Symptomer
Tenk deg følgende:
-
En web-server, er publisert ved hjelp av Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 bruker Kerberos-begrenset delegering (KCD)-billetter til representanten brukerlegitimasjon for den publiserte web-serveren.
-
Den publiserte web-serveren avslår som tilbys av Forefront UAG 2010, og returnerer feilmeldingen 401 KCD billetten.
I dette tilfellet registrerer Forefront UAG 2010 i en løkke forespørselen/prøv på nytt. I tillegg kan følgende betingelser oppstå for Forefront UAG w3wp.exe-arbeidsprosessen mens løkken kjører forespørselen/prøv på nytt:
-
En rask økning i minneforbruk
-
Høy CPU-bruk
Årsak
Dette problemet forårsakes vanligvis av et problem som påvirker KCD oppsettet eller et problem som finnes på den publiserte web-serveren.
Hvis Forefront UAG har godkjent brukeren og har mottok en KCD billett til publiserte serveren, forventer programmet ikke å motta feilmeldingen 401 fra den publiserte web-serveren under forhandling av KCD med publiserte serveren. Under disse forholdene prøver Forefront UAG å håndtere 401 feilen ved å få en ny billett for KCD og sende forespørselen til webserveren som er publisert på nytt. Denne aktiviteten gjør at forespørselen/retry-løkke oppstår. Viktig Forespørsel/Prøv løkke problem er løst i Forefront Unified Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 SP3 retter ikke opp det underliggende problemet for godkjenning fordi som problemet ikke oppstår i Forefront UAG. Hvis Forefront UAG mottar uventet 401 feil fra den publiserte web-serveren fordi KCD-forhandling med den publiserte web-serveren mislyktes, returneres 401 feil til klienten. Deretter mottar klienten en godkjenningsforespørsel. Klienten vil imidlertid ikke kunne fullføre godkjenningen på grunn av det underliggende problemet. Obs! Se delen "Mer informasjon" for mer informasjon om noen av årsakene til uventede godkjenningsfeil til publiserte web-serveren.Løsning
Hvis du vil løse dette problemet ved å installere service pack som er beskrevet i følgende Microsoft Knowledge Base-artikkel:
2744025 beskrivelse av Forefront Unified Access Gateway 2010 Service Pack 3
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Hvis du vil ha mer informasjon
Microsoft Kundestøtte har registrert flere forekomster av dette problemet i Outlook Anywhere publisering scenarier. I slike tilfeller forårsaket problemet KCD godkjenningen til klientadgangsserveren (CAS) mislykkes for RPC over HTTP-trafikk. Hvis du vil ha mer informasjon om et lignende problem, klikker du artikkelnummeret nedenfor for å gå til artikkelen i Microsoft Knowledge Base:
2545850 brukere får ikke tilgang til et webområde som er vert for IIS etter at datamaskinen passordet til serveren er endret i Windows 7 eller Windows Server 2008 R2Notater
-
Hurtigreparasjonen som er beskrevet i KB 2545850 bør installeres på CAS, ikke på UAG for Forefront server.
-
Hvis du vil omgå dette problemet uten å installere hurtigreparasjonen 2545850, starte på nytt i CAS. Denne midlertidige løsningen vil forbli i kraft før neste gang problemet oppstår.
Web server kan også returnere en 401 feil på grunn av et problem med tillatelser, eller hvis KCD ikke er riktig konfigurert. Den Service Principal Name (SPN) som delegerer Forefront UAG kan for eksempel ikke registreres mot målet webserverkontoen eller kontoen for prosessen. Hvis du vil ha mer informasjon om begrenset Kerberos-delegering, kan du gå til følgende Microsoft TechNet-webområde:
Konfigurere enkel pålogging med Kerberos begrenset delegering
Referanser
Hvis du vil ha mer informasjon om terminologi for programvareoppdatering, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
824684 beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare