Загальні відомості
Ці нотатки про випуск останні адресу питання, що пов'язані з Microsoft Forefront Unified Access Gateway (UAG) 2010. Перш ніж інсталювати Forefront Unified Access Gateway (UAG), необхідно прочитати, дані, що містяться в цьому документі. У цій статті, містить такі відомості про це оновлення:
-
Нові функції та вдосконалення, які входять до складу цього оновлення
-
Проблеми, які усуває це оновлення
-
Як отримати це оновлення
-
Необхідні умови для інсталяції цього оновлення
-
Відомі проблеми
Вступ
У цій статті описується оновлення 2 для Forefront UAG 2010 і наведено інструкції з інсталяції. Оновлення 2, для того, як Forefront UAG 2010, надає такі можливості:
-
Клієнт компоненти розширення: Компонент Forefront UAG SSL застосунку тунелювання (сокет параметри пересилання.) тепер підтримується у Windows Vista та Windows 7 64-розрядних операційних систем, для 32-розрядних програм. У таблиці нижче наведено додаткові відомості та # 3, щоб отримати додаткові відомості.
Функція
Windows XP 32-розрядна версія
Windows Vista 32-розрядна.
Windows Vista 64-розрядна.
Windows 7 (32-розрядна).
Windows 7 (64-розрядна).
Mac або Linux
В автономному режимі інсталяції.
Так
Так
Так
Так
Так
Ні
Установка в Інтернеті
Так
Так
Так
Так
Так
Так
Визначення кінцевої точки
Так
Так
Так
Так
Так
Так
Вкладення склоочисника
Так
Так
Так
Так
Так
Так
SSL-тунелювання компонент
Так
Так
Так
Так
Так
Так
Сокет параметри пересилання
Так
Так
Так
Так
Так
Ні
Протокол SSL застосунку тунелювання. (Мережа з'єднувач)
Так
Так
Так
Ні
Ні
Ні
Примітка: Щоб додаткові відомості про браузери, операційної системи та компонент клієнта функції та сумісності, відвідайте такий веб-сайт Microsoft TechNet:
-
Інфраструктура віртуальних ПК (VDI): Forefront UAG повністю підтримує, публікування віддалених робочих столів, через особистий робочий стіл сценарій VDI.
-
Citrix, публікування підтримки: Forefront UAG повністю підтримує Citrix презентації, сервер 4.5 заміни Citrix XenApp 5.0.
-
Citrix клієнтський комп'ютер підтримки: Forefront UAG підтримує Windows Vista та Windows 7 комп'ютерів із 64-розрядних операційних систем, що доступ Citrix XenApp застосунків, що клієнт XenApp, де є 32-розрядний. Додаткову інформацію див. випуск 4 нижче.
-
Контроль доступу SSTP користувачами та групами: Forefront UAG надає точніше авторизації механізм, який дозволяє адміністраторам Авторизація окремих груп SSTP доступу.
-
SSL представлення: Forefront UAG забезпечує більш стійкої обробки SSL рукостискання від UAG до опублікованого веб-серверів.
-
Клієнтський сертифікат делегування: Обмежену підтримку для застосунків, коли застосунок-сервер вимагає клієнтський сертифікат адміністратора погодження додано Forefront UAG.
-
Network Connector MAC-адресу підтримки: З'єднувач сервер Forefront UAG-мережі, підтримує більш широкого кола мережних адаптерів розширений діапазон адрес MAC.
Щоб отримати додаткові відомості про нові функції оновлення 2 для Forefront UAG 2010 див. розділ "Що є нового в Forefront UAG" на такий веб-сайт корпорації Майкрософт:
Додаткові відомості
Відомості про оновлення
Файл можна завантажити з центру завантажень Microsoft:
Щоб отримати додаткові відомості про завантаження файлів підтримки Microsoft, клацніть номер статті в базі знань Microsoft:
119591 , як отримати файли технічної підтримки Майкрософт від інтерактивних службMicrosoft перевірив цей файл на наявність вірусів. Корпорація Майкрософт використала останню версію програмного забезпечення для виявлення вірусів, що доступне на час публікації файлу. Файл зберігається на добре захищених серверах, які запобігають внесенню до файлу будь-яких несанкціонованих змін.
Попередні вимоги
Це оновлення є сукупним і, можна застосувати до техніки, сервери або віртуальні машини, що використовуєте такі версії UAG 2010:
-
UAG 2010, (RTM)
-
Оновлення для UAG 2010 1
-
UAG 2010 1 1 виправлень зведеного оновлення
Щоб отримати додаткові відомості про UAG оновлення 1 клацніть номер статті в базі знань Microsoft Knowledge Base:
Опис оновлення 1 для об'єднані Access Gateway 2010 981323Щоб отримати додаткові відомості про отримання пакета виправлень UAG 1 зведене оновлення 1 клацніть номер статті в базі знань Microsoft Knowledge Base:
Опис пакета виправлень зведене 981932 для Unified Access Gateway 2010 оновлення 1
Відомості про інсталяцію
Порядок інсталяції, коли використовується сервер UAG масив
-
Інсталювати оновлення 2 на менеджер масиву.
-
Перезавантаження.
-
Активація UAG конфігурації.
-
Зачекайте, поки синхронізацію конфігурації.
-
На перший член-менеджер масив, інсталювати оновлення 2.
-
Перезавантаження.
-
Повторіть для всіх інших учасників до масиву.
Примітка. У разі потреби процес видалення пакета оновлення 2 має провела у зворотному порядку.
Необхідність перезавантаження
У не масив сценаріїне потрібно перезавантажити комп'ютер, після інсталяції цього пакета оновлень. Після інсталяції пакету поновлень, потрібно активувати UAG конфігурації. Зверніть увагу, що виконує UAG активації припинити будь-які наявні тунельний протокол SSL-застосунок підключення до сервера UAG.
У масиві сценарії перезавантажити комп'ютер не потрібно. Масив інсталяції зазначені вище необхідне для успішного розгортання оновлення під час використання масиву, може спричинити неможливість, виконайте наведені нижче дії, масив пошкодження та втрата конфігурації.
Відомості про заміну виправлень
Це виправлення не замінює попередні виправлення.
Відомості щодо видалення
Щоб видалити це оновлення, скористайтеся одним із наведених нижче способів.
-
Увійти до системи як адміністратор, вбудований і потім видалити оновлення за допомогою програми та засоби аплет панелі керування.
-
В командному рядку в режимі адміністратора введіть таку команду та натисніть клавішу ENTER:
msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}
Відомості про файли
Англійська версія цього виправлення на комп'ютері має атрибути файлів (або новіші атрибути файлів), подані в нижченаведеній таблиці. Значення дати й часу для цих файлів наведено за всесвітнім координованим часом (UTC). Переглядаючи відомості про файл, час конвертується у місцевий час. Щоб визначити різницю між UTC і місцевим часом, за допомогою вкладки часовий пояс у Дата й час на панелі керування.
|
Ім'я файлу |
Версія файлу |
Розмір файлу |
Дата |
Час |
Платформа |
|---|---|---|---|---|---|
|
Agent_win_helper.jar |
Не застосовується |
1,286,015 |
30-Aug-2010 |
13:12 |
Не застосовується |
|
Clientconf.xml |
Не застосовується |
6,675 |
15-Sep-2010 |
06:41 |
Не застосовується |
|
Configdatacomlayer.dll |
4.0.1269.200 |
192,400 |
15-Sep-2010 |
08:13 |
x64 |
|
Configdatalayer.dll |
4.0.1269.200 |
3,871,632 |
15-Sep-2010 |
08:06 |
x64 |
|
Configmgrcom.exe |
4.0.1269.200 |
199,568 |
15-Sep-2010 |
08:01 |
x64 |
|
Configmgrcomlayer.dll |
4.0.1269.200 |
2,246,032 |
15-Sep-2010 |
08:15 |
x64 |
|
Configmgrcore.dll |
4.0.1269.200 |
1,375,632 |
15-Sep-2010 |
08:23 |
x64 |
|
Configmgrinfra.dll |
4.0.1269.200 |
1,599,888 |
15-Sep-2010 |
08:12 |
x64 |
|
Configmgrlayer.dll |
4.0.1269.200 |
215,440 |
15-Sep-2010 |
08:05 |
x64 |
|
Configuration.exe |
4.0.1269.200 |
8,920,976 |
15-Sep-2010 |
08:22 |
x64 |
|
Detection.js |
Не застосовується |
14,591 |
15-Sep-2010 |
07:20 |
Не застосовується |
|
Https_whlfiltappwrap_forpor |
Не застосовується |
60,961 |
15-Sep-2010 |
07:19 |
Не застосовується |
|
Http_whlfiltappwrap_forport |
Не застосовується |
59,475 |
15-Sep-2010 |
07:19 |
Не застосовується |
|
Install.js |
Не застосовується |
11,218 |
15-Sep-2010 |
07:20 |
Не застосовується |
|
Installanddetect.asp |
Не застосовується |
12,067 |
15-Sep-2010 |
07:20 |
Не застосовується |
|
Internalerror.asp |
Не застосовується |
8,344 |
15-Sep-2010 |
07:20 |
Не застосовується |
|
Internalerror.inc |
Не застосовується |
24,402 |
15-Sep-2010 |
07:20 |
Не застосовується |
|
Login.asp |
Не застосовується |
24,183 |
15-Sep-2010 |
07:20 |
Не застосовується |
|
Logoffmsg.asp |
Не застосовується |
7,705 |
30-Aug-2010 |
13:11 |
Не застосовується |
|
Microsoft.uag.da.messages.d |
4.0.1269.200 |
33,680 |
15-Sep-2010 |
08:14 |
x64 |
|
Microsoft.uag.transformer.c |
4.0.1269.200 |
6,297,488 |
15-Sep-2010 |
08:02 |
x86 |
|
Monitormgrcom.exe |
4.0.1269.200 |
151,952 |
15-Sep-2010 |
08:01 |
x64 |
|
Monitormgrcore.dll |
4.0.1269.200 |
740,240 |
15-Sep-2010 |
08:23 |
x64 |
|
Monitormgrlayer.dll |
4.0.1269.200 |
354,192 |
15-Sep-2010 |
08:12 |
x64 |
|
Policy.xml |
Не застосовується |
80,244 |
17-Oct-2010 |
12:16 |
Не застосовується |
|
Policydefinitions.xml |
Не застосовується |
61,516 |
15-Sep-2010 |
07:15 |
Не застосовується |
|
Redirecttoorigurl.asp |
Не застосовується |
1423 |
30-Aug-2010 |
13:11 |
Не застосовується |
|
Repairinstallation.vbs |
Не застосовується |
3,044 |
30-Aug-2010 |
13:12 |
Не застосовується |
|
Ruleset_forinternalsite.ini |
Не застосовується |
47,019 |
30-Aug-2010 |
13:11 |
Не застосовується |
|
Sessionmgrcom.exe |
4.0.1269.200 |
233,872 |
15-Sep-2010 |
08:24 |
x64 |
|
Sessionmgrcomlayer.dll |
4.0.1269.200 |
1,641,360 |
15-Sep-2010 |
08:02 |
x64 |
|
Sessionmgrcore.dll |
4.0.1269.200 |
738,192 |
15-Sep-2010 |
08:01 |
x64 |
|
Sessionmgrinfra.dll |
4.0.1269.200 |
1,197,968 |
15-Sep-2010 |
08:22 |
x64 |
|
Sessionmgrlayer.dll |
4.0.1269.200 |
200,592 |
15-Sep-2010 |
08:04 |
x64 |
|
Sfhlprutil.cab |
Не застосовується |
57,194 |
15-Sep-2010 |
08:35 |
Не застосовується |
|
Shareaccess.exe |
4.0.1269.200 |
492,944 |
15-Sep-2010 |
08:12 |
x64 |
|
Sslbox.dll |
4.0.1269.200 |
58,768 |
15-Sep-2010 |
08:14 |
x64 |
|
Sslvpntemplates.xml |
Не застосовується |
28,704 |
30-Aug-2010 |
13:12 |
Не застосовується |
|
Sslvpn_https_profiles.xml |
Не застосовується |
968 |
17-Oct-2010 |
12:16 |
Не застосовується |
|
Uagqec.cab |
Не застосовується |
64,842 |
15-Sep-2010 |
08:36 |
Не застосовується |
|
Uagqessvc.exe |
4.0.1269.200 |
207,760 |
15-Sep-2010 |
08:04 |
x64 |
|
Uagrdpsvc.exe |
4.0.1269.200 |
144,272 |
15-Sep-2010 |
08:14 |
x64 |
|
Uninstalluagupdate.cmd |
Не застосовується |
212 |
15-Sep-2010 |
08:41 |
Не застосовується |
|
Usermgrcom.exe |
4.0.1269.200 |
119,184 |
15-Sep-2010 |
08:01 |
x64 |
|
Usermgrcore.dll |
4.0.1269.200 |
837,008 |
15-Sep-2010 |
08:01 |
x64 |
|
Whlasynccomm.dll |
4.0.1269.200 |
107,408 |
15-Sep-2010 |
08:14 |
x64 |
|
Whlcache.cab |
Не застосовується |
265,768 |
15-Sep-2010 |
08:36 |
Не застосовується |
|
Whlclientsetup-all.msi |
Не застосовується |
2,964,992 |
15-Sep-2010 |
08:22 |
Не застосовується |
|
Whlclientsetup-basic.msi |
Не застосовується |
2,964,992 |
15-Sep-2010 |
08:01 |
Не застосовується |
|
Whlclientsetup-networkconne |
Не застосовується |
2,965,504 |
15-Sep-2010 |
08:04 |
Не застосовується |
|
Whlclientsetup-networkconne |
Не застосовується |
2,965,504 |
15-Sep-2010 |
08:03 |
Не застосовується |
|
Whlclientsetup-socketforwar |
Не застосовується |
2,964,992 |
15-Sep-2010 |
08:24 |
Не застосовується |
|
Whlclntproxy.cab |
Не застосовується |
242,713 |
15-Sep-2010 |
08:35 |
Не застосовується |
|
Whlcompmgr.cab |
Не застосовується |
689,483 |
15-Sep-2010 |
08:35 |
Не застосовується |
|
Whlcppinfra.dll |
4.0.1269.200 |
669,584 |
15-Sep-2010 |
08:23 |
x64 |
|
Whldetector.cab |
Не застосовується |
263,764 |
15-Sep-2010 |
08:36 |
Не застосовується |
|
Whlfiltappwrap.dll |
4.0.1269.200 |
315,280 |
15-Sep-2010 |
14:02 |
x64 |
|
Whlfiltappwrap_http.xml |
Не застосовується |
59,475 |
15-Sep-2010 |
13:19 |
Не застосовується |
|
Whlfiltappwrap_https.xml |
Не застосовується |
60,961 |
15-Sep-2010 |
13:19 |
Не застосовується |
|
Whlfiltauthorization.dll |
4.0.1269.200 |
311,696 |
15-Sep-2010 |
14:23 |
x64 |
|
Whlfilter.dll |
4.0.1269.200 |
589,200 |
15-Sep-2010 |
14:22 |
x64 |
|
Whlfiltsecureremote.dll |
4.0.1269.200 |
1,037,200 |
15-Sep-2010 |
14:22 |
x64 |
|
Whlfiltsecureremote_http.xm |
Не застосовується |
77,404 |
30-Aug-2010 |
13:11 |
Не застосовується |
|
Whlfiltsecureremote_https.x |
Не застосовується |
80,308 |
17-Oct-2010 |
12:16 |
Не застосовується |
|
Whlfirewallinfra.dll |
4.0.1269.200 |
444,816 |
15-Sep-2010 |
08:13 |
x64 |
|
Whlgenlib.dll |
4.0.1269.200 |
511,376 |
15-Sep-2010 |
08:04 |
x64 |
|
Whlglobalutilities.dll |
4.0.1269.200 |
106,384 |
15-Sep-2010 |
08:05 |
x64 |
|
Whlinstallanddetect.inc |
Не застосовується |
4,476 |
30-Aug-2010 |
13:11 |
Не застосовується |
|
Whlio.cab |
Не застосовується |
167,277 |
15-Sep-2010 |
08:35 |
Не застосовується |
|
Whlioapi.dll |
4.0.1269.200 |
76,176 |
15-Sep-2010 |
08:04 |
x64 |
|
Whliolic.dll |
4.0.1269.200 |
15,760 |
15-Sep-2010 |
08:22 |
x64 |
|
Whlios.exe |
4.0.1269.200 |
137,104 |
15-Sep-2010 |
08:24 |
x64 |
|
Whllln.cab |
Не застосовується |
167,095 |
15-Sep-2010 |
08:36 |
Не застосовується |
|
Whlllnconf1.cab |
Не застосовується |
6,521 |
15-Sep-2010 |
08:35 |
Не застосовується |
|
Whlllnconf2.cab |
Не застосовується |
6,610 |
15-Sep-2010 |
08:36 |
Не застосовується |
|
Whlllnconf3.cab |
Не застосовується |
6,599 |
15-Sep-2010 |
08:35 |
Не застосовується |
|
Whltrace.cab |
Не застосовується |
254,352 |
15-Sep-2010 |
08:36 |
Не застосовується |
|
Whltsgauth.dll |
4.0.1269.200 |
184,208 |
15-Sep-2010 |
08:02 |
x64 |
|
Whltsgconf.dll |
4.0.1269.200 |
87,440 |
15-Sep-2010 |
08:22 |
x64 |
|
Whlvaw_srv.dll |
4.0.1269.200 |
138,128 |
15-Sep-2010 |
08:05 |
x64 |
|
Wioconfig.dll |
4.0.1269.200 |
496,528 |
15-Sep-2010 |
08:01 |
x64 |
Виправлені проблеми, які входять до складу цього оновлення
Це оновлення, усуває такі проблеми, які ще не було висвітлено у статтях бази знань Майкрософт.
Проблема 1
Ознака
Адміністратори потребують Гранулят доступу своїм клієнтам Secure Socket тунельний протокол (SSTP)-віртуальної приватної мережі (VPN). Однак настройка SSTP на UAG створює доступу в одному правило, що надає весь внутрішньої мережі VPN-клієнта.
Відповідно до наведений нижче текст із http://technet.microsoft.com/en-us/library/ee522953.aspx підтримується використання консолі Threat Management Gateway (TMG), щоб створити правила, що дозволяють Гранулят доступу SSTP VPN доступу:
"Створення правил доступу до роботи з консоллю Forefront TMG керування, для обмеження на користувачів, груп і мережах Гранулят доступу під час розгортання Forefront UAG для VPN віддалений доступ до мережі."
Проте після того, як адміністратори, створити правила доступу, щоб обмежити доступ користувача, ці правила видалено або переміщено в нижній частині політики доступу після UAG активації. Це означає, що має вищий пріоритет, правило за промовчанням, і налаштувати детального контролю буде втрачено.
Причина
Це питання, викликана обмеження проектування інтеграції UAG і динамічно генеруються правила, які беруть участь TMG, під час UAG активації.
Вирішення
Вручну модифікація TMG правила для підтримки Гранулят доступу, як описано на сайті TechNet, амортизуються (та не підтримуються, після інсталяції UAG оновлення 2) на користь очевидної підтримки керування Гранулят доступом, консоль UAG Management.
UAG адміністратори тепер можна явно дозволено доступ до певного внутрішньої мережі адреси SSTP VPN користувачам, які є членами певної групи в Active Directory. UAG адміністраторів слід вкладка нові Групи користувачів SSL конфігурації мережі тунельний діалогового вікна визначення Гранулят IP VPN політику доступу складається з набору правил доступу. Кожен, як правило, визначає набір внутрішньої мережі IP-адрес і Вихідна IP-адреса, що певної групи з Active Directory можна отримати доступ до підключення до VPN-SSTP.
Проблема 2
Ознака
Корпорація Майкрософт інфраструктури віртуального робочого стола (VDI) підтримку UAG повністю не реалізовано.
Причина
Тому в оману інтерфейсу користувача UAG проблеми конфігурації та неможливості з підтримкою багатьох авторизації різних ресурсів під час виконання запобігти VDI працює належним чином.
Вирішення
Ми зробили проект зміни оновлення UAG інтерфейсу користувача та підтримує сценарії особистий робочий стіл VDI, до більш стійкої реалізацію. Робочий стіл, Об'єднані сценарії VDI не реалізовано а також може бути реалізовано в майбутніх оновлень із UAG.
Проблема 3
Ознака
Компонент UAG-клієнта для SSL-застосунок тунелювання (сокет параметри пересилання.) не підтримується на 64-розрядної версії Windows 7, так і 64-розрядної версії Windows Vista.
Причина
Це розроблений поведінку UAG клієнтські компоненти, перед випуском UAG оновлення 2.
Вирішення
Зробили дизайн зміни для задоволення таку ситуацію:
Існує широкий набір-веб-застосунки, які використовують, що UAG роз'єм для пересилання / у застосунку тунелювання, як спосіб публікації. Наприклад, такі застосунки Citrix XenApps і подання сервера 4.5, і вони працювати як елементи керування ActiveX у браузері. До цього оновлення внаслідок технічних обмежень, ми заборонити розгортання ці методи публікації, 64-розрядної версії клієнтські операційні системи. Таким чином, опубліковані однієї програми, яка використовує ці методи можуть бути доступні 32-розрядної версії клієнта, що працює systemss, а не з 64-розрядних операційних систем.
Зміни, зроблені для цього сценарію є метод розгортання для клієнта сокет пересилання (SF) компоненти 64-розрядної версії операційної системи Windows клієнта, щоб дозволити відкриття tunneled програми. Обмеження впровадження цього елемента є такими:
-
Підтримка для сокет, параметри пересилання 64-розрядної версії Windows Vista, так і 64-розрядної версії Windows 7, інші 64-розрядну версію операційної системи, не підтримуються.
