Im Implementieren einer Software, wo ich Daten lesen und schreiben in Modbus RTU Protokollo über seriell. Dazu muss ich die beiden CRC-Byte am Ende der Zeichenfolge von Bytes zu berechnen, aber Im nicht unfähig, dies zu tun. Suche im gesamten Web, fand ich zwei Funktionen, die den CRC korrekt zu berechnen scheint: Das Problem ist, dass Im soll zwei Hex-Bytes als CRC-Nummern erhalten, während diese Funktionen einen Integer-Wert zurückgibt. Zum Beispiel, für 01 (1 Byte), sollte ich eine 7E80 erhalten, während ich 21695 zu bekommen, und Im kann nicht eine Art von Umwandlung von diesem zu, dass Hex-Daten zu tun. Meine Frage ist also: wie gehe ich von der Integer-Ergebnis, um die Doppel-Hex-Ergebnis benötigt Ich versuchte ein paar Optionen, ohne Erfolg. Im froh für jede mögliche Hilfe, Anmerkung: Im using Qt, also, wenn man eine Lösung finden könnte, die QByteArray oder einen anderen Qt freundlichen Code implementiert, ist Kranke froh. So oder so eine Lösung nicht mit Qt, C oder C ist nutzlos: P Danke für die schnelle Antwort. Nun, nicht zu vergessen die Notwendigkeit eines (BYTE) vor data. constData () in der CRC16-Funktion, sind Sie positiv diese Funktion von Ihnen arbeitet. P Ich habe versucht, es zu testen, ein Excel-Blatt von SimplyModbus. ca und ich couldn39t die CRC-Werte übereinstimmen (Hinweis: Kommissionierung der resultierenden QByteArray und zeigt in der qdebug () wie Hex ()). Ich bin froh, wenn Sie es versuchen durch youserlf :) ndash Momergil Momergil: Die CRC musste über den gesamten Rahmen berechnet werden. Ich habe den Code bearbeitet, um das zu beheben. Dies zeigt, dass Sie nicht versuchen, Code verwenden Sie don39t verstehen in der industriellen Automatisierung Einstellungen. Ich hoffe, niemand wird getötet. Ndash Kuba Ober 13.10.2008 um 19:13 Momergil: Du hast die Funktion benutzt, es ist nicht mein Job, es für dich zu überprüfen. Sie können es selbst tun. Ähnlich ist der Datenparameter die MODBUS-Nutzinformation, die Registernummer und was nicht hat. Sie müssen in der Lage sein, diesen Code zu verstehen und zu modifizieren, wie Sie es für richtig halten. Es ist ein Ausgangspunkt, nicht eine fertige Lösung. SO ist nicht für freies Outsourcing. ndash Kuba Ober 4. November 13 bei 1:......... 27mbdecodenumericentity beispiel 1 convmap Beispiel ltphp convmap Array (int startcode1 int endcode1 int offset1 int mask1, int startcode2 int endcode2 int offset2 int mask2, int startcodeN int endcodeN int OffsetN. Int maskN) // Unicode-Wert für startcodeN und endcodeN angeben // OffsetN zum Wert hinzufügen und bitweise AND mit maskN, // dann Wert in numerische Stringreferenz umwandeln. Gt Beispiel 2 convmap example escapes JavaScript-Zeichenfolge ltphp-Funktion escapejavascriptstring (str) map 1. 1. 1. 1. 1. 1. 1. 1. 1. 1, 1. 1. 1. 1. 1. 1. 1. 1 1. 1, 1. 1. 1. 1. 1. 1. 1. 1. 1., 1. 1. 1. 1. 1. 1. 1. 1. 1. 1, 1. 1. 1 1. 1. 1. 1. 1. 0. 0. // 49 0. 0. 0. 0. 0. 0. 0. 0. 1. 1, 1. 1. 1. 1. 1. 0. 0. 0. 0, 0. 0. 0. 0. 0. 0. 0. 0. 0, 0. 0. 0. 0. 0. 0. 0. 0. 0. 0, 0. 1. 1. 1. 1. 1. 1. 0. 0. 0. // 99 0. 0. 0. 0. 0. 0. 0. 0. 0, 0. 0. 0. 0. 0 0. 0. 0. 0. 0, 0. 0. 0. 1. 1. 1. 1. 1. 1. 1, 1. 1. 1. 1. 1. 1. 1. 1. 1. 1 , 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. // 149 1. 1. 1. 1. 1. 1. 1. 1. 1. 1, 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1, 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. // 199 1. 1. 1. 1. 1. 1. 1. 1. 1. 1, 1. (1) 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 1 1. 