统一的访问网关 2010年 2 更新说明

系统必备组件

此更新是累积的并可以应用于装置、 服务器或虚拟机正在运行下面的 UAG 2010 版本的︰

• (RTM) 的 UAG 2010

• UAG 2010 更新 1

• UAG 2010 更新 1 1 累积修补程序包

UAG 更新 1 有关详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章︰

统一的访问网关 2010年更新 1 981323说明有关 UAG 1 累积更新 1 修补程序包的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章︰

981932统一访问网关 2010年更新 1 1 累积修补程序包的说明

安装说明

当 UAG 服务器阵列正在使用中的安装顺序

1. 第一次在阵列管理器上安装更新 2。

2. 重新启动。

3. 激活 UAG 配置。

4. 等待同步配置。

5. 在第一个的非管理器阵列成员上安装更新 2。

6. 重新启动。

7. 重复所有其余的阵列成员。

注意：如果需要，应按相反的顺序进行卸载更新 2。

重启要求

在非数组的情况下，不需要您在应用此更新程序包后，重新启动计算机。安装此更新程序包后，您必须激活 UAG 配置。请注意执行 UAG 激活将终止 UAG 服务器与任何现有 SSL 应用隧道连接。

在数组的情况下重新启动是必需的。上面的阵列安装步骤的更新成功部署所必需的使用数组时，数组的损坏和丢失的配置，可能会导致故障，请执行以下步骤。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

卸载信息

若要卸载此更新，请使用下列方法之一︰

• 内置的管理员身份登录，然后通过使用控制面板中的程序和功能小程序来卸载更新。

• 从提升的命令提示符处，键入下面的命令，然后按 enter 键︰
  

  msiexec.exe /uninstall {31F37A8F-7454-453C-B084-9334E3EBA839} /package {9B0CE58E-C122-4CB4-80C1-514D4162C07C}

文件信息

此修复程序的英文版具有的文件属性 （或更新的文件属性）在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时，它将转换为本地时间。要了解 UTC 与本地时间之间的时差，使用在控制面板中的日期和时间项的时区选项卡。

此更新中包含的已修复的问题

此更新解决了以下问题以前未在 Microsoft 知识库文章中记载。

问题 1

症状

管理员需要安全套接字隧道协议 (SSTP) 虚拟专用网络 (VPN) 客户端的细粒度访问控制。但是，配置上 UAG SSTP 创建给整个内部网络的 VPN 客户端访问单个的访问规则。

根据 http://technet.microsoft.com/en-us/library/ee522953.aspx 中的以下文本，它支持使用威胁管理网关 (TMG) 控制台来创建规则，以便让 SSTP VPN 访问的细粒度访问控制︰

"创建访问规则使用前沿 TMG 管理控制台，以便限制的用户、 组和网络进行细粒度访问 VPN 远程网络访问部署 Forefront UAG 时。"

但是，当管理员创建访问规则来限制用户的访问权限，这些规则删除或 UAG 激活后移动到底部的访问策略。这意味着默认规则优先配置精细的控制将会丢失。

原因

此问题被由于 UAG 和 UAG 激活期间部署到 TMG 的动态生成的规则之间的集成设计中的限制。

解决方案

手动修改 TMG 规则，以支持细粒度的访问控制在 TechNet 上所述的折旧 （和不再受支持的 UAG 更新 2 安装后） 以显式支持 UAG 管理控制台中的细粒度访问控制的应用。

UAG 管理员现在可以显式启用对特定内部网络地址 SSTP VPN 用户特定 Active Directory 组成员的访问。UAG 管理员应使用 SSL 网络隧道配置对话框中的新用户组选项卡来定义粒度 IP VPN 访问策略组成一组的访问规则。每条规则定义了一套内部网络 IP 地址和特定的 Active Directory 组的成员可以访问与 SSTP VPN 连接时的 IP 地址范围。

问题 2


症状

Microsoft 虚拟桌面基础结构 (VDI) 支持在 UAG 并未完全实现。

原因

由于误导的 UAG UI 配置有问题，无法在实现过程中不同的资源支持多授权阻止 VDI 正常工作。

解决方案

我们做了一个设计更改更新 UAG UI 和支持 VDI 的个人桌面方案，更可靠的实现。VDI 的共用桌面方案未实现，并可能在以后的 UAG 更新中实现。

问题 3


症状

不支持在 64 位版本的 Windows 7 和 64 位版本的 Windows Vista UAG 客户端组件用于 SSL 应用程序建立隧道 （套接字转发器）。

原因

这是之前 UAG 更新 2 发布的 UAG 客户端组件设计的行为。

解决方案

我们已经进行了设计更改以满足以下方案︰

有宽设置使用 UAG 套接字发送的非 web 应用程序 / 应用程序层隧道作为一种发布方法。例如，此类应用程序 citrix 服务器 XenApps 和演示文稿的服务器 4.5，而它们都作为 ActiveX 应用程序在浏览器中运行。前此更新时，由于技术所限，我们不允许在 64 位版本的客户端操作系统上这些发布的方法部署。因此，从 32 位版本的客户端操作而不是在 64 位操作系统的 systemss 访问同一个发布的应用程序使用这些方法。

这种情况下所做的更改是部署的在 64 位版本的 Windows 客户端操作系统以使隧道的应用程序打开组件提供套接字发送 (SF) 客户端方法。此实现的限制如下所示︰

• 对套接字转发器的支持仅限于 64 位版本的 Windows Vista 和 64 位版本的 Windows 7，其他 64 位版本的操作系统不支持。

• 用户访问 UAG 32 位版本的 Internet Explorer （在 WOW64 32 位仿真运行） 时，才支持套接字转发器。

• 套接字转发器将仅与 32 位应用程序 （WOW64 应用程序） 进行交互并将不与本机 64 位应用程序进行交互。

以下是已更新的组件的部署选项︰

• 在线︰ 执行部署的 SF 组件的标准方法。作为隧道的发布方法使用 SF 任何 UAG 门户应用程序的第一次调用中，在组件下载和安装。

• 脱机︰ 管理员还可以部署相应的 Windows 安装应用程序 (MSI) 的客户端上使用脚本式的软件分发或手动安装。后 UAG 更新 2 的安装文件将在以下位置 UAG 服务器上可用︰
  

  %Uag 安装 directory%\von\PortalHomePage\

问题 4


症状

不能运行 64 位版本的 Windows Vista 或窗口 7 的客户端计算机访问的 UAG 发布的 Citrix XenApps 5.0。

原因

这是之前 UAG 更新 2 发布的 UAG 客户端组件设计的行为。

解决方案

请参阅问题 3 的"解决方法"部分的详细信息。

问题 5


症状

当您尝试创建或编辑终结点策略时，"McAfee 总保护"策略列表上显示两次。如果您选择第二个"McAfee 总保护"策略，您将收到类似于以下内容的错误消息︰

原因

出现此问题是因为 %uag 安装 directory%\von\Conf\PolicyDefinitions.xml 文件包含两个项具有相同的标题和 id。

解决方案

复式问题解决从 PolicyDefinitions.xml 文件中删除第二个记录。

问题 6

Symptom

当您访问某个资源由 UAG 发布时，客户端收到错误信息"处理的证书时出现未知的错误"在浏览器中。此外，UAG 管理员可能会看到 UAG 服务器调试日志中SEC_I_CONTINUE_NEEDED返回的 SSL 协商阶段"握手确认状态。按照该步骤调试日志将显示， /InternalSite/InternalError.asp页返回给客户端以及错误代码 37。错误代码 37 是错误消息"未知的错误发生时处理的证书"。

Cause

现有 SSL 机制执行不正确 handli 几种方案与后端服务器通过 UAG 发布执行 SSL 握手时。SSL 流性质创建复杂的方案具有接收数据或者不足或阅读握手过程太多信息的可能性。 在这种情况下， InitializeSecurity上下文报告过去必须保存用于将来的其他数据 （大概是之后您读取更多数据通过电缆）。

Resolution

握手算法扩展以支持其他流的情况下和方案。


Issue 7

Symptom

当您访问 UAG 发布的 HTTPS 应用程序时，用户会收到错误 37:"未知的错误发生时处理的证书"。正在执行的操作 （即包括 SSLBOX_BASE 跟踪） 的调试日志记录的管理员在用户访问该应用程序将看到下面的错误消息︰

Cause

后端应用程序服务器被配置为在 SSL 协商阶段要求提供客户端证书凭据。此更新前不是支持这种功能。因此，协商失败，出现错误。

Resolution

有两种可能的情况下在后端服务器要求客户端证书凭据︰

• 后端应用程序服务器请求客户端证书以获得证书上下文但不需要这样做。这种情况下，回退实现允许重试的 UAG 收到的协商后SEC_INCOMPLETE_CREDENTIALS的返回代码。通常后, 端服务器不要求客户端证书并成功完成此协商。

• 后端应用程序需要客户端证书身份验证。 设计更改所实现不允许客户端提供客户端证书传递但 does 允许一个有效客户端证书提供给后端 web 服务器的所有用户。
  
  这种情况下 UAG 管理员应提供一个有效的客户端证书并 UAG 机器证书的服务器上安装它。

  1. 要指示要检索并获取正确的证书的 UAG SSLBox 模块，请执行以下步骤︰

     1. 运行 MMC 命令以打开管理控制台。

     2. 单击文件，然后单击添加/删除管理单元中。

     3. 从列表中选择证书，然后单击添加。

     4. 选择计算机帐户，然后单击完成。

     5. 打开个人证书存储区。

     6. 从列表中选择所需的客户端身份验证证书，双击证书。或者，用鼠标右键单击证书，然后单击打开。

     7. 选择详细信息窗格中，向下滚动。

     8. 选择缩略图属性。

     9. 在面板示例中选择的属性值，并通过按 CTRL + C 复制它的值。

     10. 重要：此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是，如果不正确地修改了注册表，可能会出现严重的问题。因此，请确保仔细按照下列步骤操作。为增加保护，对其进行修改之前备份注册表。然后，您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

         322756如何备份和还原在 Windows 注册表答︰ 启动注册表编辑器 (Regedt32.exe)。
         
         b.找到并单击以下注册表项中︰
         
         

         HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\e-Gap\Von\UrlFilter\Comm\SSL
         c.在编辑菜单上，单击添加数值，然后添加以下注册表值︰

         值的名称︰ ClientCertHash
         数据类型︰字符串
         值: {在步骤 9 中复制文本} [例如︰ a7 36 4b ca 87 3f 10 交流 d5 4b 0f ca 83 9e 9e 74 c8 3e fa 8b]
         d.退出注册表编辑器。
         e.作为管理员重新启动 IIS 运行 IISReset。
         f.激活 UAG 配置。

问题 8

Symptom

在极少数情况下有 UAG 客户端组件安装在其上的客户端计算机收到"uagqecsvc"事件 ID 85 日志消息写入 Windows 事件日志客户端与 UAG 服务器的通信时每分钟。虽然假警报这，这充满难以将它的管理员或支持人员来自客户端的 Windows 事件日志中发现真正的事件的客户端事件日志。这些消息将始终显示在客户端上每分钟如果该客户端连接到 IAG 服务器。

客户端事件日志中可能还另一个相关的事件。

虽然此问题不直接相关到 UAG 或 UAG 部署，很可能与某些部署具有 UAG 客户端组件安装在其上的用户将访问 IAG 和 UAG 服务器。

Cause

UAG 客户端组件通过使用 NAP 具有组件服务"uagqecsvc"显示名称使用的"Microsoft Forefront UAG 隔离强制客户端"哪些查询端点运行状况并报告状态回 NAP 模块 UAG。在极少数情况下此问题将其视为在 UAG 部署该服务重新尝试重复的 UAG 服务器绑定。绑定将分钟超时时间的循环中运行，直到它可以连接。

另外从 IAG Service Pack 2 更新 3 开始，UAG 客户端组件被移植到 IAG。因此 uagqecsvc 服务在连接到任何 IAG 服务器具有 Service Pack 2 更新 3 客户端组件的客户端计算机上同时安装。因为没有 IAG NAP 端点检测功能，在其上安装了 UAG 组件的客户端将继续尝试连接到的 UAG NAP 服务过程生成上述互联 Windows 事件日志中的日志中的每一分钟。

Resolution

在早期版本的客户端组件，重试次数与 UAG NAP 检测代理进行通信的默认超时设置为一分钟的时间，进行了更改的 UAG 更新 2 到 1 个小时。 对于希望修改此值，管理员提供了在客户端中手动定义超时值的方法。

重要：此部分、 方法或任务包含一些介绍如何修改注册表的步骤。但是，如果不正确地修改了注册表，可能会出现严重的问题。因此，请确保仔细按照下列步骤操作。为增加保护，对其进行修改之前备份注册表。然后，您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

322756如何备份和还原在 Windows 注册表计算机用户或系统管理员可以手动定义的任何客户端计算机上超时以毫秒为单位。若要执行此操作，请执行以下步骤：

1. 启动注册表编辑器 (Regedt32.exe)。

2. 找到并单击以下注册表项中︰
   

   HKEY_LOCAL_MACHINE\SOFTWARE\WhaleCom\Client\QEC

3. 在编辑菜单上，单击添加数值，然后添加以下注册表值︰

   值的名称︰ InitRetryTimeout
   数据类型：REG_DWORD
   基数︰ 十进制
   值: （时间以毫秒为单位 360000 是默认设置中，但此值必须是
   设置大一点再 6000)

4. 退出注册表编辑器。

5. 重新启动计算机。

问题 9
症状

（UAG 管理员） 必须安装在正在运行 Windows 2008 R2 的本地化的 APAC 语言版本的服务器上的 UAG。当您尝试创建 UAG 干线时，您会收到一条错误消息，主干创建已停止。

例如，空白窗口、 错误消息或频繁 MMC 崩溃发生时尝试创建 UAG 干线。

原因

由于不正确的系统资源的操作，会出现此问题。某些非西方语言版本的操作系统 （朝鲜语/日语/中文） 上运行 UAG 时，这些不正确的操作将导致故障。

解决方案

负责访问这些系统资源的代码被固定。

问题 10


症状

终结点会话清理组件不启动某个终结点重新启动后执行。此外，资源管理器窗口将打开指向后重新启动客户端组件文件夹。

原因

之前重新启动计算机，终结点会话清理组件将在"运行"项下的注册表值。此注册表值允许 Windows 重新启动后自动启动终结点会话清理组件。但是，此注册表项的路径值是可执行文件的路径包含空格。因此，出现故障。

解决方案

现在，指向"运行"项下编写的附件擦拭刷可执行文件的路径值都编写为带引号的字符串，以防止出现任何故障。

问题 11


症状

当您尝试访问的语言设置选项在 Exchange Server 2007 Outlook Web 应用程序 (OWA) 通过 UAG 发布时，下面的错误消息将发送到客户端。

原因

此问题是由于 Exchange Server 2007 OWA 框模板的输出为 URL"/owa/languageselection.aspx 没有规则集条目"。UAG 规则集机制不允许对任何不是在白名单中的 URL 的访问权限。

解决方案

Exchange 2007 OWA 发布以允许对此 URL 资源的访问权限添加新规则。在这种情况下，"ExchangePub2007_Rule36"的新规则，允许到"/owa/languageselection.aspx"的 URL。

问题 12


症状

当用户尝试访问一个 UAG 站点或尝试访问应用程序中用书签标记的路径，而不是 UAG 登录路径时，用户将收到 500 内部服务器错误，无法访问该站点。

注意：UAG 站点使用 ADFS 进行身份验证，并直接请求发布的应用程序。

原因

当 UAG 配置为几个重定向发生安全令牌服务 (STS) 和 UAG 内部站点之间进行身份验证，使用 ADFS。Redirectes 没有按预期的方式执行，如果 UAG 将返回错误。当用户尝试直接访问已发布的资源，而不是门户网站时，re-routing 进程被破坏。因此，发生内部服务器错误。

解决方案

此问题已在此更新中解决。

问题 13

症状

在管理员配置一个与 active Directory 类型的身份验证存储库时，管理员不能设置为"无限制"的组嵌套值。根据 UAG 规范组嵌套字段的值可以为空。但是，当字段为空，保存和激活配置，值设置回为"0"意外。

注意：UAG MMC 需要关闭并重新打开以获取可见值"0"。作为 UAG 规范"0"意思是没有组嵌套。因此，如预期的那样，也不起作用组嵌套。

原因

此问题是由于不能正确的组嵌套字段值存储在配置。因此，正确的值不能应用到 GUI 和身份验证功能。

解决方案

在配置中的值是现在正确地存储和更新从 GUI 另外删除组嵌套值时，值正确地应用于身份验证功能。

注意：Microsoft 建议您设置的值是最低值所需的 UAG 中授权。 您可以将值设置为大于 2 级的嵌套可能发生延迟和所需的资源。如果高于 2 级所需的部署，必须在生产环境中部署该系统之前测试这些更改的影响。在极端情况下，这些设置可能会导致 UAG 服务器和所有域控制器都被用于身份验证由 UAG 崩溃由于高资源需求。

问题 14


症状

当您尝试关闭网络接口 (NC) 服务器配置窗口启用 NC 服务器后时，您可能会收到以下错误消息︰

原因

只有当物理网络适配器 MAC 地址以"00"开头的则可以使用 SSL 隧道网络服务。

解决方案

即使物理网络适配器具有以"00"开头的 MAC 地址，则可以使用 SSL 隧道网络服务。

问题 15


症状

UAG 发布仅部分支持 Citrix XenApp 5。

当您想要发布 Citrix 没有错误时，他们是有义务按照下面的 Microsoft 网站中提供的步骤︰

介绍如何发布 Citrix XenApp 5.x 的 UAG 2010
原因

此问题是由于对 Citrix 的支持被破坏。

解决方案

在上文中正确发布 Citrix XenApp 5.0 提供的步骤现在包含在此更新。

问题 16


症状

从 GUI 中选择了 AV 产品"趋势微 OfficeScan 防病毒"或"趋势微 Pc-cillin 反病毒"。在这种情况下，当您创建策略，然后将该策略应用到应用程序时收到以下错误消息在激活过程中︰

原因

发生此问题是因为策略语法验证算法缺少依赖项所需的这些特定的策略。

解决方案

安装此更新后，这些策略所需的依赖项将添加到策略语法验证算法。

阵列和网络负载平衡 (NLB) 的已知的问题

• 当您尝试加入两个服务器在同一时间同一阵列中时，数组存储可能已损坏。如果发生这种情况，请从备份中还原这些设置。

• 删除 IPv6 中的虚拟 IP 地址 (VIP) 的 Forefront UAG 管理控制台时，可能无法完全删除该地址。若要变通解决此问题，请手动从网络和共享中心中和在 Forefront UAG 管理控制台中的网络适配器中删除地址。

• Forefront UAG 可能无法检测到它使用集成 NLB 的阵列成员失去网络连接 （如 ISP 系统的故障）。在这种情况下，Forefront UAG 可能继续将通信路由到不可用的服务器。若要避免此问题，请禁用脱机阵列成员的内部和外部适配器。连接性问题都解决后，再次启用适配器。

• 如果您有在您的组织中部署 Microsoft 系统中心操作管理器 2007年，您可以监视阵列成员网络适配器的状态。若要执行此操作，请执行以下步骤：
  

  • 请确保在每个阵列成员上安装的 Windows 服务器操作系统和 Windows 服务器 2008 NLB 管理包。

  • 操作管理器 2007年用于检测阵列成员上的已断开的网络适配器。
    注意：操作管理器 2007年报告问题，如下所示︰
    

    • 如果没有连接到内部网络适配器有问题，操作管理器 2007年报告没有心跳被检测到。

    • 如果没有连接到外部网络适配器有问题，操作管理器 2007年报告 Windows NLB 问题。

• 没有启用负载平衡的数组在创建 HTTPS 干线重定向干线时，您必须为每个阵列成员手动指派重定向主干的 IP 地址。以下的文章中描述此任务︰
  

  介绍如何使用 NLB 阵列上安装更新 1