Gejala
Pertimbangkan skenario berikut ini:
-
Web server yang diterbitkan menggunakan Microsoft Forefront terpadu Access Gateway (UAG) 2010.
-
Forefront UAG 2010 menggunakan tiket Kerberos dibatasi delegasi (KCD) untuk mendelegasikan kredensial pengguna ke server web yang diterbitkan.
-
Server web yang diterbitkan menolak Tiket KCD yang disediakan oleh Forefront UAG 2010, dan menghasilkan galat 401.
Dalam skenario ini, Forefront UAG 2010 memasuki loop permintaan ulang. Selain itu, kondisi berikut ini mungkin terjadi karena proses pengerjaan w3wp.exe Forefront UAG selama loop permintaan ulang:
-
Peningkatan pemakaian memori yang cepat
-
Penggunaan CPU yang tinggi
Penyebab
Masalah ini biasanya disebabkan oleh masalah yang mempengaruhi KCD setup atau masalah yang ada di server web yang diterbitkan.
Jika Forefront UAG telah dikonfirmasi pengguna dan berhasil mendapatkan tiket KCD ke server diterbitkan, program tidak mengharapkan untuk menerima galat 401 dari server web yang diterbitkan selama negosiasi KCD dengan server diterbitkan. Kondisi ini Forefront UAG mencoba untuk menangani galat 401 mendapatkan tiket KCD baru, dan kemudian mengirimkan kembali permintaan ke server web yang diterbitkan. Aktivitas ini menyebabkan loop permintaan ulang terjadi.
Penting Permintaan pengulangan loop masalah telah diperbaiki dalam Forefront terpadu akses Gateway 2010 Paket Layanan 3 (SP3). Forefront UAG 2010 SP3 tidak mengatasi masalah otentikasi dasar karena bahwa masalah tidak terjadi di Forefront UAG. Jika Forefront UAG menerima galat 401 tak terduga dari server web yang diterbitkan karena negosiasi KCD dengan server web yang diterbitkan gagal, galat 401 kembali ke klien. Klien kemudian menerima permintaan otentikasi. Namun, klien dapat menyelesaikan otentikasi karena masalah dasar.
Catatan Lihat bagian "Informasi selengkapnya" untuk informasi selengkapnya tentang beberapa penyebab kegagalan tak terduga otentikasi ke server web yang diterbitkan.
Pemecahan masalah
Untuk mengatasi masalah ini, Instal paket layanan yang dijelaskan di artikel Pangkalan Pengetahuan Microsoft berikut ini:
2744025 Deskripsi Forefront terpadu akses Gateway 2010 Service Pack 3
Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Informasi lebih lanjut
Dukungan pelanggan Microsoft telah mencatat kejadian beberapa masalah ini pada Outlook Anywhere penerbitan skenario. Dalam kasus ini, masalah disebabkan otentikasi KCD ke server akses klien (CAS) gagal untuk RPC melalui lalu lintas HTTP. Untuk informasi selengkapnya tentang masalah serupa, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
2545850 pengguna tidak dapat mengakses situs web yang diinangi oleh IIS setelah komputer sandi untuk server diubah di Windows 7 atau Windows Server 2008 R2Catatan
-
Hotfix yang dibahas di KB 2545850 harus diinstal pada CAS, bukan pada server Forefront UAG.
-
Untuk mengatasi masalah ini tanpa menginstal hotfix 2545850, mulai ulang CAS. Pemecahan masalah ini akan tetap berlaku sampai waktu berikutnya bahwa masalah ini terjadi.
Web server mungkin juga harus mengembalikan galat 401 karena masalah perizinan atau jika KCD tidak dikonfigurasi dengan benar. Sebagai contoh, prinsip Layanan nama (SPN) yang Forefront UAG delegasi tidak akan terdaftar terhadap akun server web target atau akun layanan proses. Untuk informasi selengkapnya tentang penataan delegasi Kerberos dibatasi, kunjungi situs web Microsoft TechNet berikut:
Mengkonfigurasi masuk tunggal dengan Kerberos dibatasi delegasi
Referensi
Untuk informasi selengkapnya tentang peristilahan pemutakhiran perangkat lunak, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
824684 Deskripsi tentang terminologi standar yang digunakan untuk menjelaskan pembaruan perangkat lunak Microsoft
