Příznaky
Jde o takovouto situaci:
-
Webový server je publikován pomocí Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 používá lístky protokolu Kerberos vynucené delegování (KCD), delegování pověření uživatele na publikovaný webový server.
-
Publikovaný webový server odmítne KCD lístek, který je k dispozici aplikace Forefront UAG 2010 a vrátí chybu 401.
V tomto scénáři Forefront UAG 2010 vstoupí do smyčky požadavků/opakovat. Tyto podmínky mohou být navíc pracovního procesu w3wp.exe Forefront UAG během smyčky požadavků/opakovat:
-
Rychlý nárůst spotřeby paměti
-
Vysoké využití procesoru
Příčina
Tento problém je obvykle způsoben problém, který ovlivňuje nastavení KCD nebo problém, který existuje na publikovaný webový server.
Pokud byl uživatel ověřen a úspěšně získala lístek KCD publikované serveru Forefront UAG program nelze očekávat chybu 401 z publikované webového serveru během vyjednávání KCD publikované serveru. Za těchto podmínek Forefront UAG pokusí zpracovat chyba 401 získáním nových KCD lístek a odešlete požadavek na publikovaný webový server. Tato aktivita způsobuje požadavek/opakování smyčky dochází.
Důležité: Požadavek/opakování smyčky problém je vyřešen v Forefront Unified Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 SP3 neřeší základní problém ověřování protože, problém se nevyskytuje v Forefront UAG. Pokud Forefront UAG Neočekávaná chyba 401 obdrží od publikovaný webový server, protože se nezdařilo vyjednávání KCD publikované webového serveru, je klientovi vrácena chyba 401. Poté obdrží klient výzva k ověření. Klient bude však nelze dokončit z důvodu problému základní ověřování.
Poznámka: Naleznete v části "Další informace" Další informace o některých příčin selhání neočekávané ověření na publikovaný webový server.
Řešení
Chcete-li vyřešit tento problém, nainstalujte aktualizaci service pack, která je popsána v následujícím článku znalostní báze Microsoft Knowledge Base:
2744025 popis produktu Forefront Unified Access Gateway 2010 Service Pack 3
Stav
Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".
Další informace
Oddělení podpory zákazníků společnosti Microsoft zaznamenala několik výskytů tohoto problému v publikování scénáře Outlook vždy a všude. V těchto případech problém způsoben KCD authentication Client Access Server (CAS) selhání vzdáleného volání procedur přes protokol HTTP. Další informace o podobném problému klepněte na následující číslo článku naleznete v článku znalostní báze Microsoft Knowledge Base:
2545850 uživatelé nemůže získat přístup webu hostované službou IIS po změně hesla počítače pro server v systému Windows 7 nebo Windows Server 2008 R2Poznámky
-
Na čas, není na serveru Forefront UAG, je třeba instalovat opravu hotfix, která je popsána v KB 2545850.
-
Chcete-li tento problém vyřešit bez instalace opravy hotfix 2545850 restartujte certifikační úřady. Toto zástupné řešení zůstanou v platnosti až do dalšího výskytu tohoto problému.
Web server může také vracet 401 chyba z důvodu problému oprávnění nebo pokud KCD není správně nastaven. Například hlavního názvu služby (SPN), Forefront UAG delegátů nelze zapsat proti cílový účet webového serveru nebo služby účet procesu. Další informace o nastavení protokolu Kerberos vynucené delegování naleznete na následujícím webu Microsoft TechNet:
Konfigurace jednotného přihlášení pomocí protokolu Kerberos vynucené delegování
Odkazy
Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:
824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft