修补程序: 当客户端的通信故障转移负载平衡阵列节点之间的统一访问网关 2010 SP1 客户端连接可能会失败

文章翻译 文章翻译
文章编号: 2699805 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

请考虑以下情形:
  • 您创建一个 Microsoft Forefront 统一访问网关 (UAG) 2010 Service Pack 1 (SP1) 数组。
  • 在启用集成的网络负载平衡或外部硬件负载平衡。
  • 活动目录的联合身份验证服务 (AD FS),您配置 HTTPS 干线 2.0 的身份验证。
  • 在客户端连接到 Forefront UAG HTTPS 主干和成功执行 AD FS 2.0 身份验证。
  • 初始连接后,会导致客户端的通信负载之间进行故障切换平衡现有的浏览器会话节点阵列事件发生。

    注意 基于 IP 的仿射性和 $ 网络负载平衡,此事件应该只出现在某个节点出现故障或管理停止网络负载平衡的节点的过程中。与硬件网络负载平衡,事件也可能出现如果过期会话 IP 关系建立密切关系。

在此方案中,到新节点的会话客户端重新进行身份验证可能会失败,并且您可能会收到一条类似于以下客户端错误消息:

HTTP/1.1 500 内部服务器错误

中的服务器错误 / InternalSite/ADFSv2Sites /Trunk_Name应用程序

运行时错误
说明: 在服务器上出现应用程序错误。此应用程序的当前自定义错误设置禁止应用程序错误的详细信息查看。HTTP/1.1 500 内部服务器错误

中的服务器错误 / InternalSite/ADFSv2Sites /Trunk_Name应用程序

运行时错误
说明: 在服务器上出现应用程序错误。此应用程序的当前自定义错误设置禁止应用程序错误的详细信息查看。


此外,应用程序事件日志中可能会记录下面的 ASP.Net 事件:

事件消息: 发生了未处理的异常。
活动时间: 日期
事件时间 (UTC): 时间
事件 ID: 1309年
事件序列: 2
事件匹配项: 1
事件详细信息代码: 0

应用程序的信息:
应用程序域: LM/W3SVC/1/根/InternalSite/ADFSv2Sites /trunk_name
信任级别: 完整的应用程序
虚拟路径: /InternalSite/ADFSv2Sites /trunk_name
应用程序路径: C:\Program 能 Forefront 统一访问 Gateway\von\InternalSite\ADFSv2Sites\trunk_name

计算机名: 计算机名
进程信息:
进程 ID: PID
进程名称: w3wp.exe
帐户名称: NT AUTHORITY\SYSTEM
异常信息:
异常类型: CryptographicException
异常消息: 该项无效适于在指定状态下使用。


原因

由于数据保护 API (DPAPI) 不能对由使用不同阵列节点的计算机密钥加密的 AD FS 2.0 客户端安全上下文 cookie 进行解码,则可能会出现此问题。

解决方案

要解决此问题,请安装以下 Microsoft 知识库文章中介绍的服务包:
2710791 最前沿的 Service Pack 2 的说明统一访问网关 2010

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

更多信息

出现此问题时,Microsoft Web 服务增强 (WSE) 尝试解密客户端安全上下文令牌 cookie 访问 /InternalSite/ADFSv2Sites。为此,WSE 依赖于在数据保护 API (DPAPI) 来解码该 cookie。

当 Internet Information Services (IIS) 中部署 AD FS 2.0 的主干应用程序 /InternalSite/ADFSv2Sites 统一的访问网关将使用特定于计算机的配置。此配置中使用特定于计算机的加密,并且不支持负载平衡。

注意在配置基于 WSE 3.0 的 Web 服务使用在负载平衡环境中安全对话时,您可能会收到以下错误消息:

在指定状态下使用无效密钥

有关此错误消息的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

939760 配置基于 WSE 3.0 的 Web 服务使用在负载平衡环境中安全对话时收到错误消息:"该项无效适于在指定状态下"

参考

有关 活动目录的联合身份验证服务 (AD FS) 2.0 中,请访问以下 Microsoft TechNet 网站:

活动目录联合身份验证服务 2.0 解决方案指南

有关如何创建最前沿统一访问网关 HTTPS 门户中继的详细信息,请访问以下 Microsoft TechNet 网站:

配置中继设置

有关 IP 关系建立密切关系的详细信息,请访问以下 Microsoft TechNet 网站:

Forefront UAG 注册表项

有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684 用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 2699805 - 最后修改: 2012年12月7日 - 修订: 3.0
这篇文章中的信息适用于:
  • Microsoft Forefront Unified Access Gateway 2010 Service Pack 1
关键字:?
kbqfe kbfix kbexpertiseinter kbbug kbsurveynew kbmt KB2699805 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 2699805
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com