症状
请考虑以下情形:
-
安装 Microsoft 最前沿统一访问网关 (UAG) 2010 Service Pack 3 (SP3)。
-
添加新的发布干线。
-
更改默认终结点策略,包括"任何个人防火墙 (Windows)"表达式。
在这种情况下,您可能会发现要求"任何个人防火墙 (Windows)"表达式错误地评估为 TRUE 的访问策略,阻止访问的 Windows 7 或 Windows 8 的终结点。即使端点检测正确检测到已安装并运行个人防火墙的状态,可能出现此问题。
注意:包含终结点的策略,从早期的策略模板创建现有干线将不包括新的 Windows 8 客户端变量,因此不受影响。
原因
Forefront UAG 2010 可以指定终结点访问设置,以控制从终结点设备,具体取决于终结点设备的安全设置的访问。一个特定于平台的策略表达式中被选中的是"任何个人防火墙 (Windows)。"此表达式不包含在默认终结点策略中,但可能由管理员添加到站点或应用程序的访问策略。
Forefront UAG SP3 添加 Windows 8 客户端访问支持。这包括端点检测功能和 Windows 8 客户端变量PFW_WIN8_INSTALLED和PFW_WIN8_RUNNING。这些变量添加到特定于平台的终结点策略表达式"任何个人防火墙 (Windows)。"添加变量,它们被错误地 interspaced 中现有的 Windows 7 客户端变量表达式。结果是两个表达式。每个这些表达式包括每一种操作系统中的一个成员变量如两个表达式的计算结果正确的方法︰
(PFW_WIN7_INSTALLED 和 PFW_WIN8_RUNNING) 或 (PFW_WIN8_INSTALLED 和 PFW_WIN7_RUNNING)
解决方案
在说明的汇总 1 的前沿统一访问网关 2010 Service Pack 3中描述的更新中解决此问题。
解决方法
您可以手动更新使用方终结点策略中每个中继的"任何个人防火墙 (Windows)"表达式。若要执行此操作,更改下面的表达式︰
(PFW_WIN7_INSTALLED 和 PFW_WIN8_RUNNING) 或 (PFW_WIN8_INSTALLED 和 PFW_WIN7_RUNNING)
将此表达式更改为下面的表达式︰
(PFW_WIN7_INSTALLED 和 PFW_WIN7_RUNNING) 或 (PFW_WIN8_INSTALLED 和 PFW_WIN8_RUNNING)
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
参考资料
有关如何更改访问策略和表达式的信息,请参阅配置 Forefront UAG 访问策略。
有关如何创建、 编辑和删除特定于平台的策略和表达式的信息,请参阅配置 Forefront UAG 特定于平台的访问策略。
有关软件更新术语的信息,请参阅用于描述 Microsoft 软件更新的标准术语的说明。