Požymiai
Įsivaizduokite tokią situaciją:
-
Žiniatinklio serverio, kuri publikuojama naudojant "Microsoft" Forefront vieningosios prieigos šliuzo (UAG) 2010.
-
Forefront UAG 2010 naudoja Kerberos ribojamas perdavimas (KCD) bilietų ir vartotojo kredencialus paskelbtus žiniatinklio serverį.
-
Paskelbta žiniatinklio serverio atmeta KCD bilietą, kuris teikia Forefront UAG 2010, ir grąžina klaidos 401.
Tokiu atveju Forefront UAG 2010 patenka į užklausą/bandymų ciklą. Be to, šios sąlygos gali kilti dėl Forefront UAG w3wp.exe darbo procesas per užklausą/bandymų ciklą:
-
Spartus atmintį
-
Didelis CPU naudojimas
Priežastis
Ši problema paprastai kyla problema, kuri turi įtakos KCD sąrankos arba problema, kuri yra paskelbta žiniatinklio serveryje.
Jei Forefront UAG yra autentifikuotas vartotojas ir sėkmingai gavo paskelbta serveris KCD bilietą, programa tikėtis gauti paskelbtų žiniatinklio serverio klaidos 401 su paskelbta serveris KCD derybų metu. Tokiu atveju Forefront UAG bando tvarkyti klaidos 401 naują KCD bilietą, ir iš naujo paskelbti žiniatinklio serverio užklausos. Ši veikla dėl užklausą/bandymų ciklas kartojasi.
Svarbu. Užklausa/kartoti ciklą problema išspręsta Forefront vieningosios prieigos šliuzo 2010 3 pakeitimų paketo (SP3). Forefront UAG 2010 SP3 negali išspręsti pagrindinio autentifikavimo problema dėl to, problema neiškyla Forefront UAG. Jei Forefront UAG gauna netikėtas klaidos 401 paskelbtus žiniatinklio serverio nes KCD derybų paskelbtą Voratinklio serverį, 401 klaida klientui. Klientas gauna autentifikavimo eilutę. Tačiau kliento bus baigti autentifikavimo dėl gilesnės problemos.
Pastaba. Skyriuje "Daugiau informacijos" daugiau informacijos apie kai kurios priežastys netikėtų autentifikavimas nebuvo paskelbta žiniatinklio serveryje.
Sprendimas
Norėdami išspręsti šią problemą, įdiekite pakeitimų paketą, aprašytą šiame "Microsoft" žinių bazės straipsnyje:
2744025 Aprašymas Forefront vieningosios prieigos šliuzo 2010 Service Pack 3
Būsena
„Microsoft“ patvirtino, kad tai yra „Microsoft“ produktų, išvardytų skyriuje „Taikoma“, problema.
Daugiau informacijos
"Microsoft" klientų palaikymo užregistruota keletas atvejų, kai ši problema Outlook Anywhere publikavimo scenarijai. Tokiu atveju problema dėl KCD autentifikavimo ir klientų prieigos serveryje (CAS) nepavyksta RPC per HTTP srautą. Jei norite gauti daugiau informacijos apie panašią problemą, spustelėkite šį straipsnio numerį ir eikite į "Microsoft" žinių bazės straipsnį:
2545850 vartotojai negali pasiekti nuomojami IIS žiniatinklio svetainėje, kai pakeičiama serverio kompiuterio slaptažodį, sistemoje "Windows 7" arba "Windows Server 2008 R2"Pastabos
-
Karštosios pataisos, aptartos KB 2545850 turėtų būti įdiegtas CAS, Forefront UAG serveryje.
-
Norėdami išspręsti šią problemą nediegdami karštųjų pataisų 2545850, iš naujo paleiskite CAS. Šis sprendimas galioja tol, kol kitą kartą, kad ši problema yra susijusi.
Žiniatinklio serveris gali pateikti klaidos 401 dėl teisių problemos arba jei KCD nėra tinkamai nustatyta. Pvz., kad pagrindinis tarnybos pavadinimas (SPN), Forefront UAG delegatų negali būti registruojama pagal paskirties žiniatinklio serverio abonemento arba procesas tarnybos abonementą. Jei norite gauti daugiau informacijos apie Kerberos ribojamas perdavimas sąranką, rasite apsilankę šioje "Microsoft TechNet" svetainėje:
Bendrosios autentifikacijos konfigūravimas naudojant Kerberos ribojamas perdavimas
Nuorodos
Norėdami gauti daugiau informacijos apie programinės įrangos naujinimo terminiją, spustelėkite toliau esančio straipsnio numerį ir peržiūrėkite „Microsoft“ žinių bazės straipsnį:
824684 standartinę terminologiją, vartojamą Microsoft programinės įrangos naujinimams apibūdinti, aprašas
