe

7.0.9193.650

341,312

22-Apr-15

9:46

x64

Webobjectsfltr.dll

7.0.9193.650

170,320

22-Apr-15

9:46

x64

Weng.sys

7.0.9193.572

845,440

12-Dec-12

21:31

x64

Wengnotify.dll

7.0.9193.572

154,280

12-Dec-12

21:31

x64

Wploadbalancer.dll

7.0.9193.650

203,840

22-Apr-15

9:46

x64

Wspapi.dll

7.0.9193.650

49,840

22-Apr-15

9:46

x64

Wspperf.dll

7.0.9193.650

131,192

22-Apr-15

9:46

x64

Wspsrv.exe

7.0.9193.650

2,464,136

22-Apr-15

9:46

x64

Mer Information

SNI är en funktion som gör att en klient ska skicka en rubrik i SSL-klient "Hej" meddelandet som anger vilken fullständigt kvalificerade domännamn (FQDN) för SSL Transport Layer Security (TLS) används. Denna åtgärd kan en server att avgöra vilka certifikat skickas till klienten utifrån SNI-huvudet.När Threat Management Gateway SSL-kontroll är aktiverat Threat Management Gateway hanterar SSL-förhandling till webbservern mål och identifieras som klienten av webbservern SSL-förhandling.Threat Management Gateway skapar SNI-huvudet felaktigt med hjälp av namnet på den överordnade servern och inte målet webbservernamn om följande villkor är uppfyllda:

  • Threat Management Gateway är en nedströms proxyserver.

  • Threat Management Gateway kedjar utgående begäranden till en överordnad Threat Management Gateway-server.

  • HTTPSiDontUseOldClientProtocols -leverantör parameteruppsättningen aktiveras per KB 2545464.

Detta kan orsaka connectivity-fel eller fel i webbservern, beroende på hur webbservern reagerar felaktigt SNI-huvudet.

Behöver du mer hjälp?

Vill du ha fler alternativ?

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.