Forefront TMG 2010 SP1 版本資訊

發佈時間: 2010年6月

適用於: Forefront Threat Management Gateway (TMG)

下列版本資訊將說明 Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010 Service Pack 1 (SP1) 的相關資訊及最新問題。 在您安裝 Forefront TMG SP1 之前,請務必閱讀本文件包含的資訊。

取得 Service Pack

您可以從 Microsoft 下載中心 (http://go.microsoft.com/fwlink/?LinkId=193239) 下載,也可以選擇是否要經由 Microsoft Update 更新 Forefront TMG Service Pack。

Forefront TMG 2010 SP1 的功能

Forefront TMG 2010 SP1 在原本就穩定的 Forefront TMG 2010 諸多功能中,又加入了幾項新功能。 如需這些功能的詳細資訊,請參閱 Forefront TMG 2010 SP1 的最新內容

Forefront Unified Access Gateway (UAG) 的支援

建議您在執行 Forefront UAG 的電腦上安裝此 Service Pack。 Forefront TMG SP1 已經過測試,Forefront UAG 可以完整支援。 如需詳細資訊,請參閱 Forefront UAG 線上文件中的Installing Forefront TMG Service Pack 1

安裝 Forefront TMG 2010 SP1

建議您依照安裝 Forefront TMG SP1 中描述的順序安裝 Service Pack。

安裝 Forefront TMG SP1 前後,您都必須留意下列安裝和部署問題:

  • 建議您先升級所有企業管理伺服器 (主要和複本) 以及陣列的所有陣列成員,然後再於陣列中設定新的 SP1 功能。

  • 在混合環境 (某些陣列成員已升級為 SP1 而其他成員則還沒) 中,執行 Forefront TMG 2010 原始發行版本的伺服器 (亦即 RTM 伺服器) 會繼續與相同的原則搭配執行,並且不會接收原則更新。 請注意,RTM 伺服器也會:

    • 正常處理和記錄流量。

    • 產生報告用的資料。

    • 您可以從 SP1 陣列成員的 [管理] 主控台、SP1 企業管理伺服器或經由 SP1 遠端管理監視 RTM 伺服器。

    • 不會在 [管理] 主控台中顯示已升級的陣列或陣列成員。

  • 在多數情況下,您不必在更新之後重新啟動電腦。

  • 如果您要登入 SQL 資料庫,必須將記錄資料庫移轉至新的結構描述。 如需指示,請參閱 TechNet Wiki (http://social.technet.microsoft.com/wiki) 上的<針對 Forefront TMG SP1 升級遠端 SQL 資料庫>(英文)。

  • Forefront TMG SP1 的組建編號是 7.0.8108.200。 若要確認特定伺服器上是否已經安裝 SP1,請按一下 [Forefront TMG 管理] 主控台中的 [說明],然後選取 [關於 Forefront Threat Management Gateway]。 組建編號會顯示在 [版本] 後方。

已知問題

下列問題與 Forefront TMG SP1 的設定和作業有關:

Windows Server 2008 SP2 上的 BranchCache 警示

  • BranchCache 警告

     

    問題

    在 Windows Server 2008 SP2 上安裝 SP1 之後,便會註冊 [BranchCache 初始化失敗] 警示。

    原因

    根據預設,安裝 SP1 之後便會啟動 BranchCache 服務 (PeerDistSvc),但是只有 Windows Server 2008 R2 才支援 BranchCache。

    解決方法

    您就可以安心忽略這個警示。

拒絕規則使用者覆寫

  • 透過非瀏覽器的應用程式存取網站

     

    問題

    當使用者要求透過非瀏覽器的應用程式存取遭到封鎖的網站時,會收到「無法開啟 www.contoso.com」這類錯誤訊息,而且沒有顯示任何選項可覆寫這種封鎖情況。

    原因

    非瀏覽器的應用程式無法存取遭到拒絕的 HTML 網頁,因此使用者無法按一下 [覆寫存取限制] 按鈕。

    解決方法

    複製連結,然後在瀏覽器的網址列貼上連結,再按一下 [覆寫存取限制]

  • 使用者覆寫不支援重新導向至 HTTPS 網站

     

    問題

    使用者要求存取遭到封鎖的網站,並且顯示使用者覆寫選項。 按一下 [覆寫存取限制] 之後,要求隨即傳送至該網站,並且僅會重新導向至安全的 (HTTPS) 網頁。 接著,使用者便收到存取遭拒絕的訊息,而無法存取該網站。

    原因

    使用者覆寫僅支援 HTTP 工作階段。

    解決方法

  • 不支援兩個字母的網域

     

    問題

    嘗試覆寫網域名稱為兩個字母之 URL 的存取限制時,按一下 [覆寫存取限制] 沒有作用。

    原因

    使用者覆寫資訊是儲存在用戶端電腦的 Cookie 中, 但是為了安全起見,Internet Explorer 不允許針對網域名稱為兩個字母的 URL 設定 Cookie。 其他瀏覽器也可能有類似的適當安全性設定。

    解決方法

    請參閱 Internet Explorer 不會針對兩個字母的網域設定 Cookie (http://support.microsoft.com/kb/310676) (英文)。

  • 使用者覆寫與 URL 類別覆寫

     

    問題

    當使用者嘗試透過使用者覆寫存取遭到封鎖的網站目的地時,如果下列條件成立,就會發生錯誤:

    1. 此目的地的預設 URL 類別已遭系統管理員覆寫。

    2. URL 類別覆寫的 URL 模式並非以結束關閉的斜線標記 (/) 和萬用字元 (*) 做為結尾。

    解決方法

    引導使用者在按一下 [覆寫存取限制] 按鈕之前,於網址加上結束關閉的斜線標記,或是在 URL 類別覆寫的 URL 模式加上萬用字元。

  • 來自未驗證之使用者的使用者覆寫

     

    問題

    使用者覆寫要求看似只從單一 IP 位址發出。

    原因

    使用網頁 Proxy 鏈結時,下游伺服器會知道每個用戶端的身分識別,但是不會傳播到上游伺服器。 因此,所有來自下游伺服器後方的使用者要求,都會共用相同的 IP 位址。

    解決方法

    為了安全起見,如果您希望只允許經過驗證的使用者覆寫存取限制,請在使用者覆寫規則之前加入一條規則,封鎖未驗證使用者的存取權限,或是將此 IP 位址加入使用者覆寫規則的來源例外。

從陣列退出伺服器

 

問題

安裝 SP1 之後,在某些情況下,從陣列退出伺服器會因為錯誤而失敗。

解決方法

此問題可以透過執行 [修復] 作業來解決,如下列程序所述:

  1. 按一下 [開始],然後輸入 appwiz.cpl 並按下 ENTER。

  2. 以滑鼠右鍵按一下 [Microsoft Forefront Threat Management Gateway],然後選取 [解除安裝/變更]

  3. 選取 [Microsoft Forefront TMG 安裝] 精靈中的 [修復],然後按 [下一步],再按一下 [安裝]

在多重伺服器陣列上匯入 RTM 設定

 

問題

如果為多重伺服器陣列匯入陣列層級的備份設定,則會造成 [匯入失敗] 錯誤。

原因

匯出的檔案中包含超過一個伺服器時,RTM 設定轉換至 SP1 的程序就會失敗。

解決方法

解決方式是編輯 XML 檔案,以移除多個伺服器的所有參照。 編輯後的檔案必須只包含一個伺服器項目。

note附註:
使用陣列層級匯入時,不需要伺服器物件資訊。

  1. 在 [記事本] 或類似編輯器中開啟匯出的 .XML 檔案。 它看起來應該如下所示:

    <fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC" StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...) <fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server> <fpc4:Server StorageName="{GUID3}" StorageType="1"> (...) </fpc4:Server> </fpc4:Servers> (...)
    
    
    
  2. 在從 <fpc4:Servers StorageName="Servers" StorageType="1"> 開始的區段中,移除所有開頭為 <fpc4:Server> 的參照,只保留一個參照就好。 檔案看起來應該如下所示:

    <fpc4:Root xmlns:fpc4="http://schemas.microsoft.com/isa/config-4" xmlns:dt="urn:schemas-microsoft-com:datatypes" StorageName="FPC" StorageType="0"> (...) <fpc4:Arrays StorageName="Arrays" StorageType="0"> <fpc4:Array StorageName="{GUID1}" StorageType="1"> (...) <fpc4:Servers StorageName="Servers" StorageType="1"> <fpc4:Server StorageName="{GUID2}" StorageType="1"> (...) </fpc4:Server> </fpc4:Servers> (...)
    
    
    
  3. 儲存檔案並匯入。

在工作群組實例中安裝

 

問題

使用者活動報告呈現空白。

原因

在工作群組部署中,「報告伺服器」無法從陣列的其他成員收集使用者活動資訊,因為產生報告的 SQL Server 執行個體是以「本機系統」帳戶的身分執行,因此在 RPC 存取其他陣列成員時會遭拒絕。

解決方法

ISARS SQL Server 服務 (MSSQL$ISARS) 必須以具備系統管理權限的實際使用者帳戶來執行,而且所有陣列成員中都必須要有此使用者帳戶的鏡像帳戶。 只有做為「報告伺服器」使用的電腦上才有此服務。 請執行下列步驟:

  1. 建立新的使用者帳戶,並且在陣列中的所有電腦上都授與此帳戶系統管理權限。 在命令提示字元輸入:

    net user <username> <Password> /add

    net localgroup administrators <username> /add

  2. 設定「報告伺服器」上的 MSSQL$ISARS 服務,以此使用者帳戶登入。 在命令提示字元輸入:

    sc config MSSQL$ISARS obj= <reportservername>\<username> password=<Password>

  3. 重新啟動所有相關服務。 在命令提示字元輸入:

    net stop MSSQL$ISARS

    net start MSSQL$ISARS

    net stop ReportServer$ISARS

    net start ReportServer$ISARS

在 Forefront Unified Access Gateway (UAG) 上安裝 SP1

 

問題

在 Forefront UAG 上安裝 Forefront TMG SP1 時,[安裝] 精靈指出有 [使用中的檔案]

解決方法

您可以放心地按一下 [忽略]。 當精靈完成安裝時,請重新啟動電腦以完成安裝。

Microsoft OneNote Web 預覽

  • 發行 Microsoft SharePoint 2010

     

    問題

    嘗試使用 Microsoft SharePoint 2010 上裝載的 Microsoft Office Web Apps 開啟 Microsoft OneNote 檔案時,會出現錯誤,指出無法開啟檔案。

    解決方法

    請等待一到兩分鐘,然後再從相同的電腦開啟該檔案。

解除安裝 SP1

  • 經由 [控制台] 解除安裝 SP1 會發生錯誤

     

    問題

    如果已啟用 [使用者帳戶控制],則嘗試經由 [控制台] 解除安裝 SP1 會發生錯誤,而且並不會移除 Service Pack。

    解決方法

    若要解除安裝 SP1,請參閱解除安裝 Forefront TMG SP1

  • 使用者活動報告持續為可見狀態

     

    問題

    解除安裝 SP1 之後,在安裝 SP1 期間建立的使用者活動報告仍然出現在可用報告清單中。 嘗試產生或檢視其中一份報告時,並不會成功。

    解決方法

    無。

SP1 軟體更新

Forefront TMG SP1 包含 Forefront TMG 2010 原始版本發行之後發行的錯誤修正。下表顯示與 Forefront TMG SP1 中的修正有關的 Microsoft 知識庫 (KB) 文件編號:

 

知識庫文件

描述

977062

在 Forefront TMG 2010 中,篩選器的 IP 篩選條件沒有作用

977691

如果電腦沒有有效的 IP 位址,則在您建置 Forefront TMG 2010 設備之後,應用程式初始化將失敗

978092

FIX: 如果企業包含 Forefront TMG 2010 Standard Edition 伺服器,您便無法匯入從該企業匯出的 XML 檔案

979249

FIX: 在 Forefront TMG 2010 EMS 中,您無法為存取規則啟用惡意程式碼檢查

979250

FIX: 在 Forefront TMG 2010 中,您無法將包含特殊字元的電子郵件地址加入至封鎖寄件者清單

980309

FIX: 發行 SMTP 伺服器之後,您無法在 Forefront TMG 2010 中建立報告

980310

當您嘗試在包含多個 Forefront TMG 2010 成員的陣列上啟用 NLB 時,發生「NLB 停止 - 設定失敗」錯誤

980674

如果您在 Forefront TMG 2010 陣列上啟用整合的 NLB,IPsec VPN 網站間通道或 PPTP VPN 網站間通道便沒有作用

976545

FIX: 當您使用 New-MoveRequest 工作,將信箱從 Exchange 2007 移至 Exchange 2010 時,出現錯誤訊息: 「錯誤: MapiExceptionNetworkError: 無法建立伺服器的連線。 (hr=0x80040115, ec=-2147221227)」

977427

FIX: 當您備份或匯出 ISA Server 2006 的設定資訊時,發生高 CPU 使用率的情況

976495

FIX: 如果是使用 ISA Server 2006 發行 OWA 伺服器,則無法從 OWA 伺服器下載郵件的附件

978970

FIX: 在 ISA Server 2006 中,您無法在使用表單型驗證和 LDAP 驗證發行的內部網路網頁應用程式中變更過期的密碼

980066

FIX: 當您啟用 HTTP 壓縮時,ISA Server 2006 並未偵測到 TCP 重設回應

982173

FIX: 在 ISA Server 2006 中,如果陣列包含多個 ISA 伺服器,則當您嘗試檢視其他準則規則時,會發生長時間延遲的情形

981189

FIX: 在 TMG 2010 中,過期的使用者憑證可以登入 OWA

976495

FIX: 如果是使用 TMG 2010 發行 OWA 伺服器,則無法從 OWA 伺服器下載郵件的附件

979142

FIX: 在 TMG 2010 中,如果使用者名稱包含單引號,RSA SecurID 用戶端便無法登入 OWA

982181

FIX: TMG 2010 無法識別非英文 Windows 作業系統上的主體別名

980723

FIX: Transparent Proxy:非 CERN 的 Proxy 用戶端針對 URL 提出要求時,您在 TMG 記錄中會看見所要求網站的 IP 位址,而非整個 URL

982550

FIX: 如果已啟用 HTTPS 檢查,則無法存取需要用戶端憑證的網站

982604

FIX: 如果 GPO 強制實施未經驗證的 RPC 用戶端限制和 RPC 端點對應程式用戶端驗證,TMG 的遠端管理會失敗

982820

FIX: 如果 TMG 2010 是安裝在分離的名稱空間環境中,則在產生報告時會失敗

其他內含的修正如下:

  • 搭配 KCD 或交涉委派進行 ISA 網頁發行時,會針對每一個要求產生 Kerberos 票證要求

  • 針對 OWA 發行改善了各種區塊編碼方式

  • FIX: 如果 GC 的連線中斷,DsCrackNames 會失敗並顯示「無效的控制代碼」錯誤

  • FIX: 在 PPTP 和 GRE 流量之間有少數衝突案例會造成當機

相關主題

顯示: