Simptome
Să luăm în considerare următorul scenariu:
-
Un server web publicat utilizând Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 utilizează bilete Kerberos restrictivă din delegare (KCD) pentru a delega acreditările de utilizator pentru serverul web publicate.
-
Serverul web publicate respinge permisul KCD care este furnizată de Forefront UAG 2010 și returnează o eroare 401.
În acest scenariu, Forefront UAG 2010 intră într-o buclă de solicitare/Reîncercare. În plus, următoarele condiții pot apărea pentru Forefront UAG w3wp.exe procesului de lucru în timpul buclă de solicitare/Reîncercare:
-
O creștere rapidă a consumului de memorie
-
Grad mare de utilizare a CPU
Cauza
Această problemă este cauzată de obicei de o problemă care afectează KCD instalare sau o problemă care există pe serverul web publicate.
Dacă Forefront UAG are autentificarea utilizatorului și a obținut cu succes un permis KCD publicate la server, programul vă așteptați să primiți o eroare 401 de la serverul web publicate în timpul negocierea KCD cu serverul publicate. În aceste condiții, Forefront UAG încearcă să se ocupe de eroare 401 obținerea un nou KCD permis și retrimite apoi solicitarea pentru serverul web publicate. Această activitate provoacă buclă de solicitare/reîncerca să apară.
Important Solicitare/Reîncercare buclă problema este remediată în Forefront Unified Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 Service Pack 3 abordează problema autentificarea de bază, deoarece că problema nu apare în Forefront UAG. Dacă Forefront UAG primește 401 eroare neașteptată la serverul web publicat, deoarece nu a reușit negocierea KCD cu serverul web publicat, se returnează eroarea 401 clientului. Clientul primește apoi o linie de autentificare. Cu toate acestea, clientul va putea finaliza autentificarea din cauza problemei de bază.
Notă Consultați secțiunea "Mai multe informații" pentru mai multe informații despre unele dintre cauzele erorii neașteptate autentificarea la serverul web publicate.
Rezolvare
Pentru a rezolva această problemă, instalați pachetul service pack care este descrisă în următorul articol din baza de cunoștințe Microsoft:
2744025 Descrierea Forefront Unified Access Gateway 2010 Service Pack 3
Stare
Microsoft a confirmat că aceasta este o problemă cu produsele Microsoft enumerate în secţiunea „Se aplică la".
Mai multe informații
Asistență pentru clienți Microsoft a înregistrat câteva apariții a acestei probleme în Outlook Anywhere publicare scenarii. În aceste cazuri, problema provocată de autentificare KCD la Client Access Server (CAS) să nu reușească pentru RPC prin HTTP trafic. Pentru mai multe informații despre o problemă similară, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:
2545850 utilizatorii nu pot accesa un site găzduit de IIS după ce computerul parola pentru server se modifică în Windows 7 sau Windows Server 2008 R2Note
-
Remedierea rapidă descrisă în KB 2545850 ar trebui să fie instalat pe CAS, nu pe serverul Forefront UAG.
-
Pentru a rezolva această problemă fără a instala remedierea rapidă 2545850, reporniți CAS. Această soluție va rămâne în vigoare până la următoarea pornire a este întâlnit această problemă.
Web server, de asemenea, pot returna o eroare 401 din cauza unei probleme de permisiuni sau dacă KCD nu este configurat corect. De exemplu, numele SPN (Service Principal) care Forefront UAG deleagă nu pot fi înregistrate împotriva contul țintă server web sau cont de serviciu de proces. Pentru mai multe informații despre instalarea delegare Kerberos limitată, accesați următorul site Web Microsoft TechNet:
Configurarea sign-on unic cu Kerberos restrictivă din delegare
Referințe
Pentru mai multe informaţii despre terminologia privind actualizarea software-ului, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
824684 Descrierea terminologiei standard care este utilizat pentru a descrie actualizările de software Microsoft
