Beskrivning av uppdatering 2 för Unified Access Gateway 2010

Förutsättningar

Den här uppdateringen är kumulativ och kan användas för apparater, servrar eller virtuella datorer som kör följande versioner av UAG 2010:

• UAG 2010 (RTM)

• UAG 2010 uppdatering 1

• Snabbkorrigeringspaket för UAG 2010 uppdatering 1 Rollup 1

Mer information om UAG Update 1 klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

981323 beskrivning av Update 1 för Unified Access Gateway 2010Mer information om UAG uppdateringspaket 1 1 snabbkorrigeringspaket klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

981932 beskrivning av snabbkorrigeringspaket för Rollup 1 för Unified Access Gateway 2010 Update 1

Installationsinformation

Installationsordning när en UAG-server matris används

1. Installera uppdatering 2 på array manager först.

2. Starta om datorn.

3. Aktivera UAG konfiguration.

4. Vänta på att synkronisera konfigurationen.

5. Installera uppdatering 2 på den första icke-hanterare matrismedlem.

6. Starta om datorn.

7. Upprepa för alla återstående matrismedlemmar.

Obs! Avinstallation av uppdatering 2 bör genomföras i omvänd ordning om det behövs.

Krav på omstart

Du behöver inte starta om datorn när du har installerat det här uppdateringspaketet i icke-matris scenarier. Du måste aktivera UAG konfiguration när du installerar uppdateringspaketet. Observera att utföra aktiveringen UAG avslutas alla befintliga SSL program Tunneling anslutningar till UAG-server.

Omstart krävs i matrisen scenarier . Ovanstående matris installationssteg krävs för driftsättningen av uppdateringen när du använder en array, underlåtenhet att följa dessa steg kan orsaka skador på matrisen och förlust av konfigurationen.

Ersättningsinformation för Hotfix

Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.

Information om avinstallation

Använd någon av följande metoder om du vill avinstallera den här uppdateringen:

• Logga in som administratör av en inbyggd och avinstallera uppdateringen med hjälp av appleten för program och funktioner på Kontrollpanelen.

• Skriv följande kommando från en kommandotolk och tryck sedan på RETUR:
  

  msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

Filinformation

Den engelska versionen av den här snabbkorrigeringen har de filattribut (eller senare filattribut) som visas i följande tabell. Datum och tider för dessa filer anges i UTC-tid (UTC). När du visar filinformationen konverteras den till lokal tid. Använd fliken tidszon i datum och tid på Kontrollpanelen om du vill se skillnaden mellan UTC-tid och lokal tid.

Åtgärdade problem som ingår i uppdateringen

Den här uppdateringen åtgärdas följande problem som inte tidigare dokumenterats i Microsoft Knowledge Base.

Problem 1

Symptom

Administratörer behöver detaljerad åtkomstkontroll för klienterna Secure Socket Tunneling Protocol (SSTP) virtuella privata nätverk (VPN). Dock skapar konfigurera SSTP på UAG en enda åtkomstregel som ger VPN-klient tillgång till hela interna nätverket.

Enligt följande text från http://technet.microsoft.com/en-us/library/ee522953.aspx stöds om du vill använda konsolen Threat Management Gateway (TMG) för att skapa regler som möjliggör detaljerad åtkomstkontroll för SSTP VPN-åtkomst:

"Skapa åtkomstregler Forefront TMG Management-konsolen för att begränsa användare, grupper och nätverk för detaljerad åtkomst vid distribution av Forefront UAG för VPN-åtkomst för fjärranslutna nätverket."

Dock när administratörer skapa åtkomstregler för att begränsa användaråtkomst, är dessa regler tas bort eller flyttas längst ned i åtkomstprincipen efter aktivering av UAG. Detta innebär att Standardregeln har högre prioritet och konfigurerade översiktlig kontroll går förlorad.

Orsak

Detta problem beror på en begränsning i designen av integration mellan UAG och dynamiskt skapade reglerna som distribueras till TMG under UAG aktiveringen.

Lösning

Manuell ändring av TMG regler stöder detaljerad åtkomstkontroll som beskrivs på TechNet avskrivs (och stöds inte längre efter installation av uppdatering 2 UAG) av stöd för detaljerad åtkomstkontroll i UAG Management console.

UAG-administratörer kan nu uttryckligen Aktivera åtkomst till specifika interna nätverksadresser för SSTP VPN-användare som är medlemmar i en viss Active Directory-grupper. UAG administratörer bör använda fliken nya Användargrupper i dialogrutan SSL Tunneling nätverkskonfiguration för att definiera detaljerade IP VPN åtkomstprincip som består av en uppsättning åtkomstregler. Varje regel definierar en uppsättning interna nätverket IP-adresser och IP-adressintervall som tillhör en viss grupp i Active Directory kan komma åt när du är ansluten till SSTP VPN.

Problem 2


Symptom

Stöd för Microsoft virtuella skrivbordet infrastruktur (VDI) i UAG implementerat inte helt.

Orsak

Förhindra att VDI fungerar korrekt på grund av en vilseledande UAG UI, problematiska konfigurationer och en oförmåga att stödja flera tillstånd i olika resurser under implementeringen.

Lösning

Vi har gjort en designändring uppdatera UAG UI och support av VDI personligt skrivbord scenariot med en stabilare implementering. Pool Desktop-scenario för VDI implementerades inte och kan implementeras i en kommande uppdatering av UAG.

Problem 3


Symptom

UAG-klientkomponenten för SSL Tunneling program (Socket vidarebefordrare) stöds inte på 64-bitars version av Windows 7 och 64-bitars version av Windows Vista.

Orsak

Det här är utformade funktionssätt klientkomponenterna UAG innan UAG uppdatering 2.

Lösning

Vi har gjort en designändring löser följande scenario:

Det är bred av icke-webbprogram som använder UAG Socket vidarebefordrar / program tunnel som en metod för publicering. Exempelvis sådana program är Citrix XenApps och Presentation Server 4.5 och de båda kör som ActiveX-program i webbläsaren. Innan denna uppdatering på grund av tekniska begränsningar vi inte tillåta distribution av metoderna publishing på 64-bitars version av klientens operativsystem. Därför kan du nå samma publicerade program som använder metoderna från 32-bitars version av klientoperativsystem systemss i stället för från 64-bitars operativsystem.

Ändringar i det här scenariot är att tillhandahålla en metod för distribution för klienten Socket vidarebefordrar (SA) komponenter på 64-bitars version av Windows klientoperativsystem aktivera tunnel program öppnas. Begränsningar för den här implementeringen är följande:

• Stöd för Socket vidarebefordrare är begränsad till 64-bitars version av Windows Vista och 64-bitars version av Windows 7, annan 64-bitarsversion av operativsystem stöds inte.

• Socket vidarebefordrare stöds endast när användare ansluter till UAG från 32-bitarsversionen av Internet Explorer (som körs i WOW64 32 bitarsemulering).

• Socket vidarebefordrare kommer endast att interagera med 32-bitars program (WOW64-program) och kommer inte att interagera med ursprungliga 64-bitarsprogram.

Följande är distributionsalternativ för uppdaterade komponenter:

• Online: standardmetoden som utför distributionen av SF-komponenter. På första anrop av UAG portal program som använder SF som tunnlar publiceringsmetod komponenterna hämtas och installeras.

• Offline: Administratörer kan också distribuera det aktuella programmet för Windows Installer (MSI) på en klient med hjälp av skriptbaserade programvarudistribution eller manuell installation. Efter installation av uppdatering 2 UAG vara filerna tillgängliga på UAG-servern på följande plats:
  

  % UAG installation directory%\von\PortalHomePage\

Problemet 4


Symptom

Du kan inte komma åt Citrix XenApps 5.0 som publiceras med UAG från en klientdator som kör en 64-bitars version av Windows Vista eller fönster 7.

Orsak

Det här är utformade funktionssätt klientkomponenterna UAG innan UAG uppdatering 2.

Lösning

Finns i avsnittet "Lösning" problem 3 för detaljerad information.

Problemet 5


Symptom

När du försöker skapa eller redigera en slutpunktsprincip visas principen "McAfee Total Protection" två gånger i listan. Om du väljer andra "McAfee Total Protection"-principen, visas ett felmeddelande av följande slag:

Orsak

Det här problemet uppstår eftersom % UAG installationsfilen directory%\von\Conf\PolicyDefinitions.xml innehåller två poster som har samma namn och ID.

Lösning

Dubbel bokföring problemet är löst genom att ta bort den andra posten från filen PolicyDefinitions.xml.

Problemet 6

Symptom

När du ansluter till en resurs som publiceras av UAG får klienter felmeddelandet "ett okänt fel uppstod vid bearbetning av certifikatet" i webbläsaren. UAG-administratören kan se även i UAG server felsökningsloggar som SEC_I_CONTINUE_NEEDED returneras vid SSL-förhandling steg "Handshake bekräfta tillstånd." Efter steget debug loggar visar att sidan /InternalSite/InternalError.asp returneras till klienten tillsammans med felkod 37. Felkod 37 är felmeddelandet "ett okänt fel inträffade vid bearbetning av certifikatet."

Cause

Den befintliga mekanismen för SSL är inte korrekt handli flera scenarier när den utför SSL-handskakning med en backend-server som har publicerats via UAG. Direktuppspelade beskaffenhet SSL skapar ett komplicerat scenario med en möjlighet att ta emot antingen otillräckliga data eller läsa för mycket information under handskakningen. I det här fallet InitializeSecuritykontext rapporterar att du har klarat ytterligare data som måste sparas för att användas i framtiden (stödformen när du läser mer data över nätverket).

Resolution

Handshake algoritm utökas så att den stöder direktuppspelning ytterligare fall och scenarier.


Issue 7

Symptom

När du öppnar ett publicerat program HTTPS via UAG användaren får fel 37: "ett okänt fel inträffade vid bearbetning av certifikatet." En administratör som gör felsökningsloggning (som inkluderar SSLBOX_BASE trace) när användaren försöker använda programmet visas följande felmeddelande:

Cause

Backend-program-servern är konfigurerad för att begära certifikat klientuppgifter SSL-förhandling etapp. Innan den här uppdateringen stöds inte denna funktion. Därför förhandlingen misslyckades med ett fel.

Resolution

Det finns två möjliga situationer där frågar backend-servern för klientens certifikat referenser:

• Serverprogrammet servern begär ett klientcertifikat för att erhålla en certifikatkontext men kräver inte. För det här ärendet reserv implementerades tillåter UAG försöka tas förhandling när returkod för SEC_INCOMPLETE_CREDENTIALS emot. Vanligtvis backend-servern kräver inte klientcertifikatet och förhandlingen slutförts har.

• Backend-program kräver autentisering av klientcertifikat. Designändringar som implementerades inte tillåter klienten att tillhandahålla passerar klientcertifikat men förhindrar att ett enda giltigt klientcertifikat att levereras till backend-webbservern för alla användare.
  
  För det här ärendet bör administratören UAG ange ett giltigt klientcertifikat och installera det på UAG-server som ett datorcertifikat.

  1. Gör så här om du vill instruera modulen UAG SSLBox att hämta och få rätt certifikat:

     1. Kör kommandot MMC att öppna hanteringskonsolen.

     2. Klicka på filenoch klicka sedan på Lägg till/ta bort snapin-modul.

     3. Välj certifikat i listan och klicka sedan på Lägg till.

     4. Välj datorkonto och klicka sedan på Slutför.

     5. Öppna det personliga certifikatarkivet.

     6. Välj certifikatet för klientautentisering krävs i listan och dubbelklicka på certifikatet. Eller, högerklicka på certifikatet och klicka sedan på Öppna.

     7. Välj i informationsfönstret och rulla nedåt.

     8. Välj tumavtryck egenskap.

     9. Välj egenskapsvärdet i den panel länkarna nedan och kopiera värdet genom att trycka på CTRL + C.

     10. Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

         322756 hur du säkerhetskopierar och återställer registret i Windowsa. Starta Registereditorn (Regedt32.exe).
         
         b. Leta upp och klicka på följande nyckel i registret:
         
         

         HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
         c. Klicka på Lägg till värdepå Redigera -menyn och Lägg sedan till följande registervärde:

         Namn: ClientCertHash
         Datatyp: sträng
         Värde: {kopiera texten i steg 9} [exempel: a7 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e Anl 8b]
         d. Avsluta Registereditorn.
         e. Kör IISReset som administratör för att starta om IIS.
         f. Aktivera UAG konfiguration.

Problem 8

Symptom

I sällsynta fall meddelande klientdatorer som har UAG Client Components på dem ett "uagqecsvc" händelse-ID 85 loggen skrivs till Windows händelseloggar i minuten när klienten kommunicerar med en UAG-Server. Även om detta ett falskt larm, fylls detta händelseloggarna klient, vilket gör det svårt för administratörer eller helpdesk från upptäcka verkliga händelser i händelseloggar för klientens Windows. Dessa meddelanden ska alltid visas på klienten i minuten om klienten ansluter till en server för IAG.

Det kan också finnas en annan relaterad händelse i händelseloggarna för klienten.

Även om problemet inte är direkt knutet till UAG eller UAG distributioner, är det möjligt att användare som har UAG client-komponenter installerade på dem med vissa distributioner kommer åt IAG- och UAG-servrar.

Cause

Klientkomponenter för UAG har en komponent service "uagqecsvc" med ett namn av "Microsoft Forefront UAG Quarantine Enforcement-klienten" hälsostatus vilka frågor slutpunkten med hjälp av NAP och rapporterar status till modulen NAP på UAG. I sällsynta fall kan problemet ses i UAG-distributioner som tjänsten igen försöker upprepade gånger att binda till UAG-server. Bindningen kan köras i loopen med en minut timeout tills den kan anslutas.

Dessutom börjar med IAG Service Pack 2 uppdatering 3, var klientkomponenterna UAG portas till IAG. Därför installeras uagqecsvc tjänsten också på klientdatorer som ansluter till alla IAG server med Service Pack 2 uppdatering 3 klientkomponenterna. Eftersom NAP-slutpunkt identifiering funktionalitet inte finns i IAG, klienten som UAG komponenter har installerats på dem kommer att fortsätta att försöka ansluta till tjänsten NAP-UAG varje minut i processen genererar tidigare nämnda loggen postmeddelanden i händelseloggarna för Windows.

Resolution

I tidigare versioner av klientkomponenterna standardtidsgränsen för försök att kommunicera med NAP-UAG identifiering agent har angetts till en minut, har den ändrats i UAG uppdatering 2 till en timme. För administratörer som vill ändra detta värde ges ett sätt att definiera timeout-värdet manuellt på klienten.

Viktigt Avsnittet, metoden eller aktiviteten innehåller instruktioner om hur du ändrar registret. Allvarliga problem kan dock uppstå om du ändrar registret felaktigt. Se därför till att du följer instruktionerna noga. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. För mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

322756 hur du säkerhetskopierar och återställer registret i WindowsAnvändare eller administratörer kan definiera manuellt på varje klientdator timeout i millisekunder. Gör så här:

1. Starta Registereditorn (Regedt32.exe).

2. Leta upp och klicka på följande nyckel i registret:
   

   HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC

3. Klicka på Lägg till värdepå Redigera -menyn och lägg sedan till följande registervärde:

   Namn: InitRetryTimeout
   Datatyp: REG_DWORD
   Bas: Decimal
   Värde: (tid i millisekunder 360000 är standard men det här värdet måste vara
   Ange större sedan 6000)

4. Avsluta Registereditorn.

5. Starta om datorn.

Problemet 9
Symptom

UAG som är installerade på en server som kör en lokaliserad APAC språkversion av Windows 2008 R2 har du (administratören UAG). När du försöker skapa en bål på UAG ett felmeddelande och skapande av bål stoppas.

