CORRECÇÃO: Uma conexão de cliente Unified Access Gateway 2010 SP1 poderá falhar quando o tráfego de cliente ocorrer failover entre os nós de matriz de carga balanceada

Traduções deste artigo Traduções deste artigo
ID do artigo: 2699805 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Considere o seguinte cenário:
  • Criar uma matriz de Service Pack 1 (SP1) do Microsoft Forefront Unified Access Gateway (UAG) 2010.
  • Habilitar o balanceamento de carga de rede integrado ou balanceamento de carga de hardware externo.
  • Configurar serviços de Federação do Active Directory (AD FS) 2.0 autenticação para um tronco HTTPS.
  • Um cliente se conecta ao tronco Forefront UAG HTTPS e executa com êxito o AD FS 2.0 autenticação.
  • Após a conexão inicial, ocorre um evento que faz com que o tráfego de cliente failover entre carga balanceada nós de matriz para a sessão do navegador existente.

    Observação Com base em IP afinidade e balanceamento de carga de rede, esse evento deve ocorrer somente durante uma falha de nó ou uma parada administrativa de rede balanceamento de carga para um nó. Com balanceamento de carga de rede de hardware, o evento também pode ocorrer se a adesão de afinidade IP sessão expirar.

Nesse cenário, a reautenticação de clientes para a sessão para o novo nó pode falhar e você pode receber uma mensagem de erro do cliente semelhante à seguinte:

Erro de servidor interno 500 HTTP/1.1

Erro do servidor em ' / InternalSite/ADFSv2Sites /Trunk_Name' Aplicativo

Erro de tempo de execução
Descrição: Ocorreu um erro de aplicativo no servidor. As configurações atuais de erro personalizada para este aplicativo impedem a detalhes do erro de aplicativo seja exibido. Erro de servidor interno 500 HTTP/1.1

Erro do servidor em ' / InternalSite/ADFSv2Sites /Trunk_Name' Aplicativo

Erro de tempo de execução
Descrição: Ocorreu um erro de aplicativo no servidor. As configurações atuais de erro personalizada para este aplicativo impedem a detalhes do erro de aplicativo seja exibido.


Além disso, o seguinte evento ASP.Net pode ser registrado no log de eventos do aplicativo:

Mensagem de evento: Ocorreu uma exceção não tratada.
Hora do evento: Data
Hora do evento (UTC): tempo
Identificação de evento: 1309
Seqüência de eventos: 2
Ocorrência do evento: 1
Código de detalhes do evento: 0

Informações do aplicativo:
Domínio de aplicativo: / LM/W3SVC/1/ROOT/InternalSite/ADFSv2Sites /trunk_name
Nível de confiança: aplicativo completo
Caminho virtual: /InternalSite/ADFSv2Sites /trunk_name
Caminho do aplicativo: C:\Program Files\Microsoft Forefront Unified Access Gateway\von\InternalSite\ADFSv2Sites\trunk_name

Nome do computador: nome_do_computador
Informações do processo:
ID do processo: PID
Nome do processo: w3wp.exe
Nome da conta: NT AUTHORITY\SYSTEM.
Informações de exceção:
Tipo de exceção: CryptographicException
Mensagem de exceção: chave não é válido para uso no estado especificada.


Causa

Esse problema pode ocorrer porque a API DPAPI (Data Protection) não é possível decodificar o cookie de contexto de segurança de cliente 2.0 do AD FS que foram criptografado por meio da chave de máquina de um nó de matriz diferente.

Resolução

Para resolver esse problema, instale o service pack que está descrito no seguinte artigo da Base de dados de Conhecimento da Microsoft:
2710791 Descrição do Service Pack 2 para o Forefront Unified Access Gateway 2010

Situação

A Microsoft confirmou que este é um problema nos produtos Microsoft que estão listados na seção "Aplica-se a".

Mais Informações

Quando esse problema ocorre, o Microsoft WSE Web Services Enhancements () tenta descriptografar o cookie de token de contexto de segurança de cliente para obter acesso a /InternalSite/ADFSv2Sites. Para fazer isso, o WSE baseia-se sobre a API DPAPI (Data Protection) para decodificar o cookie.

Gateway de acesso unificada usa uma configuração específica do computador quando o /InternalSite/ADFSv2Sites de aplicativo do AD FS 2.0 tronco é implantado no Internet Information Services (IIS). Essa configuração usa criptografia específicas do computador e não oferece suporte ao balanceamento de carga.

Observação Quando você configura um serviço Web com base em WSE 3.0 para usar conversação segura em um ambiente com balanceamento de carga, você pode receber a seguinte mensagem de erro:

Chave não é válida para uso no estado especificado

Para obter mais informações sobre essa mensagem de erro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

939760 Mensagem de erro quando você configura um serviço Web com base em WSE 3.0 para usar conversação segura em um ambiente com balanceamento de carga: "Especificados de chave não é válido para uso no estado"

Referências

Para obter mais informações sobre os serviços de Federação do Active Directory (AD FS) 2.0, visite o seguinte site da Microsoft TechNet:

Guia de solução do Active Directory federação Services 2.0

Para obter mais informações sobre como criar um tronco portal Forefront Unified Access Gateway HTTPS, visite o seguinte site da Microsoft TechNet:

Definindo configurações de tronco

Para obter mais informações sobre a adesão de afinidade IP, visite o seguinte site da Microsoft TechNet:

Chaves de registro do Forefront UAG

Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684 Descrição da terminologia padrão usada para descrever as atualizações de software da Microsoft

Propriedades

ID do artigo: 2699805 - Última revisão: sexta-feira, 7 de dezembro de 2012 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Microsoft Forefront Unified Access Gateway 2010 Service Pack 1
Palavras-chave: 
kbqfe kbfix kbexpertiseinter kbbug kbsurveynew kbmt KB2699805 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2699805

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com