1. 1, 1. 1. 1. 1. 1. 1. 1. 1. 1. 1. 249 1. 1. 1. 1. 1. 1. 1. // 255 // Char Kodierung ist UTF-8 mblen mbstrlen (str. UTF-8) utf32 bin2hex (mbconvertencoding (str. UTF-32. UTF-8)) für (i 0. codierte i lt mblen i) u substr (utf32.i 8. 8) v baseconvert (u. 16. 10), wenn (v lt 256 ampamp map v) codiert ist. X. Substr (u. 6.2), wenn (v2028) codiert wird. U2028 sonst, wenn (v 2029) codiert. U2029 sonst codiert. Mbconvertencoding (hex2bin (u), UTF-8. UTF-32) return codiert // Testdaten convmap 0x0. 0xffff. 0. 0xffff msg für (i 0 i lt 1000 i) // chr () kann keine korrekten UTF-8-Daten größer als 128 erzeugen, verwenden Sie mbdecodenumericentity (). Msg. mbdecodenumericentity (.... amp i convmap UTF-8) // vardump (msg) vardump (escapejavascriptstring (msg)) Siehe auch Manuelle Einheit gt utf8 Konvertierung: ltphp // parsen Einheiten roh pregreplacecallback (/ A (d) / u. pcreEntityToUtf. raw) Funktion pcreEntityToUtf (Ursachen) char intval (IsArray (Ursachen). Spiele 1. Spiele) if (char lt 0x80) // Einfügen von Steuerzeichen zu verhindern, wenn (char gt 0x20) return htmlspecialchars (chr (char)) Sonst return amp char else if (char lt 0x8000) Rückgabe chr (0xc0 (0x1f amp (char gtgt 6))). Chr (0x80 (0x3f amp char)) sonst return chr (0xe0 (0x0f amp (char gtgt 12))). Chr (0 × 80 (0 × 3 f amp (char gtgt 6))). Chr (0x80 (0x3f amp char)) gt Mit der Funktion utf8decode erhalten Sie ein Problem mit allen erweiterten Zeichen über ISO-8859-1 Zeichensatz. Sie können dieses Problem lösen, indem sie die Funktion mbencodenumericentity Verwendung vor: // Text von UTF-8 in ISO-8859-1 convmap Array (0xFF, 0x2FFFF, 0, 0xFFFF) Text mbencodenumericentity (Text, convmap, UTF-8) Text utf8decode konvertieren (Text) Die zweite Zeile kodiert alle erweiterten Zeichen unter 0xFF, die dritte Zeile konvertiert den Rest: 0x80 - 0xFFHow zur Unterstützung von nicht SNI-fähigen Clients mit Web Application Proxy und AD FS 2012 R2 Willkommen zurück alle. In diesem Blog würden sich auf SNI, die ein Bereich sah eine Reihe von Fragen auf so wollte ein bisschen Zeit erklären. Server-Name-Indication (SNI) ist ein Feature von SSL TLS und sowohl Web Application Proxy als auch AD FS 2012 R2 verwenden es, um eine einfachere Implementierung zu ermöglichen und Netzwerk-Voraussetzungen zu entfernen. Einige Client-Anwendungen unterstützen SNI nicht, aber es gibt eine einfache Möglichkeit, Workaround dies mit einem Fallback-Zertifikat. In diesem Blog werden wir erklären, was SNI ist, wie es funktioniert und was zu tun ist, wenn Sie nicht SNI-fähige Clients haben. Was ist dieses SNI, von dem Sie sprechen SNI ist eine Erweiterung des TLS-SSL-Protokolls, das dem Client erlaubt, den Hostnamen, mit dem der Client eine Verbindung herstellt, in den SSL-Client einzufügen Hallo. Ein Server kann dann mit dem SNI-Header bestimmen, welches Zertifikat dem Client zugewiesen werden soll. Ein wichtiger Vorteil von SNI ist, dass ein Server mehrere Zertifikate auf dem gleichen IP / Port-Paar statt stattdessen eine IP pro Zertifikat Host (vorausgesetzt, Sie verwenden Port 443) Host ist. SNI verlässt sich auf den Client, der SNI unterstützt und die Server-Namenserweiterung im SSL-Client Hallo sendet. Wenn der SSL-Client Hallo nicht den SNI-Header enthält, dann kann http. sys nicht feststellen, welches Zertifikat zu bedienen ist und wird die Verbindung zurücksetzen. Während die meisten Kunden SNI unterstützen, können Sie auf nicht SNI-fähige Clients stoßen, für