[解決済み] UAG-3219:UAG 3.3 のリレー/エンドポイント構成で HAProxy.conf ファイルに不適切な SNI 規則が設定される

対象バージョン

Unified Access Gateway 3.3

管理番号

UAG-3219

 

現象

Content Gateway をリレー/エンドポイント構成でインストールし、リレー サーバのポートを 443 に、エンドポイント サーバのポートを 443 またはそれ以外に設定している場合、Console から Content Gateway への接続テストに失敗します。これは、UAG 仮想マシン上で、Content Gateway のリレー サーバのポート 443 を内部ポート 10443 にリダイレクトする SNI (Server Name Identification) 規則がアプライアンス エージェントによって HAProxy.conf ファイルに誤って追加されることが原因です。

 

対処方法

この問題に対処するには、HAProxy.conf ファイルを編集して正しい値を設定する必要があります。

シナリオ 1

Content Gateway のリレー サーバとエンドポイント サーバのいずれのポートも 443 に設定している場合は、以下の手順を実行してください。

  1. vSphere クライアントを開き、UAG リレー サーバ仮想マシンに移動します。続いて、コンソールを開き、/opt/vmware/gateway/conf ディレクトリに移動します。
  2. エディタで HAProxy.conf ファイルを開きます (例:$ vi haproxy.conf)。
  3. ファイル中のエンドポイント サーバのホスト名 (endpoint.domain.com など) を検索し、リレー サーバのホスト名 (relay.domain.com など) に置き換えます。
  4. ファイルを保存し、エディタを終了します。
  5. コマンド「$ systemctl reload haproxy.service」を実行して HAProxy.conf ファイルを読み込み直します。

シナリオ 2

Content Gateway のリレー サーバのポートを 443 に、エンドポイント サーバのポートを 443 以外に設定している場合は、以下の手順を実行してください。

  1. vSphere クライアントを開き、UAG リレー サーバ仮想マシンに移動します。続いて、コンソールを開き、/opt/vmware/gateway/conf ディレクトリに移動します。
  2. エディタで HAProxy.conf ファイルを開きます (例:$ vi haproxy.conf)。

  3. HAProxy.conf ファイルに、次のスクリーンショットの赤枠で囲まれた部分を追加し、その中の「RELAYHOSTNAME」を実際のリレー サーバ ホスト名に置き換えます。
    注:各行のインデントはこのスクリーンショットと同じにしてください。インデントが正しくないとファイルの読み込みができません。 

    例:リレー サーバのホスト名は、relay.domain.com などのような完全修飾ドメイン名 (FQDN) である必要があります。
    Picture1.png
  4. ファイルを保存し、エディタを終了します。
  5. コマンド「$ systemctl reload haproxy.service」を実行して HAProxy.conf ファイルを読み込み直します。

 

修正バージョン

VMware での検証の結果、この問題は Unified Access Gateway (UAG) バージョン 3.3.1 で解決済みです。

Other Languages: English

免責事項:これは英文の記事「[Resolved] UAG-3219: Server Name Identification (SNI) rule in HA proxy file is incorrect for Relay-Endpoint configurations in UAG 3.3」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

2 Comments

Article is closed for comments.