คำอธิบายของการปรับปรุงที่ 2 สำหรับเกตเวย์ประกอบการ Access 2010

ข้อกำหนดเบื้องต้น

โปรแกรมปรับปรุงนี้จะสะสม และสามารถใช้กับอุปกรณ์ เซิร์ฟเวอร์ หรือเครื่องเสมือนที่กำลังเรียกใช้ UAG 2010 รุ่นต่อไปนี้:

• 2010 UAG (RTM )

• การปรับปรุง 2010 UAG 1

• แพคเกจโปรแกรมแก้ไขด่วน Rollup 1 การปรับปรุง 2010 UAG 1

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ UAG Update 1 คลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

981323คำอธิบายของการปรับปรุง 1 สำหรับเกตเวย์ประกอบการ Access 2010สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแพคเกจโปรแกรมแก้ไขด่วน UAG 1 Update Rollup 1 คลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

981932คำอธิบายของแพคเกจโปรแกรมแก้ไขด่วน Rollup 1 สำหรับรวมเข้าเกตเวย์ 2010 Update 1

หมายเหตุการติดตั้ง

ลำดับของการติดตั้งเมื่อใช้กับอาร์เรย์เซิร์ฟเวอร์ UAG

1. ติดตั้งปรับปรุง 2 บนตัวจัดการอาร์เรย์แรก

2. เริ่มระบบคอมพิวเตอร์ใหม่

3. เรียกใช้การตั้งค่าคอนฟิก UAG

4. รอจนกว่าการตั้งค่าคอนฟิกการซิงโครไนส์

5. ติดตั้งการปรับปรุง 2 บนสมาชิกของอาร์เรย์ที่ไม่ใช่ผู้จัดการแรก

6. เริ่มระบบคอมพิวเตอร์ใหม่

7. ทำซ้ำสำหรับสมาชิกของอาร์เรย์ที่เหลือทั้งหมด

หมายเหตุ ถ้าจำเป็น ถอนการติดตั้งโปรแกรมปรับปรุง 2 ควรจะดำเนินการในลำดับย้อนกลับ

ข้อกำหนดการรีสตาร์ท

ในสถานการณ์ที่ไม่ใช่อาร์เรย์คุณไม่จำเป็นต้องรีสตาร์ทเครื่องคอมพิวเตอร์หลังจากที่คุณนำแพคเกจโปรแกรมปรับปรุงนี้ คุณต้องเปิดใช้งานการตั้งค่าคอนฟิก UAG หลังจากที่คุณติดตั้งแพคเกจโปรแกรมปรับปรุง โปรดสังเกตว่า การดำเนินการเปิดใช้งาน UAG จะจบการทำงานใด ๆ ที่มีอยู่ Tunneling แอพลิเคชันของ SSL เชื่อมต่อไปยังเซิร์ฟเวอร์ UAG

ในสถานการณ์สมมติอาร์เรย์เริ่มการทำงานที่ถูกต้อง อาร์เรย์ติดตั้งขั้นตอนข้างต้นจำเป็นสำหรับการปรับใช้การปรับปรุงเสร็จเรียบร้อยแล้วเมื่อใช้อาร์เรย์ ความล้มเหลวให้ทำตามขั้นตอนเหล่านี้อาจทำให้เกิดความเสียหายของอาร์เรย์และการสูญหายของการกำหนดค่า

ข้อมูลการแทนที่โปรแกรมแก้ไขด่วน

โปรแกรมแก้ไขด่วนนี้ไม่ได้ใช้แทนโปรแกรมแก้ไขด่วนที่มีการนำออกใช้ก่อนหน้านี้

ข้อมูลการถอนการติดตั้ง

เมื่อต้องการถอนการติดตั้งโปรแกรมปรับปรุงนี้ ใช้หนึ่งในวิธีต่อไปนี้:

• เข้าสู่ระบบในฐานะผู้ดูแลระบบภายใน และถอนการติดตั้งการปรับปรุง โดยการใช้แอปเพล็ตโปรแกรมและคุณลักษณะ'ใน'แผงควบคุม'

• จากพร้อมท์คำสั่ง พิมพ์คำสั่งต่อไปนี้ และจากนั้น กด ENTER:
  

  msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

ข้อมูลแฟ้ม

เวอร์ชันภาษาอังกฤษของโปรแกรมแก้ไขด่วนนี้มีแอตทริบิวต์ของแฟ้ม (หรือแอตทริบิวต์ของแฟ้มที่ใหม่กว่านี้) ซึ่งแสดงรายการไว้ในตารางต่อไปนี้ วันที่และเวลาสำหรับแฟ้มเหล่านี้จะแสดงรายการไว้ในรูปแบบเวลามาตรฐานสากล (UTC) เมื่อคุณดูข้อมูลแฟ้ม ระบบจะแปลงข้อมูลนี้เป็นเวลาท้องถิ่น เมื่อต้องการค้นหาความแตกต่างระหว่างเวลา UTC กับเวลาท้องถิ่น ใช้แท็บโซนเวลาในรายการวันและเวลา'ใน'แผงควบคุม'

ปัญหาถาวรที่รวมอยู่ในการปรับปรุงนี้

โปรแกรมปรับปรุงนี้ช่วยแก้ไขปัญหาต่อไปนี้ที่ถูกไม่ก่อนหน้านี้ในบทความฐานความรู้ของ Microsoft