-
Сокет, параметри пересилання підтримується лише після того, як для 32-розрядної версії браузера Internet Explorer, (працює в емуляції WOW64 32-розрядна) UAG доступні для користувачів.
-
Сокет, параметри пересилання буде лише взаємодії з 32-розрядні застосунки (WOW64 додатків) і не буде взаємодіяти з рідною 64-розрядних програм.
Нижче наведено параметри розгортання оновлюваних компонентів.
-
Online: стандартний метод, який здійснює розгортання SF компонентів. На перший виклик будь-які UAG порталу застосунок, який використовує SF тунельний спосіб публікації компоненти завантаження та інсталяції.
-
Автономний режим: адміністратори також можна розгорнути відповідні програми Windows Installer (MSI) на клієнта за допомогою сценарію дистрибутив або вручну. Після інсталяції UAG оновлення 2 файли будуть доступні на сервері UAG в такому розташуванні:
%-UAG інсталяції directory%\von\PortalHomePage\
Помилка 4
Ознака
Не вдається отримати доступ Citrix 5.0 XenApps, які публікуються з UAG із клієнтського комп'ютера під керуванням 64-розрядних версіях Windows Vista або Windows 7.
Причина
Це розроблений поведінку UAG клієнтські компоненти, перед випуском UAG оновлення 2.
Вирішення
Зверніться до розділу "Вирішення" проблема 3, щоб отримати додаткові відомості.
Проблема 5
Ознака
Під час створення або редагування в кінцевій точці політики, політику "McAfee Total Protection" з'являється у списку два рази. Якщо політику "McAfee Total захисту" другий, з'являється повідомлення про помилку приблизно такого вигляду:
вихідний рядок не вдалося знайти
Причина
Ця проблема виникає, оскільки % UAG інсталяції directory%\von\Conf\PolicyDefinitions.xml файл містить два записи, які ж назви, так і посвідчення.
Вирішення
Подвійний запис проблему вирішено, видаливши другий записи з файлу PolicyDefinitions.xml.
Проблема 6
Symptom
Після того, як отримати доступ до ресурсів, опублікованого за UAG користувачі отримують повідомлення про помилку "Невідома помилка під час обробки сертифіката" у браузері. Крім того, UAG адміністратор може відображатися в UAG сервер налагодження журнали SEC_I_CONTINUE_NEEDED повертається під час виконання кроку SSL узгодження "Держава підтвердження пароля". Після цього кроку з налагодження журналів буде показано, що /InternalSite/InternalError.asp сторінки повертається до клієнта з кодом помилки, 37. Помилка з кодом 37, це повідомлення про помилку "Невідома помилка під час обробки сертифіката."
Cause
Наявні механізм SSL не Правильне handli декілька сценаріїв під час виконання SSL через внутрішній сервера, опубліковані через UAG. Потокове характер SSL створює складні сценарії, можливість отримувати недостатньо даних або читання забагато інформації, у полі пароля. У цьому випадку InitializeSecurityконтексті повідомляє, що мають пройшов додаткові дані, які необхідно зберегти для використання в майбутньому (приблизно після ознайомитися більше даних в мережі).
Resolution
Алгоритм пароля продовжено на підтримку додаткових потоків випадків та сценарії.
Issue 7
Symptom
Під час застосування HTTPS опубліковані через UAG, користувач отримує в помилка 37: "Невідома помилка під час обробки сертифіката." Адміністратор, яка робить налагодження (, включно з SSLBOX_BASE трасування), коли користувач відкрив застосунок, побачите таке повідомлення про помилку:
Помилка: не вдалося ініціалізувати в контексті безпеки. Повернуто помилку: 0x90320.
InitializeSecurityContext повернення SEC_INCOMPLETE_CREDENTIALS – безпечний канал, потрібен клієнтський сертифікат адміністратора
Cause
Внутрішній застосунок-сервер налаштовано на і попросіть адміністратора з сертифікат клієнта на етапі узгодження SSL. До цього оновлення було не підтримуються такі функції. Таким чином, за погодження не виконано з помилкою.
Resolution
Існує два можливі сценарії, в якій внутрішній сервер запитує клієнтський сертифікат адміністратора:
-
Застосунок на внутрішній сервер надсилає запит на отримання сертифіката контекст клієнтський сертифікат, але не потрібно. У цьому випадку Запасна реалізовано, дозволяючи UAG спробу за погодження після того, як повернути, SEC_INCOMPLETE_CREDENTIALS , отриманий код. Зазвичай внутрішній сервер вимагає сертифікат клієнта, і ця погодження успішно завершено.
-
Внутрішній програми, потрібна автентифікація сертифіката клієнта. Внесення змін, який містився не дозволяє для клієнта, щоб надати проходять через сертифікати клієнта, але не дозволяють одному дійсний сертифікат клієнта для на внутрішній веб-сервер для всіх користувачів.
У цьому випадку UAG адміністратор має надати дійсний сертифікат клієнта і встановити його на сервер UAG сертифікат машини.-
Наказує UAG SSLBox модуль відновити та отримати правильну сертифікатів, виконайте такі дії:
-
Запустіть команду відкрийте консоль керування MMC.
-
Клацніть файлі натисніть кнопку Додати/видалити оснастку.
-
Виберіть сертифікати у списку і натисніть кнопку Додати.
-
Виберіть обліковий запис комп'ютера і натисніть завершити.
-
Відкрийте особистий сховища сертифікатів.
-
Зі списку, виберіть сертифікат клієнта, потрібен автентифікації та двічі клацніть сертифікат. Або клацніть сертифікат та натисніть кнопку Відкрити.
-
Виберіть область відомостей та прокручування.
-
Виберіть відбиток властивостей.
-
Виберіть на панелі нижче значення властивості і скопіювати його значення, натиснувши клавіші CTRL + C.
-
Увага! Цей розділ, спосіб або завдання містить вказівки про внесення змін до реєстру. Проте серйозні проблеми можуть виникнути, якщо внесені зміни до реєстру неправильні. Таким чином, переконайтеся, що ретельно виконані такі дії. Для додаткового захисту створіть резервну копію реєстру перед внесенням змін. Після цього можна відновити реєстр, якщо виникає проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру клацніть номер статті в базі знань Microsoft:
322756 створення резервної копії та відновлення реєстру в ОС Windowsа. Запустіть редактор реєстру (Regedt32.exe).
б., знайдіть і клацніть такий розділ реєстру:HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
c. у меню Edit клацніть Додати значенняі додайте такий параметр реєстру:Ім'я параметра: ClientCertHash
Тип даних: рядок
Значення: {скопіювати текст у кроці 9} [наприклад: a7 4 в 36 ca 87 3f 10 ac d5 4 в 0f ca 83 9e 9e 74 c8 3e ф 8b]
г. Закрийте редактор реєстру.
ґ. IISReset режимі адміністратора, щоб перезапустити служби IIS.
д., активуйте UAG конфігурації.
-
-
Проблеми з 8
Symptom
В деяких випадках клієнтські комп'ютери, які UAG клієнтські компоненти, встановлені на їх повідомлення "uagqecsvc" подія з Ідентифікатором 85 журналу записування до журналу подій для Windows, під час цього клієнта обміну даними із сервера UAG хвилину. Незважаючи на те, це сигнал false, це заповнює клієнт журнал подій, ускладнюючи для адміністраторів або до служби підтримки, з виявлення реального події у клієнта Windows події журналах. Ці повідомлення завжди відображається на клієнтському комп'ютері щохвилини Якщо цього клієнта, що підключається до сервера IAG.
Подія з Ідентифікатором: 85
Джерело: uagqecsvc
Тип: помилка
Опис: Компонент Microsoft Forefront UAG клієнт примусового карантину не вдалося ініціалізувати виконання зворотного виклику клієнта HRESULT значення: 0x8027000E. Ця проблема може виникнути, якщо це політики безпеки не дозволяють компонента.
Там також може бути іншим події журналу подій клієнта.
Подія з Ідентифікатором: 16
Джерело: uagqecsvc
Ім'я журналу: застосунків
Опис: Компонент Microsoft Forefront UAG клієнт примусового карантину не вдалося отримати статус службу агента для захисту доступу до мережі (NAP). Системна помилка 1115: завершення роботи системи відбувається. (0x45b). коли в Microsoft Forefront UAG клієнт примусового карантину компонент, запускається, параметри служби агента клієнт намагається.
Незважаючи на те, ця проблема не безпосередньо стосується UAG або UAG-розгортання, це, можливо, що із розгортання, деякі користувачі, які мають UAG клієнтські компоненти, встановлені на них буде доступ до IAG, так і UAG серверів.
Cause
UAG клієнтські компоненти мають до компонентів служби "uagqecsvc" з коротке ім'я "Microsoft Forefront UAG карантину виконання клієнта", на яких запитів кінцевої точки стан за допомогою NAP і повідомляє про стан назад NAP модуль на UAG. В деяких випадках цю проблему буде розглядатися в UAG-розгортання як службу знову намагається повторно зв'язати сервері UAG. У Прив'язка буде працювати в циклі, з хвилини час очікування, доки підключення.
Крім того, починаючи з IAG пакет оновлень 2 оновлення 3 для, UAG-клієнтські компоненти було перенесено IAG. Таким чином, служба uagqecsvc також інсталюються на клієнтських комп'ютерах, які звертаються до будь-якого IAG сервері, на якому інстальовано пакет оновлень 2 оновлення 3 для клієнтські компоненти. Через те, що NAP кінцевої точки функціональні можливості для виявлення немає IAG, клієнт із UAG, установленим на них надалі спробуйте підключитися до служби UAG NAP, щохвилини у процесі створення зазначено раніше журнал messaged журналу подій для Windows.
Resolution
У попередніх версіях клієнтські компоненти, що для спроб спілкуватися з виявлення агента UAG NAP, очікування за промовчанням значення за його змінено UAG оновлення 2 на одну годину. Для адміністраторів, які потрібно змінити значення надається спосіб, щоб вручну визначити тайм-ауту на клієнтському комп'ютері.
Увага! Цей розділ, спосіб або завдання містить вказівки про внесення змін до реєстру. Проте серйозні проблеми можуть виникнути, якщо внесені зміни до реєстру неправильні. Таким чином, переконайтеся, що ретельно виконані такі дії. Для додаткового захисту створіть резервну копію реєстру перед внесенням змін. Після цього можна відновити реєстр, якщо виникає проблема. Щоб отримати додаткові відомості про резервне копіювання та відновлення реєстру клацніть номер статті в базі знань Microsoft:
322756 створення резервної копії та відновлення реєстру в ОС WindowsКомп'ютер користувачам або адміністраторам можна вручну визначити будь-які клієнтський комп'ютер тайм-ауту мс. Щоб це зробити, виконайте такі дії:
-
Запустіть редактор реєстру (Regedt32.exe).
-
Знайдіть і клацніть такий розділ реєстру:
HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC
-
У меню Edit клацніть Додати значенняі додайте такий параметр реєстру:
Ім'я параметра: InitRetryTimeout
Тип даних: REG_DWORD
Системи числення: десятковий
Значення: (час у мілісекундах 360000, за замовчуванням, але це значення має бути
встановлено великі натисніть 6000) -
Закрийте редактор реєстру.
-
Перезавантажте комп'ютер.
Проблема 9
Ознака
(UAG адміністратор) слід UAG, який інстальовано на сервері під керуванням локалізованої APAC мовну версію Windows 2008 R2. Під час спроби створити-каналу передачі UAG, з'являється повідомлення про помилку, і зупинено створення каналу передачі.
Наприклад, windows на пустий, неочікувані повідомлення про помилки або часто MMC аварійно завершує роботу, виникає під час спроби створити-каналу передачі UAG.
Причина
Ця проблема, що виникає через неправильні маніпуляцій системні ресурси. Ці неправильні маніпуляцій призводять до відмов під час запуску UAG, у деяких не у мовних версій операційних систем (Корейська/Японська/китайський).
Вирішення
Виправлено код, який відповідає за доступ до цих ресурсів для системи.
Проблеми з 10
Ознака
Кінцева точка сеанс-очищення компонентів не запускається, виконати після перезапуску кінцевої точки. Крім того, в Internet explorer відкриється вікно, вказує на клієнта компонентів папки, після перезавантаження.
Причина
Перш ніж перезавантажити комп'ютер кінцевої точки сеансу, очищення компонент, записує значення реєстру, у розділі "Виконати". Цей параметр реєстру, дозволяє Windows на автоматичний запуск очищення компонент кінцевої точки-сеанс після перезавантаження. Проте цей шлях значення реєстру, є шлях виконуваного файлу, який містить пробіли. Таким чином, виникає помилка.
Вирішення
Тепер шлях значення, що вказує на вкладення склоочисника виконуваного файлу, створеного в розділі "Виконати" записується як рядок в лапках метою уникнення помилки.
Проблеми з 11
Ознака
Під час спроби отримати доступ до налаштування параметрів, в Exchange Server 2007 Outlook Web додатків (OWA), опублікованих за допомогою UAG мову, таке повідомлення про помилку, буде надіслано до клієнта.
Здійснено спробу отримати доступ до обмежених URL-адресу.
Причина
Ця проблема виникає через те, що на редагування вікні шаблон для Exchange Server 2007, OWA не має запис у RuleSet для на URL"/owa/languageselection.aspx". Механізм UAG RuleSet не дозволяє доступ до URL, якого немає у списку білого
Вирішення
Додаються нові правила для обміну 2007 OWA, публікацію, щоб дозволити доступ до цього ресурсу з URL-Адресою. У цьому випадку, нові правила "ExchangePub2007_Rule36" дозволяє доступ до URL-адреса "/owa/languageselection.aspx".
Проблеми з 12
Ознака
Користувач намагається отримати доступ до сайту UAG, або намагається отримати доступ, створено закладку шлях у застосунку, а не шлях UAG входу, користувач отримує з 500 Внутрішня помилка сервера та не може отримати доступ до сайту.
Примітка. UAG сайт використовує ADFS для перевірки автентичності і безпосередньо надсилає запит на опублікованим застосунком.
Причина
Під час UAG налаштовано на використання ADFS для перевірки автентичності, кілька перенаправлення виникають безпеки маркерів служби (STS), так і внутрішніх сайт UAG. Якщо в redirectes не зробили, таким чином, що очікування, UAG повертається, помилки. Коли користувач намагається безпосередньо до опублікованих ресурс замість порталу, інший маршрут процес розривається. Таким чином, відбувається внутрішня помилка сервера.
Вирішення
Цю проблему усунуто, за допомогою цього оновлення.
Випуск 13
Ознака
Адміністратор, є налаштування в ActiveDirectory тип автентифікації сховища, адміністратор не значення групи вкладення до «необмежений». Відповідно до специфікації UAG значення поля вкладення, група може бути пустим. Однак, коли поле пустим і конфігурація зберігається і активувати, це значення назад "0" несподівано.
Примітка. UAG консоль MMC, потрібно закрити і знову відкрити, щоб отримати значення "0" відображається. Як UAG специфікації "0" – це не вкладення з групи. Таким чином, Група вкладення не працює належним чином.
Причина
Ця проблема виникає в тому, що правильне значення для групи поля вкладення не можна зберігати в конфігурації. Таким чином, правильне значення неможливо застосувати для графічного Інтерфейсу, так і функцій перевірки автентичності.
Вирішення
Значення в конфігурації тепер правильно зберігається і оновлюється, коли параметр групової вкладення, що видаляється з графічний інтерфейс Додатково, значення застосовується правильно функції автентифікації.
Примітка. Корпорація Майкрософт рекомендує, значення буде найменше число, потрібний для дозволу на UAG. Можна встановити значення для понад 2 рівнів вкладення, потенційні затримки та потрібних ресурсів. Якщо вище, 2 рівні, ніж потрібно для розгортання, потрібно перевірити впливу цих змін, перш ніж виробництво розгортання системи. У крайньому випадку цих параметрів може викликати сервера UAG, так і контролери домену, які використовуються для перевірки автентичності, UAG аварійне завершення роботи з ресурсів з високим вимогам.
Випуск 14
Ознака
Під час, щоб закрити вікно конфігурації мережі з'єднувач (NC) сервера, після ввімкнення NC-сервер, може з'явитися таке повідомлення про помилку:
Неправильний Network Connector параметрів неприпустимий сегмент адреса
Причина
Служба тунельний протокол SSL-мережі, можна використовувати лише тоді, коли фізичний мережні адаптери, мають MAC-адреси, імена яких починаються з "00".
Вирішення
Можна використовувати службу тунельний протокол SSL-мережі, хоча фізичні мережних адаптерів MAC-адреси, імена яких починаються з "00".
Проблема 15
Ознака
UAG, було випущено лише частковий підтримки Citrix XenApp 5.
Якщо потрібно опублікувати Citrix без помилок, вони зобов'язані були виконайте дії, описані в веб-сайт корпорації Майкрософт:
Вступ до публікація Citrix XenApp 5. x UAG 2010
Причина
Ця проблема виникає в тому, що підтримка Citrix розривається.
Вирішення
Дії, описані вище правильно, публікувати Citrix XenApp 5.0 буде включено до цього оновлення.
Проблеми з 16
Ознака
AV-продукт "Trend Micro OfficeScan Anti-Virus" або "Trend Micro PC-Cillin Anti-Virus" буде вибрано графічного інтерфейсу. У цьому випадку під час створення політики та застосувати політику до застосунку, з'являється таке повідомлення про помилку під час активації:
Вихідний рядок не вдалося знайти
Причина
Ця проблема виникає, тому що алгоритм перевірки синтаксис політики, пропускає залежності, необхідні для цієї конкретної політики.
Вирішення
Залежності, необхідні для цих політик додається до політики синтаксис, перевірка алгоритму після інсталяції цього оновлення.
Відомі проблеми
-
Після інсталяції цього оновлення SSL-тунелювання мережі мережного адаптера стає невидимою у вікні "Мережні підключення". Така поведінка передбачена. Щоб переконатися, що мережний адаптер є інстальовано відкрити диспетчер для пристроїв і виберіть пункт "Показати приховані пристрої" запис меню View ".
-
Інколи операцію видалення оновлення може не повідомлення про помилку, вказуючи, що "FirefrontUAG.msi" інсталяційний файл не знайдено або помилки інсталяції 1269.
-
Відкрийте меню "Пуск" і введіть, Показувати приховані файли та папки.
-
У вікні додаткових параметрів, якщо зняти прапорець Приховувати захищені, роботу з системні файли (рекомендовано) і натисніть OK.
-
Відкривається в режимі адміністратора вікно командного рядка та введіть UninstallUagUpdate.
-
Якщо необхідно, Зачекайте кілька хвилин, для відновлення інсталяції бази даних.
Примітка. Можуть з'являтися повідомлення про те, що повідомляє про необхідність відновлення.
-
-
Citrix XenApp підтримки є лише версії 5.0. Пізніші версії не підтримуються.
-
Ця версія підтримує лише сценарії VDI особистий робочий стіл. Загальних робочого стола сценарієм наразі не підтримується.
-
Сокет пересилання, можна знайти на 64-розрядної Windows 7 і Vista клієнти для застосунків для 32-розрядний (WOW64 додатків). Це не доступний для 64-розрядної власних застосунків.
-
Публікування OWA для Exchange 2010 із пакетом оновлень 1, UAG, потрібно вручну внесення змін до AppWrap та зміни, внесені до за допомогою. Блог команди UAG продукту http://blogs.technet.com/b/edgeaccessblog/є опубліковано статтю про дії, які потрібні для цього. Дії, описані у статті інтегровану майбутніх оновлень системи UAG.
-
Microsoft клієнтів підтримки послуг (CSS) не може надавати підтримку клієнтам, якщо вони використовують бета-версії, відмінним від RTM, або не зазвичай доступні (Джорджія) продукти, наприклад, Internet Explorer 9 бета-версія. Підтримка для IE9 буде включено в майбутніх оновлень після IE9 офіційно.
Відомі проблеми з масиви, мережного навантаження (NLB)
-
При спробі приєднатися до двох серверів ж масив одночасно масив сховище даних може бути пошкоджено. У такому випадку, відновити настройки з резервної копії.
-
Видалити віртуальний IP адреси IPv6 (VIP) в консолі Forefront UAG Management, адреса може не буде видалено повністю. Щоб вирішити цю проблему, вручну видалити адресу з мережного адаптера у Центр мережних підключень і спільного доступу та Forefront UAG Management консоль.
-
Forefront UAG може не виявляє, що є членом масив, яка використовує інтегровані в NLB втрачає, мережного підключення (наприклад, до Інтернет-Провайдера-відмова системи). У цьому випадку може продовжувати Forefront UAG маршрутизації трафіку сервер недоступний. Щоб уникнути цієї проблеми, вимкніть внутрішніх і зовнішніх адаптерів в автономному режимі масив учасників. Увімкнути мережних знову після того як виправляє проблеми з підключенням.
-
Якщо Microsoft System Center Operations Manager 2007 у вашій організації, це дає змогу відстежувати стан масив-членів мережних адаптерів. Щоб це зробити, виконайте такі дії:
-
Переконайтеся, що на кожного учасника в масив інстальовано ОС Windows Server і Windows Server 2008-NLB пакети керування.
-
Operations Manager 2007 дає змогу виявити без підключення мережних адаптерів масив учасників.
Примітка. Operations Manager 2007 повідомляє про проблеми з наступним чином:-
Якщо проблеми з адаптера, який підключено до внутрішньої мережі, Operations Manager 2007 повідомляє, що такту, не виявлено.
-
Якщо проблеми з адаптера, який підключено до зовнішньої мережі Operations Manager 2007 повідомляє про випуск Windows NLB.
-
-
-
Під час створення перенаправлення каналу передачі для магістраль з HTTPS у масив, який не має навантаження ввімкнуто, потрібно вручну призначити IP-адреси переспрямування-каналу передачі для кожного учасника в масиву. Це завдання, описані в цій статті:
