修正: 當用戶端流量負載平衡陣列節點間容錯移轉,統一存取閘道 2010 SP1 的用戶端連線都可能會失敗

文章翻譯 文章翻譯
文章編號: 2699805 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

請考慮下列案例:
  • 您建立一個 Microsoft Forefront 統一存取閘道 (UAG) 2010 Service Pack 1 (SP1) 陣列。
  • 您可以啟用整合式的網路負載平衡或外部硬體負載平衡。
  • 您可以設定 Active Directory 同盟服務 (AD FS) 2.0 HTTPS trunk 驗證。
  • 用戶端會連接至 Forefront UAG HTTPS trunk,並成功執行 AD FS 2.0 的驗證。
  • 初始連線之後,就會發生錯誤後移轉負載之間會導致用戶端流量由陣列節點平衡現有瀏覽器工作階段的事件。

    附註 根據 IP 親和性和網路負載平衡,此事件應只發生在節點失敗或網路負載平衡之節點的系統管理停駐點。與硬體網路負載平衡],如果工作階段 IP 親和性的神奇結果到期,也可能發生該事件。

在這個案例中,新節點中之工作階段的用戶端重新驗證,可能會失敗,您可能會收到類似下列的用戶端錯誤訊息:

HTTP/1.1 500 內部伺服器錯誤

發生伺服器錯誤 ' / InternalSite/ADFSv2Sites /Trunk_Name' 應用程式

執行階段錯誤
描述: 在伺服器上發生應用程式錯誤。此應用程式目前的自訂錯誤設定可防止他人應用程式錯誤的詳細資料。HTTP/1.1 500 內部伺服器錯誤

發生伺服器錯誤 ' / InternalSite/ADFSv2Sites /Trunk_Name' 應用程式

執行階段錯誤
描述: 在伺服器上發生應用程式錯誤。此應用程式目前的自訂錯誤設定可防止他人應用程式錯誤的詳細資料。


此外,下列 ASP.Net 事件可能會記錄在應用程式事件日誌中:

事件訊息: 發生未處理的例外狀況。
事件時間: 日期
事件的時間 (UTC): 時間
事件識別碼: 1309年
事件順序: 2
事件: 1
事件詳細資料代碼: 0

應用程式的資訊:
應用程式定義域: LM/W3SVC/1/根/InternalSite/ADFSv2Sites /trunk_name
信任層級: 完整的應用程式
虛擬路徑: /InternalSite/ADFSv2Sites /trunk_name
應用程式路徑: C:\Program 必要 Forefront 統一存取 Gateway\von\InternalSite\ADFSv2Sites\trunk_name

機器名稱: 電腦名稱
處理程序的資訊:
處理程序識別碼: PID
處理程序名稱: w3wp.exe
帳戶名稱: NT AUTHORITY\SYSTEM
例外狀況資訊:
例外狀況型別: CryptographicException
例外狀況訊息: 機碼無效,無法用在特定狀態。


發生的原因

因為資料保護 API (DPAPI) 無法解碼的 AD FS 2.0 用戶端安全性內容 cookie 所使用不同的陣列節點的機器金鑰來加密,可能會發生這個問題。

解決方案

如果要解決這個問題,安裝 service pack 所描述下列 Microsoft 知識庫 」 文件中:
2710791 存取閘道 2010年統一的 Forefront 的 Service Pack 2 的描述

狀況說明

Microsoft 已經確認這是 「 適用於 」 一節中所列的 Microsoft 產品中的問題。

其他相關資訊

這個問題發生時,Microsoft Web 服務的強化功能 」 (WSE) 會嘗試解密 /InternalSite/ADFSv2Sites 存取用戶端安全性內容語彙基元 cookie。若要這樣做,WSE 必須藉助上資料保護 API (DPAPI) 解碼 cookie。

AD FS 2.0 trunk 的應用程式 /InternalSite/ADFSv2Sites 部署在網際網路資訊服務 (IIS) 時,統一的存取管道會使用電腦特有的組態。此設定會使用電腦特定的加密,並不支援負載平衡。

附註當您設定 WSE 3.0 版為基礎的 Web 服務,以使用安全對話,在負載平衡的環境中時,您可能會收到下列錯誤訊息:

機碼無效,無法用在指定的狀態

如需有關此錯誤訊息的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:

939760 當您設定 WSE 3.0 版為基礎的 Web 服務,以使用安全對話,在負載平衡的環境中的錯誤訊息: 「 機碼無效,無法用在特定狀態"

?考

如需有關 Active Directory 同盟服務 (AD FS) 2.0 中,請造訪下列 Microsoft TechNet 網站:

使用中目錄同盟服務 2.0 解決方案指南

如需有關如何建立 Forefront 統一存取閘道 HTTPS 的入口網站 trunk 的詳細資訊,請造訪下列 Microsoft TechNet 網站:

設定 trunk 設定值

如需有關 IP 親和性的神奇結果的詳細資訊,請造訪下列 Microsoft TechNet 網站:

Forefront UAG 登錄機碼

如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
編號 824684 用來描述 Microsoft 軟體更新標準術語的說明

屬性

文章編號: 2699805 - 上次校閱: 2012年12月7日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Microsoft Forefront Unified Access Gateway 2010 Service Pack 1
關鍵字:?
kbqfe kbfix kbexpertiseinter kbbug kbsurveynew kbmt KB2699805 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:2699805
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com