Sintomas
Considere o seguinte cenário:
-
Um servidor web é publicado, utilizando o Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 utiliza permissões de delegação Kerberos limitada (KCD) para delegar as credenciais de utilizador para o servidor web publicado.
-
O servidor web publicado rejeita a permissão KCD que é fornecida pelo Forefront UAG 2010 e devolve um erro 401.
Neste cenário, Forefront UAG 2010 entra num ciclo de pedido/tentativas. Além disso, as seguintes condições podem ocorrer o processo de trabalho do Forefront UAG w3wp.exe durante o ciclo de pedido/tentativas:
-
Um rápido aumento no consumo de memória
-
Utilização elevada da CPU
Causa
Este problema é tipicamente causado por uma questão que afecta a configuração KCD ou um problema que existe no servidor web publicado.
Se o Forefront UAG autenticou o utilizador e com êxito tenha obtido uma autorização KCD para o servidor publicado, o programa não espera receber um erro 401 do servidor web publicado durante a negociação de KCD com o servidor publicado. Nestas condições, o Forefront UAG tenta processar o erro 401 obtendo uma nova permissão KCD e, em seguida, a resubmeter o pedido para o servidor web publicado. Esta actividade faz com que o ciclo de pedido/tentativas ocorrer.
Importante O problema do ciclo de pedido/repetir foi corrigido no Forefront Unified Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 SP3 não corrige o problema de autenticação subjacente porque que o problema não ocorre no Forefront UAG. Se o Forefront UAG recebe o erro 401 inesperado a partir do servidor web publicado porque falhou a negociação de KCD com o servidor web publicado, o erro 401 é devolvido ao cliente. O cliente, em seguida, recebe um pedido de autenticação. No entanto, o cliente será possível concluir a autenticação devido o problema subjacente.
Nota Consulte a secção "Mais informação" para mais informações sobre algumas das causas da falha de autenticação inesperado para o servidor web publicado.
Resolução
Para resolver este problema, instale o service pack que está descrito no seguinte artigo da Base de dados de conhecimento da Microsoft:
2744025 descrição do Forefront Unified Access Gateway 2010 Service Pack 3
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Suporte técnico da Microsoft registou várias ocorrências deste problema no Outlook Anywhere cenários de publicação. Nestes casos, o problema provocado a autenticação de KCD para o servidor de acesso de cliente (AC) a activação pós-falha para RPC do tráfego de HTTP. Para mais informações sobre um problema semelhante, clique no número de artigo seguinte para ir para o artigo na Microsoft Knowledge Base:
2545850 utilizadores não conseguem aceder um Web site alojada no IIS depois da palavra-passe do computador para o servidor é alterada no Windows 7 ou no Windows Server 2008 R2Notas
-
Deve ser instalada a correcção abordada no 2545850 da KB nas AC, não no servidor Forefront UAG.
-
Para contornar este problema sem instalar a correcção 2545850, reinicie a ACs. Esta solução alternativa permanecerá em vigor até à próxima vez que este problema é detectado.
A web server também poderá devolver um erro 401 devido a um problema de permissões ou se KCD não está correctamente configurado. Por exemplo, o nome do SPN (Service Principal) que delega Forefront UAG pode não estar registado contra a conta de servidor da web de destino ou a conta de serviço do processo. Para mais informações sobre a configuração de delegação restrita de Kerberos, consulte o seguinte Web site da Microsoft TechNet:
Configurar serviço single sign-on com Kerberos delegação restrita
Referências
Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
824684 descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft