Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Objawy

Rozważ następujący scenariusz:

  • Serwer sieci web jest publikowany za pomocą programu Microsoft Forefront Unified Access Gateway (UAG) 2010.

  • Forefront UAG 2010 używa biletów Kerberos ograniczone delegowanie (KCD), delegowanie poświadczeń użytkownika do serwera sieci web opublikowanej.

  • Serwer sieci web opublikowanej odrzuca bilet KCD, która jest dostarczana przez program Forefront UAG 2010 i zwraca błąd 401.

W tym scenariuszu Forefront UAG 2010 wchodzi w pętlę żądanie/ponów próbę. Ponadto następujące warunki mogą wystąpić dla procesu roboczego w3wp.exe Forefront UAG podczas pętli żądanie/ponów próbę:

  • Szybki wzrost zużycia pamięci

  • Wysokie obciążenie Procesora

Przyczyna

Ten problem jest zwykle spowodowane przez problem, który wpływa na ustawienia KCD lub problem, który nie istnieje na serwerze sieci web opublikowanej.

Jeśli program Forefront UAG został uwierzytelniony użytkownik i pomyślnie uzyskał bilet KCD do opublikowanego serwera, program nie oczekuje się błąd 401 z serwera sieci web opublikowanej podczas KCD negocjacji z opublikowanego serwera. W tych warunkach Forefront UAG próbuje obsłużyć błędu 401 uzyskania nowego biletu KCD, a następnie ponownie prześlij żądanie do serwera sieci web opublikowanej. To działanie powoduje, że wystąpić pętla żądanie/ponów próbę.

Ważne Żądanie/ponawiania pętli problemu Forefront Unified Access Gateway 2010 usługi dodatkiem Service Pack 3 (SP3). Forefront UAG 2010 z dodatkiem SP3 nie odnosi się podstawowym problemem uwierzytelniania dlatego, że problem nie występuje w programie Forefront UAG. Jeśli program Forefront UAG otrzymuje z serwera sieci web opublikowanej nieoczekiwany błąd 401, ponieważ kcd z serwera sieci web opublikowanej nie powiodło się, do klienta jest zwracany błąd 401. Następnie klient otrzymuje monit uwierzytelniania. Jednak klient będzie mógł ukończyć uwierzytelniania z powodu podstawowego problemu.

Uwaga: Zobacz sekcję "Więcej informacji", aby uzyskać więcej informacji na temat przyczyny niepowodzenia nieoczekiwany uwierzytelniania na serwerze sieci web opublikowanej.

Rozwiązanie

Aby rozwiązać ten problem, należy zainstalować dodatek service pack, który jest opisany w następującym artykule bazy wiedzy Microsoft Knowledge Base:

2744025 opis programu Forefront Unified Access Gateway 2010 z dodatkiem Service Pack 3

Stan

Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.

Więcej informacji

Obsługi klienta firmy Microsoft zarejestrował kilka wystąpień tego problemu w scenariuszach publikowania Outlook wszędzie. W takich przypadkach problem powodował KCD uwierzytelnianie na serwerze dostępu klienta (CAS) do pracy awaryjnej ruchu HTTP dla usługi RPC. Aby uzyskać więcej informacji dotyczących podobnego problemu kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

2545850 użytkownicy nie mogą uzyskiwać dostęp do witryny sieci Web obsługiwanych przez usługi IIS po zmianie hasła komputera dla serwera w systemie Windows 7 lub Windows Server 2008 R2Uwagi

  • Należy zainstalować poprawkę, która została omówiona w KB 2545850 w urzędach certyfikacji, nie na serwerze programu Forefront UAG.

  • Aby obejść ten problem bez konieczności instalowania poprawki 2545850, uruchom ponownie urzędów certyfikacji. Ta metoda obejścia problemu pozostaną w mocy do czasu następnego okresu, w którym wystąpił ten problem.

Sieci web serwera może również zwracać błąd 401 z powodu problemu związanego z uprawnieniami lub jeśli KCD nie jest poprawnie skonfigurowany. Na przykład głównej nazwy usługi (SPN) które deleguje Forefront UAG nie można zarejestrować przed miejsce docelowe konto serwera sieci web lub konto usługi procesu. Aby uzyskać więcej informacji na temat konfiguracji protokołu Kerberos ograniczone delegowanie przejdź do następującej witryny sieci Web Microsoft TechNet:

Delegowanie ograniczone konfigurowania rejestracji jednokrotnej z protokołu Kerberos

Powiązane artykuły

Aby uzyskać więcej informacji dotyczących terminologii aktualizacji oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×