Симптоми
Да разгледаме следния сценарий:
-
Уеб сървър е публикуван чрез Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 използва Kerberos ограничени делегиране (KCD) билети да делегира потребителски идентификационни данни в публикуваните уеб сървър.
-
Публикуваната уеб сървърът отхвърли KCD билет, който е предоставен от Forefront UAG 2010 и извежда грешка 401.
В този случай Forefront UAG 2010 влиза в заявката/опитай цикъл. Освен това следните условия може да се дължи на Forefront UAG w3wp.exe работният процес по време на цикъла на заявката/повторен опит:
-
Бързо нарастване на паметта
-
Високо натоварване на процесора
Причина
Проблемът обикновено е причинен от проблем, засягащ KCD настройка или проблем в публикуваните уеб сървъра.
Ако Forefront UAG е удостоверен потребител и е получил успешно билет от KCD публикувани на сървъра, програмата не очаквате да получите грешка 401 от публикуваните уеб сървъра по време на предаване на KCD с публикуваната сървър. При тези условия Forefront UAG се опитва да обработи грешка 401 от получаване на нов KCD билет и след това представи отново заявката публикуван уеб сървър. Тази дейност предизвиква линия заявка/повторен опит да се появят.
Важно: Заявка/опитай цикъл е решен в Forefront Unified Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 SP3 не въпроса основните удостоверяване поради това не се дължи на Forefront UAG. Ако Forefront UAG получи неочаквана грешка 401 от публикуваните уеб сървъра поради предаване на KCD с публикуван уеб сървъра, се връща грешка 401 на клиента. Клиентът получава след удостоверяване ред. Обаче клиентът няма да може да завърши автентификация поради основния проблем.
Забележка Вижте раздела "Допълнителна информация" за допълнителна информация относно някои от причините за неочаквани удостоверяване несъответствие публикуван уеб сървър.
Решение
За да разрешите този проблем, инсталирате сервизния пакет, който е описан в следната статия от базата знания на Microsoft:
2744025 описание на Forefront Unified Access Gateway 2010 Service Pack 3
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Допълнителна информация
Поддръжка на клиенти на Microsoft има записани няколко срещания на този проблем в Outlook навсякъде публикуване сценарии. В тези случаи проблемът причинява KCD удостоверяване на сървъра за клиентски достъп (CAS), за да се провали за RPC по HTTP трафик. За повече информация относно подобен проблем щракнете върху следния номер, за да отидете на статия в базата знания на Microsoft:
2545850 потребители нямат достъп до уеб сайт, хостван на IIS след компютъра паролата на сървъра е променено в Windows 7 или Windows Server 2008 R2Бележки
-
Актуалната корекция, описана в KB 2545850 трябва да се инсталира на CAS, не на Forefront UAG сървър.
-
За да заобиколите този проблем, без да инсталирате актуална корекция 2545850, рестартирайте CAS. Това решение ще остане в сила следващия път, че този проблем се среща.
Уеб сървърът може също да върне грешка 401 поради проблем с разрешенията или ако KCD не е настроен правилно. Например услугата главно име (SPN), Forefront UAG делегати не могат да бъдат регистрирани целевия уеб сървър акаунт или акаунт за услуга на процеса. За повече информация за настройка на Kerberos делегиране на ограничени посетете следния уеб сайт на Microsoft:
Конфигуриране на еднократна идентификация с Kerberos ограничени делегиране
Препратки
За повече информация относно терминологията за актуализация на софтуера щракнете върху следния номер на статия, за да я видите в базата данни на Microsoft:
824684 описание на стандартната терминология, използвана за описание на софтуерните актуализации на Microsoft
