Exporter (0) Imprimer
Développer tout

Notes de publication de Forefront TMG 2010 SP1

Publication: juin 2010

S'applique à: Forefront Threat Management Gateway (TMG)

Ces notes de publication fournissent des informations et décrivent les problèmes récemment rencontrés concernant Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010 Service Pack 1 (SP1). Il est important que vous lisiez les informations contenues dans ce document avant d'installer Forefront TMG SP1.

Acquisition du Service Pack

Le Service Pack Forefront TMG peut être téléchargé depuis le Centre de téléchargement Microsoft (http://go.microsoft.com/fwlink/?LinkId=193239), et en tant que mise à jour facultative via Microsoft Update.

Fonctions disponibles dans Forefront TMG 2010 SP1

Forefront TMG 2010 SP1 ajoute plusieurs nouvelles fonctions à l'éventail déjà vaste de Forefront TMG 2010. Pour plus d'informations sur ces fonctions, voir Nouveautés de Forefront TMG 2010 (SP1).

Prise en charge de Forefront Unified Access Gateway (UAG)

Il est recommandé d'installer ce Service Pack sur les ordinateurs qui exécutent Forefront UAG. Forefront TMG SP1 a été testé et est entièrement pris en charge sur Forefront UAG. Pour plus d'informations, voir Installing Forefront TMG Service Pack 1 dans la documentation en ligne de Forefront UAG.

Installation de Forefront TMG 2010 SP1

Il est recommandé d'installer le Service Pack dans l'ordre décrit dans Installation de Forefront TMG SP1.

Vous devez être informé des problèmes d'installation et de déploiement suivants avant et après l'installation de Forefront TMG SP1 :

  • Il est recommandé de mettre à niveau tous les serveurs Enterprise Management Server (maître et répliques) et tous les membres d'un groupe avant de configurer les nouvelles fonctions SP1 dans ce groupe.

  • Dans un environnement mixte, dans lequel certains membres de groupe ont été mis à niveau vers SP1 et d'autres non, les serveurs exécutant la version commerciale d'origine de Forefront TMG 2010 (également connus comme serveurs RTM) continuent de fonctionner avec la même stratégie et ne reçoivent pas les mises à jour de stratégie. Notez qu'en outre, les serveurs RTM :

    • traitent et consignent le trafic comme d'ordinaire ;

    • produisent des données pour des rapports ;

    • peuvent être surveillés à partir de la console de gestion d'un membre de groupe SP1, d'un serveur EMS (Enterprise Management Server) SP1 ou via l'administration à distance SP1 ;

    • n'affichent pas les groupes ou les membres de groupe mis à niveau dans la console de gestion.

  • Dans la plupart des cas, vous n'êtes pas obligé de redémarrer l'ordinateur après une mise à niveau.

  • Si vous vous connectez à une base de données SQL distante, vous devez migrer la base de données de journaux vers le nouveau schéma. Pour obtenir des instructions, consultez l'article concernant la mise à niveau d'une base de données SQL distante pour Forefront TMG SP1 sur TechNet Wiki (http://social.technet.microsoft.com/wiki).

  • Le numéro de version pour Forefront TMG SP1 est 7.0.8108.200. Pour vérifier que SP1 a été installé sur un serveur spécifique, dans la console de gestion de Forefront TMG, cliquez sur Aide et sélectionnez À propos de Forefront Threat Management Gateway. Le numéro de version apparaît après Version.

Problèmes connus

Les problèmes suivants concernent la configuration et le fonctionnement de Forefront TMG SP1 :

Alerte BranchCache sous Windows Server 2008 SP2

  • Alerte BranchCache

     

    Problème

    Après l'installation de SP1 sous Windows Server 2008 SP2, l'alerte Échec lors de l'initialisation du cache est enregistrée.

    Cause

    Le service BranchCache (PeerDistSvc) est démarré par défaut après l'installation de SP1, mais BranchCache est uniquement pris en charge sous Windows Server 2008 R2.

    Solution

    Vous pouvez ignorer cette alerte.

Remplacement utilisateur pour les règles de refus

  • Accès à des sites à partir d'applications n'utilisant pas de navigateur

     

    Problème

    Lorsqu'une application n'utilisant pas de navigateur demande l'accès à un site bloqué, l'utilisateur reçoit un message d'erreur comme « Impossible d'ouvrir  » et aucune option permettant de contourner le blocage n'est affichée.

    Cause

    Les applications n'utilisant pas de navigateur ne peuvent pas afficher la page HTML dont l'accès est refusé et l'utilisateur ne peut donc pas cliquer sur le bouton Remplacer la restriction d'accès.

    Solution

    Copiez le lien, collez-le dans la barre d'adresses d'un navigateur et cliquez sur le bouton Remplacer la restriction d'accès.

  • Le remplacement utilisateur ne prend pas en charge la redirection vers un site HTTPS

     

    Problème

    Un utilisateur demande l'accès à un site bloqué et l'option de remplacement utilisateur est affichée. Après un clic sur Remplacer la restriction d'accès, la demande est transmise au site, pour être simplement redirigée vers une page sécurisée (HTTPS). Plutôt que d'accéder au site, l'utilisateur reçoit un message de refus d'accès.

    Cause

    Le remplacement utilisateur ne prend en charge que les sessions HTTP.

    Solution

    Aucune

  • Les domaines à deux lettres ne sont pas pris en charge

     

    Problème

    Lorsque l'utilisateur tente de remplacer la restriction d'accès à une URL avec un nom de domaine à deux lettres, cliquer sur Remplacer la restriction d'accès n'a aucun effet.

    Cause

    Les informations de remplacement utilisateur sont stockées dans un cookie sur l'ordinateur client. Toutefois, pour des raisons de sécurité, Internet Explorer n'autorise pas la définition d'un cookie pour des URL avec des noms de domaine à deux lettres. Il est possible que d'autres navigateurs pratiquent une politique de sécurité similaire.

    Solution

    Voir Internet Explorer ne définit de cookie pour les domaines à deux lettres (http://support.microsoft.com/kb/310676).

  • Remplacement utilisateur avec des substitutions de catégorie d'URL

     

    Problème

    Un utilisateur qui tente d'accéder à une destination Web bloquée via le remplacement utilisateur recevra un message d'erreur dans les cas suivants :

    1. La catégorie d'URL par défaut pour cette destination a été substituée par l'administrateur.

    2. Le modèle d'URL pour la substitution de catégorie d'URL ne se termine pas par une barre oblique finale (/) et par un caractère générique (*).

    Solution

    Indiquez à l'utilisateur d'ajouter une barre oblique finale à la fin de l'adresse Web avant de cliquer sur le bouton Remplacer la restriction d'accès, ou d'ajouter le caractère générique au modèle d'URL avec la substitution de catégorie.

  • Remplacement utilisateur provenant d'utilisateurs non authentifiés

     

    Problème

    Les demandes de remplacement utilisateur émanent d'une seule adresse IP.

    Cause

    Lorsque vous utilisez le chaînage de proxy Web, l'identité de chaque client est connue du serveur en aval, mais n'est pas transmise au serveur en amont. Par conséquent, toutes les demandes d'utilisateurs derrière le serveur en aval partagent la même adresse IP.

    Solution

    Si, pour des raisons de sécurité, vous souhaitez que seuls des utilisateurs authentifiés remplacent les restrictions d'accès, ajoutez une règle qui bloque l'accès aux utilisateurs non authentifiés avant la règle de remplacement utilisateur, ou ajoutez cette adresse IP aux exceptions relatives à la source de la règle de remplacement utilisateur.

Retrait d'un serveur d'un groupe

 

Problème

Après l'installation de SP1, dans certains cas, le retrait d'un serveur d'un groupe échoue et génère une erreur.

Solution

Ce problème peut être résolu en exécutant l'opération de réparation, comme décrit dans la procédure suivante :

  1. Cliquez sur Démarrer, tapez appwiz.cpl et appuyez sur ENTRÉE.

  2. Cliquez avec le bouton droit sur Microsoft Forefront Threat Management Gateway et sélectionnez Désinstaller/Modifier.

  3. Dans l'Assistant Installation de Microsoft Forefront TMG, sélectionnez Réparer, cliquez sur Suivant, puis sur Installer.

Importation d'une configuration RTM sur des groupes à plusieurs serveurs

 

Problème

L'importation d'une configuration de sauvegarde au niveau du groupe pour un groupe à plusieurs serveurs génère une erreur Échec de l'importation.

Cause

Le processus de transformation de la configuration RTM vers SP1 échoue si plusieurs serveurs sont inclus dans le fichier d'exportation.

