Симптомы
Рассмотрим следующий сценарий:
-
На веб-сервере публикуется с помощью Microsoft Forefront единой Access Gateway (UAG) 2010.
-
Forefront UAG 2010 использует билеты Kerberos ограниченное делегирование (функция KCD) для делегирования учетных данных пользователя на опубликованный веб-сервер.
-
Опубликованный веб-сервер отклоняет функция KCD билет, предоставляемых Forefront UAG 2010 и возвращает ошибку 401.
В этом случае Forefront UAG 2010 вводит в цикле повторная попытка запроса. Кроме того во время цикла повторная попытка запроса для рабочего процесса w3wp.exe Forefront UAG может возникнуть следующие условия:
-
Быстрое увеличение потребления памяти
-
Высокая загрузка ЦП
Причина
Эта проблема обычно вызвана проблема, которая влияет на настройки функция KCD или проблема, которая существует на опубликованном веб-сервере.
Если функция KCD билет на опубликованном сервере успешно получил Forefront UAG проверил подлинность пользователя, программа не ожидается получения об ошибке 401 из опубликованного веб-сервера во время согласования функция KCD с опубликованным сервером. В этих условиях Forefront UAG пытается обработать ошибку 401, получение нового билета функция KCD, а затем повторно запрос на опубликованный веб-сервер. Это действие вызывает цикла повторная попытка запроса на выполнение.
Важно. Повторная попытка запроса цикл проблема устранена в Forefront единой Access Gateway 2010 Пакет обновления 3 (SP3). Forefront UAG 2010 с пакетом обновления 3 не устраняет проблему базовой проверки подлинности из-за, проблема не возникает в Forefront UAG. Если Forefront UAG получает непредвиденная ошибка 401 на опубликованном веб-сервере, из-за сбоя согласования функция KCD с опубликованным веб-сервером, об ошибке 401 возвращается клиенту. Затем клиент получает запрос проверки подлинности. Тем не менее клиент не сможет выполнить проверку подлинности из-за основную проблему.
Примечание. Дополнительные сведения о некоторых из причин сбоя непредвиденные проверки подлинности опубликованного веб-сервера в разделе «Дополнительные сведения».
Решение
Для решения этой проблемы установите пакет обновления, описанного в следующей статье базы знаний Майкрософт:
2744025 описание Forefront единой Access Gateway 2010 Пакет обновления 3
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Служба поддержки пользователей Майкрософт зарегистрировал несколько вхождений данной проблемы в сценарии публикации мобильного Outlook. В этих случаях проблема вызвана функция KCD проверки подлинности для сервера клиентского доступа (CAS), сбой RPC через HTTP-трафика. Дополнительные сведения о подобной проблеме щелкните номер следующей статьи, чтобы перейти к статье базы знаний Майкрософт:
2545850 пользователей нет доступа к веб-сайту IIS размещен после изменения пароля компьютера для сервера в Windows 7 или Windows Server 2008 R2Примечания
-
Исправление, описанное в КБ 2545850 должен устанавливаться на ЦС, а не на сервере Forefront UAG.
-
Для временного решения этой проблемы без установки исправления 2545850, перезапустите ЦС. Это решение будет действовать до следующего при возникновении этой проблемы.
Веб сервер также может вернуть ошибку 401 из-за проблем с разрешениями, или если функция KCD не установлены. Например службы имя участника (SPN) что Forefront UAG делегаты не могут быть зарегистрированы для веб сервера конечной учетной записи или учетной записи службы процесса. Дополнительные сведения о настройке ограниченного делегирования Kerberos посетите следующий веб-узел Microsoft TechNet:
Настройка единого входа с помощью Kerberos ограниченное делегирование
Ссылки
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