Till exempel tomma fönster, oväntade felmeddelanden eller frekventa MMC uppstå kraschar när du försöker skapa en bål på UAG.

Orsak

Det här problemet uppstår på grund av felaktiga ändringar av datorns resurser. Direktutlevns felaktigt leda till fel när du kör UAG på vissa icke-Western språkversioner av operativsystem (kinesiska-koreanska/japanska).

Lösning

Den kod som är ansvarig för att komma åt dessa systemresurser är fast.

Problemet 10


Symptom

Slutpunkt Session rensning komponent startar inte att köra efter en omstart av en slutpunkt. Dessutom öppnas ett explorer-fönster som pekar på komponentmappen för klienten efter en omstart.

Orsak

Innan en omstart skriver slutpunkt Session rensning komponent ett registervärde under nyckeln "Kör". Det här registervärdet gör att Windows kan starta slutpunkt Session rensning komponenten automatiskt efter en omstart. Den här sökvägen värdet för registernyckeln är dock en sökväg för körbara filer som innehåller blanksteg. Därför uppstår ett fel.

Lösning

Sökvägens värde som pekar på den körbara filen bifogad vindrutetorkare som skrivits under nyckeln "Kör" skrivs nu som en sträng med citattecken så att eventuella fel.

Problemet 11


Symptom

När du försöker komma åt språk och ange alternativ i Exchange Server 2007 Web Application OWA (Outlook) som publiceras via UAG skickas följande felmeddelande till klienten.

Orsak

Det här problemet uppstår eftersom utanför rutan mall för OWA för Exchange Server 2007 inte har en regeluppsättning post för URL"/owa/languageselection.aspx". Mekanismen för UAG regeluppsättning tillåter inte åtkomst till alla URL-adress som inte finns i listan vitt.

Lösning

En ny regel läggs till för Exchange 2007 OWA publicera om du vill tillåta åtkomst till URL-resurs. I det här fallet kan den nya regeln "ExchangePub2007_Rule36" åtkomst till URL-Adressen "/owa/languageselection.aspx".

Problemet 12


Symptom

När en användare försöker komma åt en webbplats UAG eller försöker komma åt ett bokmärke sökvägen i programmet i stället för sökvägen UAG inloggning användaren tar emot en 500 Internt serverfel och går inte att komma åt webbplatsen.

Obs! UAG webbplats använder AD FS för autentisering och begär ett publicerat program direkt.

Orsak

När UAG är konfigurerad för att använda AD FS för autentisering sker flera omdirigeringar mellan Security Token Service (STS) och UAG interna webbplats. Om redirectes inte görs på förväntat sätt, returnerar UAG fel. När en användare försöker få direkt åtkomst till en resurs som är publicerade i stället för portalwebbplatsen, är ombokning processen bruten. Internt serverfel uppstår därför.

Lösning

Problemet är åtgärdat i den här uppdateringen.

Problemet 13

Symptom

När en administratör konfigurerar en databas för/isolation typ autentisering, kan administratören ange grupp kapslade värdet till "obegränsad". Enligt specifikation i UAG vara värdet i gruppfältet kapslade tomt. Men när fältet är tomt och konfigurationen sparas och aktiveras, ändras värdet till "0" oväntat.

Obs! UAG MMC måste stängas och öppnas igen för att få värdet "0" visas. Som UAG specifikation betyder "0" att inga inkapsling av grupper. Gruppkapsling fungerar därför inte som förväntat.

Orsak

Det här problemet uppstår eftersom det korrekta värdet för gruppfältet kapslade inte kan lagras i konfigurationen. Det korrekta värdet kan därför inte tillämpas på både det grafiska Användargränssnittet och funktioner för autentisering.

Lösning

Värdet i konfigurationen nu korrekt lagras och uppdateras när värdet för kapslade gruppen tas bort från GUI dessutom, värdet tillämpas korrekt autentisering funktioner.

Obs! Microsoft rekommenderar att värdet är det lägsta talet som krävs för godkännande i UAG. Du kan ange värdet till högre än 2 nivåer på grund av möjlig fördröjning och resurserna som krävs. Om det är högre än 2 nivåer krävs för distribution måste du testa effekten av ändringarna innan systemet distribueras i produktionen. I extrema fall kan kan dessa inställningar orsaka både UAG-server och någon domänkontrollant som används för autentisering av UAG kraschar på grund av hög resurs krav.

Problemet 14


Symptom

När du försöker stänga fönstret Network connector (NC) server konfigurationen när du har aktiverat NC-server kan det hända att följande felmeddelande visas:

Orsak

Tjänsten SSL nätverk tunnlar kan användas bara när de fysiska nätverkskort har MAC-adresser som börjar med "00".

Lösning

Tjänsten SSL nätverk tunnlar kan användas även om fysiska nätverkskort har MAC-adresser som börjar med "00".

Problemet 15


Symptom

UAG gavs ut med endast delvis stöd för Citrix XenApp 5.

När du vill publicera Citrix utan fel var de skyldig att följa instruktionerna i följande Microsoft-webbplats:

Introduktion till hur du publicerar Citrix XenApp 5.x med UAG 2010
Orsak

Det här problemet uppstår eftersom stöd för Citrix bryts.

Lösning

Åtgärderna som beskrivs ovan ska publicera Citrix XenApp 5.0 ingår nu i den här uppdateringen.

Nummer 16


Symptom

AV produkten "Trend Micro OfficeScan Anti Virus" eller "Trend Micro PC-Cillin anti-virus" väljs från det grafiska Användargränssnittet. I det här fallet när du skapar en princip och tillämpa principen till ett program visas följande felmeddelande under aktiveringen:

Orsak

Det här problemet uppstår eftersom principen syntax Verifierings algoritmen missar beroenden som krävs av dessa särskilda principer.

Lösning

De beroenden som krävs av dessa principer läggs till valideringsalgoritmen för principen syntax när du har installerat den här uppdateringen.

Kända problem med matriser och Utjämning av nätverksbelastning (NLB)

• När du försöker ansluta två servrar till samma matris samtidigt kan matris lagring vara skadad. Om detta händer kan du återställa inställningarna från en säkerhetskopia.

• När du tar bort en IPv6-virtuell IP-adress (VIP) i hanteringskonsolen för Forefront UAG kan adressen inte tas bort fullständigt. Undvik problemet genom att manuellt ta bort adressen från nätverkskortet i Nätverks- och delningscenter och i hanteringskonsolen för Forefront UAG.

• Forefront UAG inte identifieras som en matrismedlem som använder integrerad NLB förlorar nätverksanslutningen (till exempel en Internet-leverantör-systemfel). I det här fallet får Forefront UAG fortsätta att vidarebefordra trafik till servern är inte tillgänglig. Undvik det här problemet genom att inaktivera interna och externa nätverkskort på offline matrismedlemmar. Aktivera kort igen efter anslutningsproblem löses.

• Om du har Microsoft System Center Operations Manager 2007 distribueras i organisationen kan övervaka du statusen för nätverkskort för array-medlem. Gör så här:
  

  • Kontrollera att operativsystemet Windows Server och Windows Server 2008 NLB hanteringspaket installeras på varje matrismedlem.

  • Använda Operations Manager 2007 för att identifiera frånkopplat nätverkskort på matrismedlemmar.
    Obs! Operations Manager 2007 rapporterar problem på följande sätt:
    

    • Om det finns ett problem med nätverkskortet som är anslutet till det interna nätverket, rapporterar Operations Manager 2007 att inga pulsslag påträffas.

    • Om det finns ett problem med nätverkskortet som är anslutet till det externa nätverket, rapporterar ett problem med Windows NLB Operations Manager 2007.

• När du skapar en omdirigering bål för en HTTPS-trunkport i en matris som inte har belastningsutjämning aktiverat, måste du manuellt tilldela IP-adresser för omdirigering för varje matrismedlem. Åtgärden beskrivs i följande artikel:
  

  Introduktion till hur du installerar uppdatering 1 på en matris med hjälp av NLB