Solution

La solution consiste à modifier le fichier XML, en supprimant toutes les références aux serveurs multiples. Le fichier modifié ne doit contenir qu'un élément monoserveur.

noteRemarque :
Les informations sur l'objet Serveur ne sont pas nécessaires pour l'importation au niveau du groupe.

  1. Ouvrez le fichier .XML exporté dans le Bloc-notes ou un éditeur similaire. Ce fichier ressemble à ceci :

    <fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC" StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...) <fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server> <fpc4:Server StorageName="{GUID3}" StorageType="1"> (...) </fpc4:Server> </fpc4:Servers> (...)
    
    
    
  2. Dans la section qui commence par <fpc4:Servers StorageName="Servers" StorageType="1">, supprimez toutes les références commençant par <fpc4:Server>, à l'exception d'une seule. Le fichier ressemble désormais à ceci :

    <fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC" StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...) <fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server> </fpc4:Servers> (...)
    
    
    
  3. Enregistrez le fichier et procédez à l'importation.

Installation d'un scénario de groupe de travail

 

Problème

Les rapports d'activité de l'utilisateur sont vides.

Cause

Dans les déploiements de groupe de travail, le serveur de rapports ne peut pas obtenir des informations sur l'activité de l'utilisateur d'autres membres du groupe, car l'instance SQL Server qui génère le rapport s'exécute comme compte Système local et se voit donc refuser l'accès RPC aux autres membres du groupe.

Solution

Le service ISARS SQL Server (MSSQL$ISARS) doit s'exécuter avec un compte d'utilisateur actif disposant de droits d'administration et ce compte d'utilisateur doit être mis en miroir sur tous les membres du groupe. Ce service ne peut se trouver que sur la machine faisant office de serveur de rapports. Procédez comme suit :

  1. Créez un compte d'utilisateur et octroyez-lui des droits d'administration sur toutes les machines du groupe. À partir de l'invite de commande, tapez :

    net user <username> <Password> /add

    net localgroup administrators <username> /add

  2. Configurez le service MSSQL$ISARS sur le serveur de rapports pour qu'il se connecte avec ce compte d'utilisateur. À partir de l'invite de commande, tapez :

    sc config MSSQL$ISARS obj= <reportservername>\<username> password=<Password>

  3. Redémarrez tous les services appropriés. À partir de l'invite de commande, tapez :

    net stop MSSQL$ISARS

    net start MSSQL$ISARS

    net stop ReportServer$ISARS

    net start ReportServer$ISARS

Installation de SP1 sous Forefront Unified Access Gateway (UAG)

 

Problème

Lors de l'installation de Forefront TMG SP1 sous Forefront UAG, l'Assistant Installation indique que des fichiers sont utilisés.

Solution

Vous pouvez cliquez sur Ignorer. Lorsque l'Assistant a terminé, redémarrez l'ordinateur pour terminer l'installation.

Aperçu Web de Microsoft OneNote

  • Publication de Microsoft SharePoint 2010

     

    Problème

    La tentative d'ouverture d'un fichier Microsoft OneNote avec des applications Microsoft Office Web hébergées sous Microsoft SharePoint 2010 entraîne une erreur signalant que le fichier ne peut pas être ouvert.

    Solution

    Attendez une à deux minutes et réessayez d'ouvrir le fichier sur le même ordinateur.

Désinstallation de SP1

  • La désinstallation de SP1 via le Panneau de configuration génère une erreur

     

    Problème

    Si le Contrôle de compte d'utilisateur est activé, une tentative de désinstallation de SP1 via le Panneau de configuration génère une erreur et ne supprime pas le Service Pack.

    Solution

    Pour désinstaller SP1, voir Désinstallation de Forefront TMG SP1.

  • Les rapports d'activité de l'utilisateur restent visibles

     

    Problème

    Après la désinstallation de SP1, les rapports d'activité de l'utilisateur qui avaient été créés alors que SP1 était installé restent visibles dans la liste des rapports disponibles. Il n'est toutefois pas possible de générer ou de consulter l'un de ces rapports.

    Solution

    Aucune.

Mises à jour logicielles SP1

Forefront TMG SP1 inclut des résolutions de bogues publiées après la version commerciale d'origine de Forefront TMG 2010. Le tableau suivant répertorie les numéros de la Base de connaissances Microsoft (KB) qui sont associés avec certaines des résolutions incluses dans Forefront TMG SP1 :

 

Article de la KB

Description

977062

Les conditions de filtrage d'adresse IP du filtre ne fonctionnent pas sous Forefront TMG 2010

977691

L'initialisation de l'application échoue après avoir créé un système Forefront TMG 2010 si l'adresse IP de l'ordinateur n'est pas valide

978092

CORRECTIF : Vous ne pouvez pas importer un fichier XML exporté à partir d'une entreprise qui inclut un serveur Standard Edition Forefront TMG 2010

979249

CORRECTIF : Vous ne pouvez pas activer l'inspection de logiciels malveillants pour une règle d'accès sous Forefront TMG 2010 EMS

979250

CORRECTIF : Vous ne pouvez pas ajouter une adresse de messagerie qui contient des caractères spéciaux à la liste des expéditeurs proscrits dans Forefront TMG 2010

980309

CORRECTIF : Vous ne pouvez pas créer un rapport dans Forefront TMG 2010 après la publication d'un serveur SMTP

980310

Erreur « Équilibrage de charge réseau arrêtée - problème de configuration » lorsque vous essayez d'activer l'équilibrage de charge réseau sur un groupe qui possède plusieurs membres Forefront TMG 2010

980674

Un tunnel de site à site IPsec VPN ou un tunnel de site à site PPTP VPN ne fonctionne pas si vous activez l'équilibrage de charge réseau intégré sur un groupe Forefront TMG 2010

976545

CORRECTIF : Message d'erreur lorsque vous utilisez la tâche Nouveau MoveRequest pour déplacer une boîte aux lettres à partir d'Exchange 2007 vers Exchange 2010 : « Erreur : MapiExceptionNetworkError : impossible d'établir la connexion au serveur. (hr=0x80040115, ec=-2147221227) »

977427

CORRECTIF : Une utilisation élevée du processeur se produit lorsque vous sauvegardez ou exportez des informations de configuration pour ISA Server 2006

976495

CORRECTIF : Vous ne pouvez pas télécharger une pièce jointe à un message à partir du serveur OWA si le serveur OWA est publié à l'aide de ISA Server 2006

978970

CORRECTIF : Vous ne pouvez pas modifier un mot de passe arrivé à expiration dans une application Web intranet qui est publiée à l'aide de l'authentification basée sur les formulaires et de l'authentification LDAP sous ISA Server 2006

980066

CORRECTIF : ISA Server 2006 ne détecte pas une réponse de réinitialisation TCP lorsque vous activez la compression HTTP

982173

CORRECTIF : Lorsque vous tentez d'afficher une autre règle de stratégie dans ISA Server 2006, le délai est long si le tableau contient plusieurs serveurs ISA

981189

CORRECTIF : Un certificat d'utilisateur arrivé à expiration peut se connecter à OWA sous TMG 2010

976495

CORRECTIF : Vous ne pouvez pas télécharger une pièce jointe à un message à partir du serveur OWA si le serveur OWA est publié à l'aide de TMG 2010

979142

CORRECTIF : Le client RSA SecurID ne peut pas se connecter à OWA sous TMG 2010 si le nom d'utilisateur contient une apostrophe

982181

CORRECTIF : TMG 2010 ne reconnaît pas un certificat Autre nom de l'objet sur un système d'exploitation Windows non anglais

980723

CORRECTIF : Proxy transparent : les clients proxy non-CERN demandent une URL, la journalisation TMG affiche l'adresse IP du site Web demandé mais pas l'URL complète

982550

CORRECTIF : Impossible d'accéder aux sites Web qui exigent un certificat client si l'inspection HTTPS est active

982604

CORRECTIF : L'administration à distance de TMG échoue si un objet GPO applique Restrictions pour les clients à distance RPC non authentifiés et Authentification du client mappeur du point de sortie RPC

982820

CORRECTIF : TMG 2010 risque de ne pas générer de rapports s'il est installé dans un environnement avec espace de noms séparé

Parmi les autres résolutions incluses, citons :

  • La publication Web ISA avec délégation KCD ou Négocier génère une demande de ticket Kerberos pour chaque demande

  • Diverses améliorations au niveau de l'encodage chunk pour la publication OWA

  • CORRECTIF : Échec de DsCrackNames avec erreur « Invalid Handle » en cas d'interruption de la connexion à GC

  • CORRECTIF : Blocage dans de rares scénarios de conflit entre le trafic PPTP et GRE

Rubriques connexes

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft