Pazīmes
Apsveriet šādu situāciju:
-
Tīmekļa serveris ir publicēts, izmantojot Microsoft Forefront vienotā Access Gateway (UAG) 2010.
-
Forefront UAG 2010 ierobežo Kerberos deleģēšana (KCD) biļetes izmanto, lai deleģētu lietotāja akreditācijas datus publicētu tīmekļa serveri.
-
Publicētu tīmekļa servera noraida KCD biļeti, kas nodrošina Forefront UAG 2010 un atgriež 401 kļūdas.
Šādā gadījumā Forefront UAG 2010 stājas pieprasījumu/mēģinājuma cilpa. Turklāt šie nosacījumi var rasties Forefront UAG w3wp.exe darbinieka process pieprasījumu/atkārtošanas cilpas:
-
Atmiņas patēriņa strauja
-
Liels centrālā Procesora lietojums
Iemesls
Šī problēma parasti izraisa problēmu, kas ietekmē KCD uzstādīšanas vai problēma, kas ir publicēts tīmekļa serverī.
Forefront UAG ir autentificēts lietotājs un sekmīgi ieguvis biļeti KCD publicētu serverī, programma negaidāt 401 kļūdas publicētā web serverī KCD sarunās ar publicēto serveri. Šādos apstākļos Forefront UAG mēģina rīkoties 401 kļūdas, iegūstot jaunu KCD biļeti un pēc tam jauna iesniegt pieprasījumu publicēti tīmekļa serveri. Šī darbība rada pieprasījumu/atkārtošanas cilpas pastāv.
Svarīgi! Pieprasījuma/mēģinājuma cilpa problēma ir novērsta Forefront vienotā Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 SP3 sniegta pamata autentifikācijas kļūda, jo, Forefront UAG problēma nerodas. Saņemot Forefront UAG neparedzēta kļūda 401 publicētā web serverī, jo KCD saskaņošana ar publicēto web serverim neizdevās, klientam tiek atgriezta kļūda 401. Pēc tam klients saņem autentifikācijas uzvednes. Taču klients nevarēs pabeigt autentifikāciju pamata problēmas dēļ.
Piezīme. Skatiet sadaļu "Papildinformācija" papildinformāciju par kādu iemeslu dēļ neparedzēti autentifikācijas kļūmes publicēti tīmekļa serveri.
Risinājums
Lai novērstu šo problēmu, instalējiet servisa pakotne, kurā ir aprakstīts šajā Microsoft zināšanu bāzes rakstā:
2744025 apraksts Forefront vienotā Access Gateway 2010 servisa pakotne 3
Statuss
Korporācija Microsoft ir apstiprinājusi, ka šī problēma pastāv Microsoft produktos, kas ir minēti sadaļā "Attiecas uz".
Papildinformācija
Microsoft klientu atbalsta Outlook Anywhere publicēšanas gadījumos ir reģistrēts vairāku gadījumu šo problēmu. Šādā gadījumā problēmu izraisīja KCD autentifikācijas klientu piekļuves serverī (CAS) neizdodas RPC over HTTP trafiku. Lai iegūtu papildinformāciju par līdzīgu problēmu, noklikšķiniet uz šī raksta numura un skatiet rakstu Microsoft zināšanu bāzē:
2545850 lietotāji nevar piekļūt IIS viesotu vietni pēc datora parole serverim ir mainīta sistēmā Windows 7 vai Windows Server 2008 R2Piezīmes
-
CAS nav Forefront UAG serverī ir jāinstalē labojumfails, kas ir aprakstīts KB 2545850.
-
Lai novērstu šo problēmu, neinstalējot labojumfailu 2545850, restartējiet CA. Šis risinājums ir spēkā līdz nākamajā reizē, kad rodas šī problēma.
Tīmekļa servera arī atgriež 401 kļūdas dēļ ar atļaujām saistīto problēmu vai ja KCD nav iestatīts pareizi. Piemēram, pakalpojumu galveno nosaukumu (SPN), Forefront UAG deleģē nav reģistrēts atbilstoši mērķa web servera kontu vai pakalpojuma kontu procesu. Papildinformāciju par Kerberos deleģēšana ierobežotas uzstādīšanas skatiet šajā Microsoft TechNet vietnē:
Vienotās pierakstīšanās konfigurēšana, izmantojot Kerberos deleģēšana ierobežojums
Atsauces
Lai iegūtu papildinformāciju par programmatūras atjauninājumu terminoloģiju, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:
824684 tiek izmantota Microsoft programmatūras atjauninājumu standarta terminoloģijas apraksts
