症状
请考虑以下情况:
-
在 Microsoft Forefront 威胁管理网关(TMG)2010多成员数组部署和另一个网站之间配置 Internet 协议安全(IPsec) VPN 点对点隧道或点对点隧道协议(PPTP) VPN 的站点到站点连接。 并且,你可以通过隧道成功访问资源。
-
在 TMG 2010 阵列上启用集成网络负载平衡(NLB)。
-
您尝试访问其他网站中的资源。
在这种情况下,IPsec 隧道不起作用,并且您不能访问隧道任意一侧的资源。注意 此问题的范围实际上比 IPsec 站点到站点 VPN 更大。 此处所述的问题可能会在任何基于阵列的 TMG 2010 部署中发生,在这些部署中,将在触发节点收敛等 NLB WMI 事件时启用集成的 NLB。 启用了 NLB 的站点到站点 VPN 是最明显的示例。
原因
出现此问题的原因是 TMG 2010 为 TMG 2010 公开的 COM 服务错误地定义了随机访问控制列表(Dacl)。 这些 Dacl 阻止了 TMG 服务接受 NLB WMI 事件通知。 因此,TMG 的内部 NLB 状态不会更新,并且依赖于 NLB 状态(如 IPsec 筛选器定义)的子组件未正确初始化。
解决方案
服务包信息
此问题在 Forefront TMG 2010 Service Pack 1 中已修复。有关如何获取 Forefront TMG 2010 Service Pack 1 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
981324 在 Forefront 威胁管理网关2010中修复的问题列表 Service Pack 1
更新信息
若要解决此问题,请按照下列步骤操作:
-
应用可从 Microsoft 下载中心获取的 forefront tmg 2010 更新: Download the Update for Forefront TMG 2010 (KB 980674) package now.立即下载 forefront tmg 2010 (KB 980674)程序包的更新。有关如何下载 microsoft 支持文件的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件Microsoft 已对该文件进行病毒扫描。 Microsoft 使用的是文件发布时可以获得的最新病毒检测软件。 该文件存储在安全性得到增强的服务器上,以防止对文件进行未经授权的更改。
-
重新启动运行 Forefront TMG 2010 的计算机。
状态
Microsoft 已确认这是在“适用范围”部分中列出的 Microsoft 产品存在的问题。此问题首先在 Forefront TMG 2010 Service Pack 1 中更正。