ปัญหาที่ 1

อาการ

ผู้ดูแลระบบต้องการควบคุมการเข้าถึง granular สำหรับไคลเอนต์เครือข่ายส่วนตัวเสมือน (VPN) การรักษาความปลอดภัยซ็อกเก็ต Tunneling โพรโทคอล (SSTP) อย่างไรก็ตาม การกำหนดค่า SSTP ใน UAG สร้างกฎเดียวในการเข้าถึงที่ให้การเข้าถึงไคลเอนต์ VPN ไปยังเครือข่ายภายในทั้งหมด

ตามข้อความต่อไปนี้จาก http://technet.microsoft.com/en-us/library/ee522953.aspx จะได้รับการสนับสนุนการใช้คอนโซลการคุกคามจัดการเกตเวย์ (TMG) เมื่อต้องการสร้างกฎที่เปิดใช้งานการควบคุมการเข้าถึง granular สำหรับ SSTP VPN Access:

"การสร้างกฎการเข้าถึงโดยใช้คอนโซลการจัดการ TMG Forefront เพื่อวัตถุประสงค์ในการจำกัดผู้ใช้ กลุ่ม และเครือข่ายสำหรับการเข้าถึง granular เมื่อปรับใช้ Forefront UAG สำหรับการเข้าถึงเครือข่ายระยะไกล VPN"

อย่างไรก็ตาม เมื่อผู้ดูแลระบบสร้างกฎการเข้าถึงเพื่อจำกัดการเข้าถึงของผู้ใช้ กฎเหล่านี้ถูกเอาออก หรือย้ายไปด้านล่างของนโยบายการเข้าถึงหลังจากเปิดใช้งาน UAG ซึ่งหมายความ ว่า กฎเริ่มต้นจะมีความสำคัญ และควบคุม granular จัดโครงแบบจะสูญหาย

สาเหตุ

ปัญหานี้มีสาเหตุมาจากข้อจำกัดในการออกแบบของการรวมระหว่าง UAG และกฎสร้างขึ้นแบบไดนามิกที่ปรับใช้กับ TMG ในระหว่างการเปิดใช้งาน UAG

การแก้ปัญหา

ปรับเปลี่ยนกฎ TMG เพื่อสนับสนุนการควบคุมการเข้าถึง granular ตามที่อธิบายไว้ใน TechNet ด้วยตนเองถูกคิดค่าเสื่อมราคา (และไม่ได้รับการสนับสนุนหลังการติดตั้ง 2 การปรับปรุง UAG) คุณสามารถควบคุมวิธีการสนับสนุนของการควบคุมการเข้าถึง granular ในคอนโซลการจัดการ UAG ชัดเจนขึ้น

ผู้ดูแล UAG สามารถเดี๋ยวนี้อย่างชัดเจนช่วยให้การเข้าถึงที่อยู่เครือข่ายภายในเฉพาะกับผู้ใช้ SSTP VPN ที่เป็นสมาชิกของกลุ่ม Active Directory เฉพาะ ผู้ดูแล UAG ควรใช้แท็บกลุ่มผู้ใช้ใหม่ในกล่องโต้ตอบเครือข่าย Tunneling การกำหนดค่า SSL เพื่อกำหนดนโยบายการเข้าถึง IP VPN granular ซึ่งประกอบด้วยชุดของกฎการเข้าถึง กฎทุกกำหนดชุดของที่อยู่ IP ของเครือข่ายภายในและช่วงที่อยู่ IP ที่สมาชิกของกลุ่ม Active Directory หนึ่ง ๆ สามารถเข้าถึงได้ในขณะที่เชื่อมต่อกับ SSTP VPN

ปัญหาที่ 2


อาการ

ฝ่ายสนับสนุนของ Microsoft เสมือนเดสก์ท็อปโครงสร้างพื้นฐาน (VDI) ใน UAG ไม่เต็มจำนวนได้ดำเนินการ

สาเหตุ

เนื่องจากการ UI UAG คลาดเคลื่อน การตั้งค่าคอนฟิกตัวที่มีปัญหา และยังไม่สามารถสนับสนุนการตรวจสอบแบบหลายในทรัพยากรที่แตกต่างกันระหว่างการนำไปใช้ป้องกัน VDI จากการทำงานได้อย่างถูกต้อง

การแก้ปัญหา

เราได้ทำการออกแบบได้เปลี่ยนเป็นการปรับปรุง UAG UI และสนับสนุนสถานการณ์สมมติเดสก์ท็อปส่วนบุคคลของ VDI ด้วยการดำเนินการที่แข็งแกร่งยิ่งขึ้น สถานการณ์ทางพูเดสก์ท็อปของ VDI ไม่นำมาใช้ และอาจถูกนำมาใช้ในการปรับปรุงในอนาคตของ UAG

ปัญหาที่ 3


อาการ

คอมโพเนนต์ไคลเอ็นต์ UAG สำหรับ SSL Tunneling แอพลิเคชัน (ตัวส่งต่อซ็อกเก็ต) ไม่ได้รับการสนับสนุนบนเวอร์ชัน 64 บิตของ Windows 7 และ Windows Vista รุ่น 64 บิต

สาเหตุ

นี่คือลักษณะการทำงานออกแบบของคอมโพเนนต์ของไคลเอ็นต์ UAG ก่อนรุ่น UAG 2 การปรับปรุง

การแก้ปัญหา

เราได้ทำการออกแบบที่เปลี่ยนแปลงเพื่อแก้ไขสถานการณ์สมมติต่อไปนี้:

มีการตั้งค่าของโปรแกรมประยุกต์ที่ไม่ใช่เว็บที่ใช้ส่งต่อซ็อกเก็ต UAG กว้าง / แอพลิเคชัน Tunneling เป็นวิธีการเผยแพร่ ตัวอย่างเช่น โปรแกรมประยุกต์ดังกล่าว Citrix XenApps และ 4.5 เซิร์ฟเวอร์งานนำเสนอ และทั้งสองรันเป็นโปรแกรมประยุกต์ ActiveX ในเบราว์เซอร์ ก่อนการปรับปรุงนี้ เนื่องจาก มีข้อจำกัดทางเทคนิค เราไม่อนุญาตให้มีการปรับใช้วิธีการเหล่านั้นประกาศบนเวอร์ชัน 64 บิตของระบบปฏิบัติการไคลเอ็นต์ ดังนั้น โปรแกรมประยุกต์เผยแพร่เดียวกันที่ใช้วิธีการดังกล่าวอาจสามารถเข้าถึงจากไคลเอ็นต์การดำเนินการ systemss แทนจากระบบปฏิบัติการ 64 บิตรุ่น 32 บิต

การเปลี่ยนแปลงที่ทำไว้สำหรับสถานการณ์สมมตินี้จะแสดงวิธีการปรับใช้สำหรับส่งต่อซ็อกเก็ต (ค) ไคลเอ็นต์คอมโพเนนต์บนเวอร์ชัน 64 บิตของระบบปฏิบัติการไคลเอ็นต์ของ Windows เมื่อต้องการเปิดใช้งานการเปิดแอพลิเคชัน tunneled ข้อจำกัดของการใช้งานนี้จะเป็นดังนี้:

• การสนับสนุนสำหรับตัวส่งต่อซ็อกเก็ตฟิลด์ฟิลด์บน Windows Vista รุ่น 64 บิตและรุ่น 64 บิตของ Windows 7 ระบบปฏิบัติการรุ่น 64 บิตอื่น ๆ ไม่ได้รับการสนับสนุน

• ตัวส่งต่อซ็อกเก็ตเท่านั้นได้รับการสนับสนุนเมื่อผู้ใช้เข้าถึง UAG จาก Internet Explorer (ทำงานใน WOW64 32 บิตจำลอง) รุ่น 32 บิต

• ตัวส่งต่อซ็อกเก็ตจะโต้ตอบกับโปรแกรมประยุกต์ 32 บิต (WOW64 แอพลิเคชัน) ได้เท่านั้น และจะไม่มีการโต้ตอบกับโปรแกรมประยุกต์ 64 บิตดั้งเดิม

ต่อไปนี้จะมีตัวเลือกการปรับใช้สำหรับคอมโพเนนต์ที่ปรับปรุงแล้ว:

• ออนไลน์: วิธีการมาตรฐานที่ทำการปรับใช้คอมโพเนนต์ค ในการเรียกของแอพพลิเคชันใด ๆ พอร์ทัล UAG ที่ใช้คเป็นวิธีการเผยแพร่ tunneling แรก คอมโพเนนต์จะดาวน์โหลด และติดตั้ง

• ออฟไลน์: ผู้ดูแลระบบนอกจากนี้การปรับใช้แอพพลิเคชันที่เหมาะสมของ Windows Installer (MSI) บนไคลเอนต์ โดยใช้การกระจายซอฟต์แวร์สคริปต์ หรือ โดยการติดตั้งด้วยตนเองได้ หลังจากการติดตั้ง UAG 2 การปรับปรุง แฟ้มต่าง ๆ จะพร้อมใช้งานบนเซิร์ฟเวอร์ UAG ในตำแหน่งที่ตั้งต่อไปนี้:
  

  Directory%\von\PortalHomePage\ ติดตั้ง UAG %

ปัญหาที่ 4


อาการ

คุณไม่สามารถเข้าถึง Citrix XenApps 5.0 ที่มีการเผยแพร่ ด้วย UAG จากไคลเอ็นต์คอมพิวเตอร์ที่กำลังเรียกใช้รุ่น 64 บิตของ Windows Vista หรือหน้าต่าง 7

สาเหตุ

นี่คือลักษณะการทำงานออกแบบของคอมโพเนนต์ของไคลเอ็นต์ UAG ก่อนรุ่น UAG 2 การปรับปรุง

การแก้ปัญหา

ดูที่ส่วน "การแก้ไข" ของการตัดสินค้าจากคลัง 3 สำหรับรายละเอียด

ปัญหาที่ 5


อาการ

เมื่อคุณพยายามสร้าง หรือแก้ไขนโยบายปลายทาง นโยบาย "การป้องกันทั้งหมดของ McAfee" ปรากฏขึ้นสองครั้งในรายการ ถ้าคุณเลือกนโยบาย "การป้องกันทั้งหมดของ McAfee" ที่สอง คุณได้รับข้อความแสดงข้อผิดพลาดที่คล้ายกับต่อไปนี้:

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากแฟ้ม directory%\von\Conf\PolicyDefinitions.xml สำหรับการติดตั้ง UAG %ที่ประกอบด้วยรายการสองรายการที่มีชื่อเรื่องเดียวกันและรหัส

ความละเอียด

ในหลักบัญชีคู่หมายปัญหา โดยการเอาเรกคอร์ดที่สองจากแฟ้ม PolicyDefinitions.xml

การตัดสินค้าจากคลัง 6

Symptom

เมื่อคุณเข้าถึงทรัพยากรที่มีการเผยแพร่ โดย UAG ไคลเอนต์ได้รับข้อผิดพลาด "เกิดข้อผิดพลาดที่ไม่รู้จักขณะกำลังประมวลผลใบรับรอง" ในเบราว์เซอร์ นอกจากนี้ ผู้ดูแลระบบ UAG อาจเห็นในบันทึกดีบักของเซิร์ฟเวอร์ UAG ที่SEC_I_CONTINUE_NEEDEDจะถูกส่งกลับในระหว่างขั้นตอนการเจรจา SSL "สถานะยืนยัน Handshake" ตามขั้นตอนที่จะให้แสดงว่า เพ/InternalSite/InternalError.aspจะถูกส่งกลับไปยังไคลเอนต์พร้อมกับข้อผิดพลาดในแฟ้มบันทึกการดีบักรหัส 37 รหัสข้อผิดพลาด 37 เป็นข้อความข้อผิดพลาด "ข้อผิดพลาดที่ไม่รู้จักเกิดขึ้นขณะกำลังประมวลผลใบรับรอง"

Cause

กลไก SSL ที่มีอยู่ไม่ได้อย่างไม่ถูกต้อง handli สถานการณ์มากมายเมื่อโปรแกรมทำการ SSL handshake กับเซิร์ฟเวอร์ส่วนหลังเผยแพร่ผ่าน UAG ลักษณะแบบกระแสข้อมูลของ SSL สร้างเป็นสถานการณ์ที่ซับซ้อน ด้วยด้วยการรับข้อมูลไม่เพียงพอ หรืออ่านข้อมูลมากเกินไปในระหว่าง handshake ในสถานการณ์นี้InitializeSecurityบริบทรายงานว่า คุณส่งผ่านข้อมูลเพิ่มเติมที่ต้องบันทึกสำหรับใช้ในอนาคต (สันนิษฐานว่าหลังจากคุณอ่านข้อมูลเพิ่มเติมผ่านสาย)

Resolution

อัลกอริทึม handshake ถูกขยายเพื่อสนับสนุนกรณีการส่งกระแสข้อมูลเพิ่มเติมและสถานการณ์สมมติ


Issue 7

Symptom

เมื่อคุณเข้าถึงโปรแกรมประยุกต์ HTTPS ที่เผยแพร่ผ่าน UAG ผู้ใช้ได้รับข้อผิดพลาด 37: "ข้อผิดพลาดที่ไม่รู้จักเกิดขึ้นขณะกำลังประมวลผลใบรับรอง" ผู้ดูแลที่จะทำการบันทึกข้อมูลการตรวจแก้จุดบกพร่อง (ที่มีการสืบค้นกลับ SSLBOX_BASE) ในขณะที่ผู้ใช้กำลังเข้าถึง แอพลิเคชันจะเห็นข้อความแสดงข้อผิดพลาดต่อไปนี้:

Cause

มีการกำหนดค่าเซิร์ฟเวอร์แอพลิเคชันไว้ต้องขอข้อมูลประจำตัวของใบรับรองไคลเอ็นต์ในระหว่างระยะการเจรจา SSL ก่อนการปรับปรุงนี้ มีการสนับสนุนฟังก์ชันดังกล่าว ดังนั้น การเจรจาล้มเหลว ด้วยข้อผิดพลาด

Resolution

มีสองสถานการณ์ที่เป็นไปได้ที่เซิร์ฟเวอร์ back-end กำลังขอข้อมูลประจำตัวของใบรับรองไคลเอ็นต์:

• เซิร์ฟเวอร์โปรแกรมประยุกต์ส่วนหลังกำลังร้องขอใบรับรองไคลเอ็นต์เพื่อขอรับแบบบริบทของใบรับรอง แต่ไม่จำเป็นต้องมีก็ การเจรจาหลังจากรหัสส่งคืนSEC_INCOMPLETE_CREDENTIALSจะได้รับสำหรับกรณีนี้การย้อนกลับถูกนำมาใช้ให้ UAG เพื่อลองอีกครั้ง โดยปกติแล้วเซิร์ฟเวอร์ back-end ไม่จำเป็นต้องมีใบรับรองไคลเอ็นต์ และเจรจานี้เสร็จสมบูรณ์เรียบร้อยแล้ว

• โปรแกรมประยุกต์ส่วนหลังจำเป็นต้องมีการรับรองความถูกต้องใบรับรองของไคลเอ็นต์ การเปลี่ยนแปลงการออกแบบที่มีการใช้งานไม่อนุญาตสำหรับไคลเอ็นต์เพื่อใส่พาส-ทรูใบรับรองไคลเอ็นต์แต่ไม่อนุญาตให้มีใบรับรองไคลเอนต์เดียวที่ถูกต้องเพื่อให้สามารถระบุให้ไว้เว็บเซิร์ฟเวอร์สำหรับผู้ใช้ทั้งหมด
  
  สำหรับกรณีนี้ ผู้ดูแลระบบ UAG ควรใบรับรองไคลเอ็นต์ที่ถูกต้องในการจัดหา และติดตั้งบนเซิร์ฟเวอร์ UAG เป็นใบรับรองเครื่อง

  1. เมื่อต้องการแนะนำโมดู UAG SSLBox เพื่อดึงข้อมูล และขอรับใบรับรองถูกต้อง ให้ทำตามขั้นตอนเหล่านี้:

     1. เรียกใช้คำสั่ง MMC เพื่อเปิดคอนโซลการจัดการ

     2. คลิกแฟ้มแล้ว คลิ กเพิ่ม/เอาสแน็ปอินออก

     3. เลือกใบรับรองจากรายการ และจากนั้น คลิกเพิ่ม

     4. เลือกบัญชีคอมพิวเตอร์ และจากนั้น คลิกเสร็จสิ้น

     5. เปิดเก็บใบรับรองส่วนบุคคล

     6. เลือกใบรับรองการรับรองความถูกต้องไคลเอ็นต์ที่ต้องการจากรายการ และคลิกสองครั้งที่ใบรับรอง หรือ คลิกขวาที่ใบรับรอง และคลิกเปิด

     7. เลือกบานหน้าต่างรายละเอียดและเลื่อนลง

     8. เลือกคุณสมบัติรหัสประจำตัว

     9. เลือกค่าคุณสมบัติในแบบ bellow แผง และคัดลอกค่าของ โดยการกด CTRL + C

     10. สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

         322756วิธีการสำรอง และคืนค่ารีจิสทรีใน Windowsa. เริ่มตัวแก้ไขรีจิสทรี (Regedt32.exe)
         
         b. ค้นหา และคลิกที่คีย์ต่อไปนี้ในรีจิสทรี:
         
         

         HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
         c. บนเมนูแก้ไขคลิกเพิ่มค่าแล้ว เพิ่มค่ารีจิสทรีต่อไปนี้:

         ชื่อค่า: ClientCertHash
         ชนิดข้อมูล:สายอักขระ
         ค่า: {ข้อความคัดลอกไว้ในขั้นตอนที่ 9 } [ตัวอย่าง: a7 วาง 36 4b ca 87 3f 10 ac d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
         d. ออกตัวแก้ไขรีจิสทรี
         e. รัน IISReset เป็นผู้ดูแลระบบเพื่อรีสตาร์ท IIS
         f. เปิดใช้งานการตั้งค่าคอนฟิก UAG

การตัดสินค้าจากคลัง 8

Symptom

ในบางกรณีไม่ค่อย คอมพิวเตอร์ไคลเอนต์ที่มีคอมโพเนนต์ของไคลเอ็นต์ UAG ที่ติดตั้งไว้บนนั้นได้รับการบันทึกข้อความเหตุการณ์ ID 85 "uagqecsvc" เขียนลงในล็อกเหตุการณ์ของ Windows ทุกนาทีเมื่อไคลเอนต์ที่กำลังสื่อสารกับเซิร์ฟเวอร์ UAG ถึงแม้ว่านี่เป็น false การแจ้งเตือน นี้เต็มแฟ้มบันทึกเหตุการณ์ของไคลเอ็นต์ทำให้ยากสำหรับผู้ดูแลหรือ helpdesk จากเฉพาะเหตุการณ์จริงในล็อกเหตุการณ์ของ Windows ของไคลเอ็นต์ ข้อความเหล่านี้จะสามารถถูกแสดงเสมอบนไคลเอนต์ทุกนาทีถ้าไคลเอนต์ที่เชื่อมต่อไปยังเซิร์ฟเวอร์ IAG

อาจมีเหตุการณ์ที่เกี่ยวข้องอื่นในบันทึกเหตุการณ์ของไคลเอ็นต์

แม้ว่าปัญหานี้ไม่เกี่ยวข้องโดยตรง เพื่อ UAG หรือปรับใช้ UAG เป็นไปได้ว่า มีบางระบบ ผู้ใช้ที่มีคอมโพเนนต์ไคลเอ็นต์ UAG ติดตั้งไว้บนนั้นจะเข้าถึงเซิร์ฟเวอร์ทั้ง IAG และ UAG

Cause

คอมโพเนนต์ของไคลเอ็นต์ UAG ได้กับคอมโพเนนต์บริการ "uagqecsvc" มีชื่อที่ใช้แสดงของ "Microsoft Forefront UAG ตรวจสอบไคลเอ็นต์การบังคับ" สถานะความสมบูรณ์ของแบบสอบถามปลายทาง โดยใช้ NAP และรายงานสถานะกลับไปยังโมดู NAP บน UAG ในบางกรณีบาง ปัญหานี้จะสามารถดูปรับใช้ UAG เป็นบริการอีกครั้งพยายามซ้ำ ๆ ผูกกับเซิร์ฟเวอร์ UAG อยู่ การผูกจะทำงานวนซ้ำกับการหมดเวลาเป็นนาทีจนกว่าจะสามารถเชื่อมต่อ

นอกจากนี้โดยเริ่มต้น ด้วย IAG Service Pack 2 ปรับปรุง 3 ถูก ported คอมโพเนนต์ไคลเอ็นต์ UAG ใน IAG ดังนั้น การบริการ uagqecsvc ถูกติดตั้งบนคอมพิวเตอร์ไคลเอนต์ที่เชื่อมต่อกับเซิร์ฟเวอร์ IAG ใด ๆ ที่มี Service Pack 3 ปรับปรุง 2 ของคอมโพเนนต์ของไคลเอ็นต์ เนื่องจากไม่มีหน้าที่การใช้งานการตรวจหารายการปลายทาง NAP อยู่ใน IAG ไคลเอนต์ที่มีคอมโพเนนต์ UAG ที่ติดตั้งไว้บนนั้นจะยังพยายามเชื่อมต่อไปยังบริการ UAG NAP ทุกนาที ในกระบวนการสร้างแฟ้มบันทึกการกล่าว messaged ในล็อกเหตุการณ์ของ Windows

Resolution

ในรุ่นก่อนหน้าของไคลเอ็นต์คอมโพเนนต์การหมดเวลาเริ่มต้นสำหรับการลองใหม่เพื่อสื่อสารกับผู้ทำหน้าที่ตรวจหา UAG NAP ถูกตั้งค่าให้เป็นนาที จะมีการเปลี่ยนแปลงใน UAG 2 การปรับปรุงไปหนึ่งชั่วโมง สำหรับผู้ดูแลที่ต้องการปรับเปลี่ยนค่านี้ ถูกจัดเตรียมวิธีการในการกำหนดค่าหมดเวลาเป็นตนบนไคลเอนต์

สิ่งสำคัญ ส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้นจึงให้ตรวจสอบจนแน่ใจว่าคุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการปกป้องเพิ่มเติม ให้สำรองรีจิสทรีก่อนที่คุณทำการปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหาขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

322756วิธีการสำรอง และคืนค่ารีจิสทรีใน Windowsผู้ใช้คอมพิวเตอร์หรือผู้ดูแลระบบสามารถกำหนดตนบนคอมพิวเตอร์ไคลเอนต์ใด ๆ ค่าหมดเวลาเป็นมิลลิวินาที เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้

1. เริ่มตัวแก้ไขรีจิสทรี (Regedt32.exe)

2. ค้นหา และคลิกที่คีย์ต่อไปนี้ในรีจิสทรี:
   

   HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC

3. บนเมนูแก้ไขคลิกเพิ่มค่าแล้ว เพิ่มค่ารีจิสทรีต่อไปนี้:

   ชื่อค่า: InitRetryTimeout
   ชนิดข้อมูล: REG_DWORD
   Radix: เลขฐานสิบ
   ค่า: (เวลาในหน่วยมิลลิวินาที 360000 เป็นค่าเริ่มต้น แต่ค่านี้ต้องเป็น
   การตั้งค่าที่มีขนาดใหญ่ 6000 แล้ว)

4. ออกจากตัวแก้ไขรีจิสทรี

5. รีสตาร์ทเครื่องคอมพิวเตอร์

การตัดสินค้าจากคลัง 9
อาการ

(ผู้ดูแล UAG) ได้ UAG ที่ติดตั้งอยู่บนเซิร์ฟเวอร์ที่กำลังเรียกใช้รุ่นของภาษา APAC เป็นภาษาท้องถิ่นของ Windows 2008 R2 เมื่อคุณพยายามที่จะสร้างเป็น trunk UAG คุณได้รับข้อผิดพลาด และหยุดการสร้างของ trunk

สำหรับตัวอย่าง windows ว่าง ข้อผิดพลาดที่ไม่คาดคิด หรือ MMC บ่อยๆ ล้มเหลวเกิดขึ้นเมื่อคุณพยายามที่จะสร้างเป็น trunk UAG

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากหากทรัพยากรของระบบที่ไม่ถูกต้อง หากไม่ถูกต้องเหล่านี้ทำให้ความล้มเหลวเมื่อคุณเรียกใช้ UAG ในบางภาษาที่ไม่ใช่ตะวันตกรุ่นของระบบปฏิบัติการ (เกาหลี/ญี่ปุ่น/จีน)

ความละเอียด

รหัสงานที่รับผิดชอบในการเข้าถึงทรัพยากรของระบบเหล่านี้ได้รับการแก้ไข

การตัดสินค้าจากคลัง 10


อาการ

คอมโพเนนต์การล้างข้อมูลบนเซสชันปลายทางเริ่มต้นเพื่อดำเนินการหลังจากเริ่มการทำงานของปลายทาง นอกจากนี้ หน้าต่าง explorer เปิดที่ชี้ไปยังโฟลเดอร์คอมโพเนนต์ของไคลเอ็นต์หลังจากเริ่มการทำงาน

สาเหตุ

ก่อนที่จะเริ่มการทำงาน คอมโพเนนต์การล้างข้อมูลบนเซสชันปลายทางเขียนค่ารีจิสทรีภายใต้คีย์ "รัน" ค่ารีจิสทรีนี้ช่วยให้ Windows สามารถเริ่มคอมโพเนนต์การล้างข้อมูลบนเซสชันปลายทางโดยอัตโนมัติหลังจากเริ่มการทำงาน อย่างไรก็ตาม ค่านี้เส้นทางของคีย์รีจิสทรีจะเป็นเส้นทางปฏิบัติที่ประกอบด้วยช่องว่าง ดังนั้น ความล้มเหลวเกิดขึ้น

การแก้ปัญหา

ขณะนี้มีเขียนค่าเส้นทางที่ชี้ไปปฏิบัติ Wiper สิ่งที่แนบมาที่เขียนภายใต้คีย์ "รัน" เป็นสายอักขระที่เสนอราคาเพื่อป้องกันความล้มเหลวใด ๆ

ปัญหาที่ 11


อาการ

เมื่อคุณพยายามเข้าถึงภาษาตั้งค่าตัวเลือกใน Exchange Server 2007 Outlook เว็บแอพลิเคชัน (OWA) ที่มีการเผยแพร่ผ่าน UAG ข้อความแสดงข้อผิดพลาดต่อไปนี้จะถูกส่งไปยังไคลเอนต์

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากหมดของแม่แบบกล่องสำหรับ OWA 2007 เซิร์ฟเวอร์ Exchange ไม่ได้เป็นรายการชุดกฎสำหรับ URL"/owa/languageselection.aspx การ" กลไกชุดกฎ UAG ไม่อนุญาตให้เข้าถึง URL ใด ๆ ที่ไม่อยู่ในรายการที่ปลอดภัย

การแก้ปัญหา

มีเพิ่มกฎใหม่สำหรับ OWA Exchange 2007 ที่เผยแพร่เพื่ออนุญาตให้สามารถเข้าถึงทรัพยากรของ URL นี้ ในกรณีนี้ "ExchangePub2007_Rule36" กฎใหม่ช่วยให้สามารถเข้าถึง URL "/owa/languageselection.aspx"

ปัญหาที่ 12


อาการ

เมื่อผู้ใช้พยายามเข้าถึงไซต์ UAG หรือพยายามเข้าถึงเส้นทางคั่นหน้าภายในแอพลิเคชันแทนที่เป็นเส้นทางการเข้าสู่ระบบ UAG ผู้ใช้ที่ได้รับมีข้อผิดพลาดภายในเซิร์ฟเวอร์ 500 และไม่สามารถเข้าถึงไซต์

หมายเหตุ ไซต์ UAG ใช้ ADFS สำหรับการรับรองความถูกต้อง และร้องขอโปรแกรมประยุกต์ที่ประกาศโดยตรง

สาเหตุ

เมื่อมีการกำหนดค่า UAG ใช้ ADFS สำหรับการรับรองความถูกต้อง เปลี่ยนเส้นทางหลายเกิดขึ้นระหว่างการรักษาความปลอดภัยโทเค็นบริการ (STS) และไซต์ภายใน UAG ถ้าไม่ทำการ redirectes ในรูปแบบที่คาดไว้ UAG ส่งกลับข้อผิดพลาด เมื่อผู้ใช้พยายามเข้าถึงทรัพยากรแทนที่เป็นพอร์ทัลไซต์เผยแพร่โดยตรง กระบวนการ re-routing ใช้งานไม่ ดังนั้น ข้อผิดพลาดของเซิร์ฟเวอร์ภายในเกิดขึ้น

การแก้ปัญหา

ปัญหานี้ได้รับการแก้ไขในการปรับปรุงนี้

ปัญหาที่ 13

อาการ

เมื่อผู้ดูแลระบบเท่านั้นที่จะจัดเก็บข้อมูลการรับรองความถูกต้องเป็นชนิด ActiveDirectory ผู้ดูแลระบบไม่สามารถตั้งค่ากลุ่มซ้อนกับ "ไม่จำกัด" ตามข้อมูลจำเพาะ UAG ค่าของเขตข้อมูลซ้อนกลุ่มไม่สามารถว่างเปล่า อย่างไรก็ตาม เมื่อฟิลด์ว่างเปล่า และตั้งค่าคอนฟิกถูกบันทึก และเรียกใช้ มีตั้งค่ากลับไปเป็น "0" โดยไม่คาดคิด

หมายเหตุ UAG MMC จำเป็นต้องปิด และเปิดใหม่อีกครั้งเพื่อให้ได้ค่า "0" ที่มองเห็นได้หรือไม่ เป็นข้อมูลจำเพาะ UAG, "0" หมายความ ว่า มีกลุ่มซ้อนไม่ ดังนั้น ซ้อนกลุ่มทำงานตามที่คาดไว้

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากไม่สามารถเก็บค่าถูกต้องสำหรับเขตข้อมูลซ้อนกลุ่มในการกำหนดค่า ดังนั้น ค่าถูกต้องไม่สามารถใช้กับทั้งการ GUI และฟังก์ชันการรับรองความถูกต้อง

การแก้ปัญหา

ค่าในการตั้งค่าคอนฟิกจะเดี๋ยวนี้อย่างถูกต้องเก็บ และปรับปรุงเมื่อมีลบค่าซ้อนกลุ่มจากแบบ GUI นอกจากนี้ ค่าถูกนำไปใช้กับฟังก์ชันการรับรองความถูกต้องไม่ถูกต้อง

หมายเหตุ Microsoft แนะนำให้ตั้งค่าเป็น หมายเลขต่ำสุดที่จำเป็นสำหรับการตรวจสอบใน UAG คุณสามารถตั้งค่าให้สูงกว่าระดับการซ้อนเนื่องจากความล่าช้าที่อาจเกิดขึ้นและทรัพยากรจำเป็น ถ้าสูงกว่าระดับ 2 จำเป็นสำหรับการปรับใช้ คุณต้องทดสอบผลกระทบของการเปลี่ยนแปลงเหล่านี้ก่อนที่ระบบมีการปรับใช้ในการผลิต ในกรณีที่รุนแรงที่สุดคือ การตั้งค่าเหล่านี้สามารถทำให้ทั้งเซิร์ฟเวอร์ UAG และ DCs ใด ๆ ที่ใช้สำหรับการรับรองความถูกต้อง โดย UAG การเกิดความผิดพลาดเนื่องจากความต้องการทรัพยากรสูง

ปัญหาที่ 14


อาการ

เมื่อคุณพยายามที่จะปิดหน้าต่างการกำหนดค่าเซิร์ฟเวอร์ตัวเชื่อมต่อ (NC) เครือข่ายหลังจากที่คุณเปิดใช้งานเซิร์ฟเวอร์ NC คุณอาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:

สาเหตุ

สามารถใช้บริการ SSL เครือข่าย Tunneling เฉพาะเมื่ออะแดปเตอร์เครือข่ายที่มีอยู่จริงที่มีที่อยู่ MAC ที่ขึ้นต้น ด้วย "00"

การแก้ปัญหา

สามารถใช้บริการ SSL เครือข่าย Tunneling แม้ว่าอะแดปเตอร์เครือข่ายที่มีอยู่จริงที่มีที่อยู่ MAC ที่ขึ้นต้น ด้วย "00"

ปัญหาที่ 15


อาการ

UAG ถูกนำออกใช้ ด้วยการสนับสนุนเพียงบางส่วนเท่านั้นสำหรับ Citrix XenApp 5

เมื่อคุณต้องการเผยแพร่ Citrix โดยไม่มีข้อผิดพลาด พวกเขาได้ถูกยื่นให้ทำตามขั้นตอนที่กำหนดไว้ในเว็บไซต์ของ Microsoft ต่อไปนี้:

แนะนำวิธีการเผยแพร่ Citrix XenApp 5.x กับ UAG 2010
สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากมีการละเมิดการสนับสนุนสำหรับ Citrix

การแก้ปัญหา

ขั้นตอนที่กำหนดไว้ในแบบข้างต้นเพื่อเผยแพร่ Citrix XenApp 5.0 อย่างถูกต้อง ในขณะนี้รวมอยู่ในการปรับปรุงนี้

ปัญหาที่ 16


อาการ

ผลิตภัณฑ์ภาพและเสียง "แนวโน้ม Micro OfficeScan แอนตี้ไวรัส" หรือ "แนวโน้ม Micro Cillin พีซีแอนตี้ไวรัส" ถูกเลือกจากแบบ GUI ในกรณีนี้ เมื่อคุณสร้างนโยบายแล้ว นโยบายนำไปใช้กับโปรแกรมประยุกต์ คุณได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้ในระหว่างการเรียกใช้:

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากอัลกอริทึมการตรวจสอบไวยากรณ์ของนโยบายการอ้างอิงที่จำเป็น โดยนโยบายเหล่านี้เฉพาะที่ขาดหายไป

การแก้ปัญหา

การอ้างอิงที่จำเป็น โดยนโยบายเหล่านี้ถูกเพิ่มเข้าไปอัลกอริทึมการตรวจสอบไวยากรณ์ของนโยบายหลังจากที่คุณติดตั้งโปรแกรมปรับปรุงนี้

ปัญหาที่ทราบ ด้วยอาร์เรย์และเครือข่ายโหลดดุล (NLB)

• เมื่อคุณพยายามเข้าใช้เซิร์ฟเวอร์สองตัวกับอาร์เรย์เดียวกันในเวลาเดียวกัน ที่เก็บอาร์เรย์อาจเกิดความเสียหาย ถ้าเกิดกรณีนี้ขึ้น คืนการตั้งค่าจากการสำรองข้อมูล

• เมื่อคุณลบ IPv6 เสมือนอยู่ IP (VIP) ในคอนโซลการจัดการ UAG Forefront ที่อยู่อาจไม่สามารถเอาออกอย่างสมบูรณ์ เมื่อต้องการหลีกเลี่ยงปัญหานี้ ลบด้วยตนเองที่อยู่จากอะแดปเตอร์เครือข่าย ในเครือข่ายและการใช้งานร่วมกันศูนย์ และ ในคอนโซลการจัดการ UAG Forefront

• Forefront UAG อาจตรวจพบว่า สมาชิกที่มีอาร์เรย์ที่ใช้รวมร้องสูญเสียการเชื่อมต่อเครือข่าย (เช่นมี ISP ระบบล้มเหลว) ในสถานการณ์สมมตินี้ Forefront UAG อาจยังกำหนดเส้นทางการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ไม่พร้อมใช้งาน เมื่อต้องการหลีกเลี่ยงปัญหานี้ ปิดใช้งานอะแดปเตอร์ภายใน และภายนอกของสมาชิกในอาร์เรย์แบบออฟไลน์ เปิดใช้งานอะแดปเตอร์อีกครั้งหลังจากที่ได้รับการแก้ไขปัญหาการเชื่อมต่อ

• ถ้าคุณมี Microsoft ระบบศูนย์การดำเนินงาน Manager 2007 การปรับใช้ในองค์กรของคุณ คุณสามารถตรวจสอบสถานะของอะแดปเตอร์เครือข่ายสมาชิกของอาร์เรย์ เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
  

  • ตรวจสอบให้แน่ใจว่า มีการติดตั้งแพคการจัดการระบบปฏิบัติการ Windows Server และ NLB 2008 เซิร์ฟเวอร์ Windows บนแต่ละสมาชิกของแถวลำดับ

  • ใช้การดำเนินงาน Manager 2007 ตรวจหาอะแดปเตอร์เครือข่ายไม่ต่อบนสมาชิกของอาร์เรย์
    หมายเหตุ การดำเนินงาน Manager 2007 แจ้งปัญหาต่อไปนี้:
    

    • ถ้ามีปัญหากับอะแดปเตอร์ที่เชื่อมต่อกับเครือข่ายภายใน การดำเนินงาน Manager 2007 รายงานว่า มีฮาร์ทบีตรวจพบ

    • ถ้ามีปัญหากับอะแดปเตอร์ที่เชื่อมต่อกับเครือข่ายภายนอก การดำเนินงาน Manager 2007 รายงานปัญหา Windows ร้อง

• เมื่อคุณสร้าง trunk การเปลี่ยนเส้นทางสำหรับการ trunk HTTPS ในอาร์เรย์ที่มีการเปิดใช้งานการปรับสมดุลการโหลด คุณต้องกำหนด IP แอดเดรสของ trunk เปลี่ยนเส้นทางสำหรับแต่ละสมาชิกของแถวลำดับด้วยตนเอง งานนี้ได้อธิบายไว้ในบทความต่อไปนี้:
  

  รู้จักกับวิธีการติดตั้งการปรับปรุง 1 ในอาร์เรย์ที่ใช้ร้อง