die Sie Unterstützung benötigen. Einige Nicht-SNI-Clients, die wir gesehen haben, beinhalten: - 8211 ältere Browser-Versionen oder ältere Betriebssysteme (Internet Explorer unter Windows XP, Mozilla vor v2.0, Safari vor v3.0 Mac OS X 10.5.6 usw.) Einige ältere Versionen von WebDAV 8211 ActiveSync für Android 8211 Internet angeschlossenen Geräte) 8211 ohne den letzten OS / TLS-Updates (VOIP Konferenzgeräte, Proxy-Geräte, etc.) Wir haben auch SNI verwandte Themen mit verschiedenen Hardware Load Balancers Gesundheits-Check-Anfragen gesehen nicht das Senden SNI-Header, obwohl dies oft darauf zurückzuführen ist, dass die notwendige Konfiguration nicht eingerichtet wurde. Gut abdecken Hardware Load Balancer Gesundheit Prüfung Anforderungen und andere Überlegungen in mehr Details in einem kommenden Blog. Wenn Sie die vollständigen technischen Daten auf SNI möchten, können Sie die entsprechende RFC 8211 tools. ietf. org/html/rfc3546section-3.1 lesen Wie kann man sagen, wenn der Kunde eine SNI-Header sendet Wenn Sie eine Anwendung vermuten Verbindungsprobleme durch Web-Anwendung ist mit Proxy oder einem AD FS 2012 R2 Server eine Netzwerkmonitorverfolgung des Traffics auf dem Client oder auf dem Web Application Proxy / AD FS ist eine gute Möglichkeit, festzustellen, ob ein SNI-Header gesendet wird, und wenn Sie einen RESET erhalten Zurück. Das folgende ist ein SSL-Client, der von einer Netzwerkmonitor-Spur mit dem Server-Name (SNI) - Header, der im Client SSL vorhanden ist, Hallo: - 8211 TLS: TLS Rec Layer-1 HandShake: Client Hallo. SSLHandshake: SSL HandShake ClientHello (0x01) HandShakeType: ClientHello (0x01) Länge: 857 (0x359) 8211 ClientHello: TLS 1.2 ist ein eingetragenes Warenzeichen der TLS RecServer Version: TLS 1.2 RandomBytes: SessionIDLength: 32 (0x20) SessionID: Binary Large Object (32 Bytes) CipherSuitesLength: 52 TLSCipherSuites: TLSECDHERSAWITHAES256CBCSHA384 821282128211Cipher Suites trimmed8212821282128211 TLSCipherSuites: TLSRSAWITHRC4128MD5 CompressionMethodsLength: 1 (0x1) CompressionMethods: 0 (0x0) ExtensionsLength: 732 (0x2DC (0x0000) ExtensionLength: 21 (0x15) NameListLength: 19 (0x13) NameType: Hostname (0) NameLength: 16 (0x10) Servername (0x0000) ErweiterungType: Servername (0x0000) (0x000B) ClientHelloExtension: Signaturalgorithmen (0x000D) ClientHelloExtension: SessionTicket TLS (0x0023) Wenn der Client SNI unterstützt, dann ist alles gut und Die Standard-Webanwendung Proxy und AD FS Server 2012 R2 Zertifikat-Bindungen in Ordnung. Wenn der Client nicht sendet einen SNI-Header in seinem SSL-Client Hallo dann http. sys sendet ein TCP-Reset auf die Verbindung. Im Folgenden sehen Sie den Netzwerkverkehr, den Sie sehen würden, wenn dies der Fall ist: - Unterstützung von nicht SNI-fähigen Clients Wie oben erwähnt, wenn Sie Verbindungsprobleme von einer bestimmten Clientanwendung haben und vermuten, dass der Client möglicherweise nicht SNI-fähig ist, Netzwerkmonitorverfolgung auf Ihrem Webanwendungsproxy / AD FS 2012 R2-Server, während der Client versucht, eine Verbindung herzustellen, zeigt an, ob der Client einen SNI-Header im SSL-Client Hallo sendet. Wenn Sie feststellen, dass Sie Probleme mit nicht-SNI-fähigen Clients haben Sie ein paar verschiedene Optionen: 8211 Nichts tun. Es kann sein, dass Sie eine bewusste Entscheidung treffen, diesen Browser / das Betriebssystem / den Client nicht zu unterstützen, und eine gültige Entscheidung ist, keine Nicht-SNI-Clients zu unterstützen. 8211 Aktualisieren Sie den Client auf eine SNI-fähige Version. Dies kann der Browser, das Betriebssystem, die Geräte-Firmware usw. sein. Ein Upgrade sollte, wenn möglich, berücksichtigt werden. 8211 Aktivieren / Konfigurieren der SNI-Unterstützung auf dem Client. Einige Clients wie Hardware-Lastausgleicher-Gesundheitschecks unterstützen SNI, aber manchmal ist sie standardmäßig deaktiviert. 8211 Konfigurieren eines Fallback-Zertifikats in http. sys siehe nächsten Abschnitt Konfigurieren eines http. sys-Fallback-Zertifikats Unsere aktuelle Empfehlung, wenn Sie nicht SNI-fähige Clients unterstützen müssen, besteht darin, eine manuelle http. sys-Zertifikat-Bindung für 0.0.0.0:443 hinzuzufügen Folgendes Kommando: - netsh http add sslcert ipport0.0.0.0: 443 certhash certthumprint appid applicationguid Dies konfiguriert http. sys mit einer IP-Wildcard-Zertifikatsbindung, die als Fallback-Zertifikat verwendet wird. Dies müsste auf jedem Server in einer Farm ausgeführt werden. Wenn Sie den Befehl netsh http add sslcert ausführen, wäre der certhash Parameter das Zertifikat thumbprint für das Zertifikat, das Sie als Fallback-Zertifikat verwenden möchten. Weitere Informationen finden Sie im Abschnitt Ermitteln eines Zertifikats-Fingerabdrucks. Der appid-Parameter ist die GUID der Anwendung, die die Bindung erstellt hat, aber auch manuell festgelegt werden kann. Im Folgenden sind die 2 Anwendungs-IDs für Web Application Proxy und die AD FS-Dienst und mit einem dieser wäre gut: - Der Befehl, den Sie ausführen würde daher etwa so aussehen: - netsh http add sslcert ipport0.0.0.0: 443 Certhash3638de9b03a488341dfe32fc3ae5c480ee687793 appid Überlegungen zum Fallback-Zertifikat Da Sie nur ein einzelnes Zertifikat als Fallback-Zertifikat konfigurieren können, ist es wichtig, dass das von Ihnen verwendete Zertifikat alle FQDNs umfasst, die Sie für die SNI-Fallback-Unterstützung benötigen: - 8211 AD FS-Dienst FQDN zB Adfs. contoso 8211 Unternehmensregistrierung (Workplace Join) FQDNs z. Enterpriseregistration. contoso 8211 Jede Web Application Proxy veröffentlichte Anwendung Externe FQDNs z. Sharepoint. contoso Es wird entweder ein Subject Alternate Name-Zertifikat oder ein Wildcard-Zertifikat unterstützt. Ein Wildcard-Zertifikat kann größere Flexibilität beim Hinzufügen weiterer veröffentlichter Anwendungen in der Zukunft bieten. Hinweis 8211, während mit einem Fallback-Zertifikat wird sicherlich erforderlich sein, um einige Clients und Szenarien zu unterstützen, beachten Sie bitte, dass dies eine manuelle Bindung, die Sie haben zu müssen, zu warten und zu aktualisieren auf jedem Knoten als Zertifikate ablaufen und ersetzt werden . Kann ich eine IP-spezifische Fallback-Bindung Die einfache (und empfohlene) Antwort darauf ist Nein. Wie auch immer, die Realität ist ein bisschen komplizierter. Mit http. sys können Sie IP-spezifische Bindungen konfigurieren, z. 1.2.3.4.444, aber Sie müssen sehr vorsichtig sein, diese Route als http. sys in Windows zu starten. R2 verwendet die folgende Rangfolge bei der Bestimmung, welches Zertifikat zu bedienen ist: - IP-Wildcard-Übereinstimmung (Verbindung kann IPv4 oder IPv6 sein) Wenn eine IP-Port-Bindung konfiguriert ist, hat die IP-spezifische Bindung entsprechend der obigen Prioritätsreihenfolge Vorrang vor allen anderen Bindungen, so dass jeder SSL-Datenverkehr zu dieser IP-Adresse das in der IP-Port-Bindung angegebene Zertifikat erhält. Wichtig: Eine IP-spezifische Bindung ist daher kein Fallback-Zertifikat, sondern das exklusive Zertifikat für die angegebene IP-Adresse und hat Vorrang vor SNI-Bindungen. Dies kann daher jeden Verkehr, der auf den SNI-Bindungen beruht, brechen und insbesondere die Zertifizierungs-Trust-Liste, die von AD FS 2012 R2 verwendet wird, brechen, wie dies in der AD FS SSL Service-Zertifikat-Bindung definiert ist. Unser Rat, wenn Sie eine IP-spezifische Bindung verwenden müssen, ist wie folgt: 8211 Verwenden Sie keine IP-spezifische Bindung für die primäre IP-Adresse von Web Application Proxy oder AD FS 2012 R2. Die primäre IP-Adresse sollte für die Mehrheit des Datenverkehrs und die Verwendung von SNI 8211 verwendet werden. Falls erforderlich, konfigurieren Sie ein Fallback-Zertifikat auf 0.0.0.0443 mit einem Zertifikat, das Ihren AD FS-Dienst FQDN, EnterpriseRegistration FQDNs und andere Web Application Proxy veröffentlichte Anwendung External abdeckt FQDNs mit einem Subject Alternate Name oder Wildcard-Zertifikat 8211 Wenn Sie für ein bestimmtes FQDN ein anderes Zertifikat verwenden müssen, fügen Sie dem Web Application Proxy-Server eine zweite IP-Adresse hinzu und verwenden eine IP-spezifische Zertifikatsbindung für diese sekundäre IP. Diese Zertifikatsbindung wird dann ausschließlich für den gesamten Verkehr auf diese IP verwendet, ohne den Verkehr auf die primäre IP-Adresse und die SNI-Bindungen zu beeinträchtigen. Fügen Sie für jedes zusätzliche Zertifikat eine zusätzliche IP-Adresse hinzu und binden Sie das Zertifikat dazu. Sie müssen dann nur sicherstellen, dass Ihre eingehenden Datenverkehr für den entsprechenden Dienst FQDN an diese sekundäre IP-Adresse entweder durch DNS-Auflösung oder Load-Balancer / Firewall-Konfiguration gesendet wird. Anmerkung: Von einer AD FS 2012 R2 Perspektive würden wir nicht erwarten, dass eine IP-spezifische Bindung benötigt wird, da Sie Ihr AD FS SSL Service-Zertifikat nur als 0.0.0.0444 Fallback-Zertifikat konfigurieren können. Unsere allgemeine Beratung ist es, zu vermeiden IP-spezifische Bindungen aufgrund der Komplexität dieser Einführung und die Tatsache, dass Sie sehr viel in eine manuelle Bescheinigung verbindliche Management-Situation. Es kann getan werden, aber Sie müssen die oben genannten Punkte verstehen, um Probleme zu vermeiden. Wir erwarten, dass mit einer 0.0.0.0444 Fallback-Bindung wird die Mehrheit der Szenarien zu lösen. So ermitteln Sie eine Zertifikate thumbprint Es gibt viele verschiedene Möglichkeiten, um ein Zertifikate thumbprint. Hier sind einige verschiedene Optionen, wenn Sie Skripts oder GUI bevorzugen: - 1) Schauen Sie sich die Web Application Proxy-Anwendung Konfiguration Sie können den folgenden PowerShell-Befehl auf einem Web Application Proxy-Server ausführen, um die Certificate thumbprints in Verwendung für jede der Webanwendung zu identifizieren Proxy-Veröffentlichungsregeln: - Get-WebApplicationProxyApplication fl Name, ExternalUrl, ExternalCertificateThumbprint Beispielausgabe: - Name. ClaimsApp ExternalUrl. Forderungsanmeldung /. 1D96CD2450B01E5660F756D1BDDE3B49B4887035 2) Verwenden Sie Powershell die installierten Zertifikate auf dem Server können Sie den folgenden Powershell-Befehl auf einem Server überprüfen Sie die Zertifikate im lokalen Zertifikatspeicher installiert zurückzukehren: - Thumbprint Betreff 821282128212- 82128212- 1FAAA1B7FA33D266E5CC54E4EBE41CB6C68E583B CNADFS ProxyTrust 8211 2012R2-WAP01 1D96CD2450B01E5660F756D1BDDE3B49B4887035 CN. contoso 3) Überprüfen Sie die bestehenden http. sys-Bindungen Sie können vorhandene Zertifikatbindungen mit dem folgenden Befehl überprüfen, um den Daumenabdruck einer vorhandenen Bindung bereits mit dem Zielzertifikat zu ermitteln: - netsh http show sslcert Das folgende Beispiel ist eine Bindung für Eine Web Application Proxy veröffentlichte Anwendung: - Hostname: port. Ansprücheapp. contoso: 443 Certificate Hash. 1d96cd2450b01e5660f756d1bdde3b49b4887035 Anwendungs-ID. Name des Zertifikatspeichers. Bestätigen Sie die Client-Zertifikatsperrung. Deaktiviert Überprüfen Sie die Sperrung nur mit Cached Client Certificate. Deaktivierte Benutzungsprüfung. Aktiviert Widerruf Frische Zeit. 0 URL Retrieval Timeout. 0 Ctl Identifier. (Null) Ctl Speichername. (Null) DS Mapper Verwendung. Deaktiviert Clientzertifikat verhandeln. Deaktiviert 4) Verwenden Sie die Zertifikats-MMC, um sich die Zertifikateigenschaften anzusehen. Sie können auch das Zertifikat MMC, Lokaler Computer, Persönlicher Speicher öffnen und dort das entsprechende Zertifikat ermitteln, um das Zertifikat zu identifizieren: - Servername Indication (SNI) wird von beiden verwendet Web Application Proxy und AD FS 2012 R2 in ihren http. sys-Zertifikat-Bindungen. Für Web Application Proxy insbesondere ermöglicht dies mehrere, disparate Zertifikate auf einem einzigen IP / Port gehostet werden und ermöglicht Web Application Proxy, mehrere Websites ohne die Notwendigkeit für mehrere IP-Adresse zu veröffentlichen. SNI beruht auf dem Client, der den Server-Namen-Header in seinem SSL-Client Hallo sendet. Wenn dies nicht in der Client-TLS-Verhandlung geliefert wird, wird http. sys die Verbindung zurücksetzen. Wenn Sie nicht SNI-fähige Clients unterstützen müssen, ist es möglich, ein Fallback-Zertifikat in http. sys auf 0.0.0.0443 zu binden. Dieses Zertifikat wird im Server Hallo an alle nicht-SNI-fähigen Clients serviert. Da Sie nur ein Fallback-Zertifikat haben können, das an 0.0.0.0:443 gebunden ist, sollte dieses Zertifikat alle erforderlichen FQDNs enthalten, die Sie benötigen, um das Fallback-Zertifikat zu unterstützen. Es ist möglich, IP-spezifische Bindungen zu verwenden, aber diese haben Vorrang vor SNI-Bindungen und sollten mit Vorsicht verwendet werden. Wie immer, lassen Sie uns wissen, wenn Sie Feedback oder Kommentare haben und wenn Sie Anfragen für bestimmte Artikel und gut sehen, was wir tun können. Ian Parramore, Senior Escalation Engineer, Web Application Proxy Support-Team Danke für das Feedback, Session Affinität ist sicherlich eine sehr interessante Diskussion. Wir sind uns auch der aktuellen Einschränkung bewusst, dass nur ein einziger Endpunkt veröffentlicht werden kann. Im Hinblick auf die Leistung gibt es keinen Unterschied von einer WAP-Perspektive für Klebrigkeit gegenüber Nichtklebrigkeit. Jeder Knoten in derselben WAP-Farm kann das EdgeAccessCookie verwenden und die genaue Verarbeitung dieses Cookies geschieht für jede Anforderung unabhängig davon, ob Sie denselben Knoten oder einen anderen Knoten treffen. Ich denke, es lohnt sich, etwas zusammenzusetzen, um durch einige der Überlegungen um Affinität zu sprechen, aber aus einer reinen WAP-Perspektive brauchen wir keine Affinität. Das heißt, Application Level Affinität ist immer etwas, was Sie brauchen, um zu prüfen, so müssen Sie verstehen, wenn Back-End-Affinität erforderlich ist, und wenn ja, wie Affinität funktionieren endet vom Client, über WAP und auf dem Backend-Server zu nehmen Die für