Applies ToForefront Unified Access Gateway 2010 Microsoft Forefront Unified Access Gateway 2010 Service Pack 1

Síntomas

Imagine el siguiente escenario:

  • Se publica un servidor web mediante Microsoft Forefront Unified Access Gateway (UAG) 2010.

  • Forefront UAG 2010 utiliza vales de delegación restringida de Kerberos (KCD) para delegar las credenciales de usuario al servidor web publicado.

  • El servidor web publicado rechaza el vale KCD que es proporcionado por Forefront UAG 2010 y devuelve el error 401.

En este escenario, Forefront UAG 2010 entra en un bucle de solicitud/Reintentar. Además, las condiciones siguientes pueden producirse por el proceso de trabajo w3wp.exe de Forefront UAG durante el bucle de reintento o solicitud:

  • Un rápido aumento en el consumo de memoria

  • Uso intensivo de la CPU

Causa

Este problema normalmente se debe a un problema que afecta a la configuración KCD o un problema que existe en el servidor web publicado.Si Forefront UAG ha autenticado al usuario y ha obtenido con éxito un vale KCD al servidor publicado, el programa espera recibir un error 401 desde el servidor web publicado durante la negociación de KCD con el servidor publicado. En estas condiciones, Forefront UAG intenta controlar el error 401 obteniendo un nuevo vale KCD y, a continuación, volver a enviar la solicitud al servidor web publicado. Esta actividad hace que el bucle de reintento de solicitud o que se produzca.Importante: Se solucione el problema de bucle de solicitud/retry en Forefront Unified Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 SP3 no soluciona el problema subyacente de autenticación debido a que el problema no se produce en Forefront UAG. Si Forefront UAG recibe el error 401 inesperado desde el servidor web publicado debido a un error de la negociación KCD con el servidor web publicado, se devuelve el error 401 al cliente. Entonces, el cliente recibe un mensaje de autenticación. Sin embargo, el cliente podrá completar la autenticación debido al problema subyacente.Nota: Consulte la sección "Más información" para obtener más información acerca de algunas de las causas del error de autenticación al servidor web publicado.

Solución

Para resolver este problema, instale el service pack que se describe en el siguiente artículo de Microsoft Knowledge Base:

2744025 descripción de Forefront Unified Access Gateway 2010 Service Pack 3

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

Soporte al cliente de Microsoft ha registrado varias ocurrencias de este problema en escenarios de publicación Outlook en cualquier lugar. En estos casos, el problema causado la autenticación KCD servidor acceso de cliente (CAS) para conmutar el tráfico HTTP de RPC. Para obtener más información acerca de un problema similar, haga clic en el número de artículo siguiente para ir al artículo de Microsoft Knowledge Base:

2545850 los usuarios no pueden acceder a un sitio Web alojado en IIS después de cambia la contraseña para el servidor en Windows 7 o Windows Server 2008 R2Notas:

  • La revisión que se describe en KB 2545850 debe instalarse en las entidades Emisoras, no en el servidor de Forefront UAG.

  • Para evitar este problema sin instalar la revisión 2545850, reinicie las entidades Emisoras. Esta solución seguirá en efecto hasta la próxima vez que se ha detectado este problema.

El web server también puede devolver un error 401 debido a un problema de permisos o si KCD no está configurado correctamente. Por ejemplo, el servicio de nombre Principal (SPN) que Forefront UAG delegados no se registrar contra la cuenta de servidor web de destino o la cuenta de servicio del proceso. Para obtener más información acerca de la configuración de delegación restringida de Kerberos, visite el siguiente sitio Web de Microsoft TechNet:

Configurar el inicio de sesión único con Kerberos delegación restringida

Referencias

Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.