WAP und Webserver verwendet wird. Es isn8217t daher eine einfache Antwort für diese als es hängt von der Lastenausgleich Technologie im Einsatz und die Fähigkeiten, die dies bietet. Eine Sache, die von einer WAP-Lastverteilung zu berücksichtigen ist, besteht darin, dass einige Lastverteilungsoptionen eine SSL-Terminierung auf dem Lastausgleicher erfordern, z. B. Cookie-basierte Lastverteilung und dies hat Auswirkungen auf bestimmte Features wie Workplace Join und SSL Client Cert auth. We8217re gerade dabei, einen Blog zu veröffentlichen, der über SSL-Kündigung spricht, die in diese in ein bisschen mehr Detail tauchen wird. Vielleicht eine kleine Klärung auf meine Anfrage für weitere Informationen über Sitzung Affinität. Ich weiß, dass es (noch) nicht möglich, mehrere Back-End-Endpunkte aufgeführt, obwohl eine Zuschreibung auf diese wäre interessant, wenn fällig. Meine Frage im Zusammenhang mit dem Lastenausgleich geschieht vor einem WAP-Cluster. Ist die Sitzungsaffinität empfohlen (da der ADFS-Proxy 8216stateless8217 ist) oder gibt es eine signifikante Leistungsverbesserung (auf Kosten der linearen Skalierbarkeit) für den Einsatz von Klebrigkeit. Wenn Affinität 8211 empfohlen wird, auf welcher Basis (IP, Cookie, etc.) Es klingt wie Sie8217re Schlagen eine SNI Frage. A 401 ist ein HTTP Authentication Required Fehlercode, der mir sagt, dass die SSL-Verbindung erfolgreich aufgebaut wurde und dass Ihre Android-Geräte aus irgendeinem Grund nicht auth sind. Wenn SNI war das Problem Sie wouldn8217t so weit wie sogar senden eine HTTP-Anfrage. I8217ve nicht gehört, der Frage you8217re sehen, bevor so könnte es sich lohnt, eine Support-Fall in uns, so können wir in das Problem mit Ihnen zu suchen. Wahrscheinlich in 3 Wochen oder so. I8217ve erhielt einen Hauptentwurf, der dafür getan wurde, aber bin gerade ungefähr, um heraus zu gehen auf ein paar Wochen Urlaub. Wenn Ihr Cisco HLB doesn8217t Support SNI dann das Hinzufügen der 0.0.0.0 Fallback-Bindung 100 Workaround dies und definitiv funktioniert mit WAP. Die andere Hauptsache, die wir sehen, dass Leute, die falsch aber senden, nicht den korrekten Wirtsheader in der Sondenanforderung. Dies sollte der ADFS-Dienst-FQDN sein, und wenn Sie den lokalen WAP-Computernamen senden oder IP-Sachen fehlschlägt. SNI-und Host-Header sind nicht dasselbe und mit der 0.0.0.0-Bindung wird ausschließen SNI (Sie können eine Netzwerk-Trace zu überprüfen). Meine Vermutung ist, dass you8217ve nicht die Host-Header in der Sonde angegeben. Hoffe, das hilft, Dank Ian 8211 sicher, dass dies viele eine Implementierung sparen wird. Ich würde es wirklich schätzen, wenn das WAP-Team könnte etwas über Sitzung Affinität (wenn überhaupt) und / oder was die Roadmap um diese für WAP war. Awesome Informationen, gespeichert unser Projekt mit dem Fallback-Zertifikat für 0.0.0.0443. Vielen Dank und halten Sie die gute Hintergrund-Info-Arbeit. Weve hatte eine Reihe von Fragen rund um die Verwendung von SSL-Kündigung mit Web Application Proxy und AD FS 2012 Haben Sie einen Zeitrahmen für den kommenden Blog Benötigen Sie eine Sonde für eine Cisco ACE LB, die nicht unterstützt SNI. Ein Fallback-Zertifikat scheint nicht mit WAP zu funktionieren. "Wir haben auch SNI-bezogene Probleme mit verschiedenen Hardware-Load-Balancern Health Check-Anfragen nicht das Senden der SNI-Header, obwohl dies oft aufgrund der notwendigen Konfiguration nicht gesetzt wurde. Gut abdecken Hardware Load Balancer Gesundheits-Check-Anforderungen und andere Überlegungen im Detail in einem kommenden blog. quot Neil Doody sagt: Vielen Dank für diesen Blog, doesn8217t scheinen, kommen in der Suche nach einem der problems8230it kam unter Quellfenstern xp scalabilityquot wie ich War umklammert an Strohhalme, um zu sehen, wenn es ein solches Problem wie das gefürchtete Skalierbarkeitpaket gab, das unsere Windows XP Klienten verhindert, um an Büro 365 using ADFS 3.0 anzuschließen. Dieser Blog bewies viel mehr hilfreich als Microsofts quotsorry wir don8217t unterstützen Windows XP, gehen weg, danke für die Wahl microsoftquot mumbo. Haven8217t versucht dies noch, aber es scheint, mein aktuelles Problem auf den Kopf perfekt nageln. So von einem Ian zum anderen, Dank für dieses Click4Support Beschweren sagt: Gute Arbeit getan. Dies ist eine wirklich eine gute Nachricht und it8217s News ist sehr nützlich für alle PC-Benutzer. Kann die Fallback-Zertifikat-Methode oben in einem Single-Server-ADFS 2.0-Setup ohne Proxy verwendet werden Wir haben eine Situation, wo Android-Nutzer bekommen 401 8211 Unautorisiert Fehler von ADFS, wenn sie versuchen, OneDrive für Business-Unterstützung über die MS OneDrive App hinzufügen, und uns wurde gesagt, dass diese Problemumgehung ist die einzige Option aufgrund der Mangel an SNI support8230but we8217re nicht ausgeführt Win Server 2012 R2 w / ADFS 3.0. Hallo ihr Lieben, dieses Blog hat ein bisschen länger gedauert, aber ich hoffe es lohnt sich Jan Kristian sagt: Hallo ich habe hier bei der Erforschung eines ähnlichen Problems und werde meine Lösung hier posten, falls jemand anderes hierher kommt Grund. Wir verwenden ADFS 3.0, um die Identitätsföderation für OnPremise AD mit Azure AD für Office 365 zu aktivieren. Beim Hinzufügen eines OneDrive for Business AD-Kontos zur Android OneDrive App schlägt der Anmeldevorgang fehl, wenn Sie zur OnPremise Federated-Anmeldeseite umgeleitet werden. Die Lösung dafür finden Sie, indem Sie dieses Verfahren für das Hinzufügen Formularbasierter auth. Auf die primäre Authentifizierung für interne Anfragen: blogs. technet / b / bshastri / archive / 2014/03/07 / configuring-dynamics-crm-ifd-mit-windows-server-2012-r2-ad-fs-ie-ad - fs-3-0.aspx Ich habe auch das Zertifikat für Fallback erste, so I8217m nicht sicher, ob das ist auch eine Voraussetzung. Aber es funktioniert mit beiden Methoden aktiviert jetzt Hoffe, dies hilft jemand anderem. Jan Kristian Kristoffersen, Bergen Norwegen. Bien saignant, feux vif und grill juste ce qu8217il faut la fin mon cur. Pour les assaisonnements Il faut battre le fer quand il est chaud und folterer quand la sessel est encore tendre. Dans la prcdente Alan Taylor sagt: Ich habe genau die gleichen Schritte wie pro Ihre Beschreibung getan. Aber das Problem ist, ich bin immer immer das Fallback-Zertifikat, eventhough mein Client hallo hat eine SNI-Komponente (Ich sehe, dass auf wireshark). Da I8217m IP-wilde Karte (0.0.0.0:443) für Fallrückseite, es sollte das niedrigste Prioritätrecht haben, das ich alle anderen SSL Bindungen sehen kann, indem ich quotnetsh http sslcertquot ausführe, das durch Netz-Antragsproxy geschaffen wird. Nur Unterschied, den ich sehe, ist quotCerify Client Certificate Revocation. Enabledquot für die Fallback-Bindung erstellt und quotDisabledquot für alle anderen von WAP erstellt. Hier Im unter der Annahme, dass wir mit ADFS, für SSO zu O365-Dienste: Im Folgenden habe ich versucht, Liste
No comments:
Post a Comment