Simptomi
Razmotrite sledeći slučaj:
-
Web server je objavio pomoću Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 koristi Kerberos ograničena delegacija (KCD) karte da delegirate korisničkih akreditiva na objavljenim web server.
-
Objavljene web server odbija KCD kartu koja obezbeđuje Forefront UAG 2010, a daje grešku u 401.
U ovom scenariju, Forefront UAG 2010 unosi u zahtev/ponovi petlju. Pored toga, sledeći uslovi može doći do za Forefront UAG w3wp.exe radnik proces tokom u toku zahtev/ponovnih pokušaja:
-
Brz rast u potrošnji memorije
-
Procesor u velikoj meri
Uzrok
Ovaj problem je obično izazvanog pitanje koje utiče na podešavanju KCD ili pitanje koje postoji na objavljenim web serveru.
Ako Forefront UAG je ovlašćeni korisnik i uspješno je dobila kartu za KCD na objavljenu server, program neće se očekivati dobiti grešku 401 iz objavljene web serveru tokom KCD pregovore sa objavljenim serverom. Pod ovim uslovima, Forefront UAG pokušava da podnese 401 grešku tako dobijanje nove KCD karta, a onda resubmitting zahtev za objavljenu web server. Ova aktivnost izaziva u toku zahtev/ponovni pokušaj da se pojavi.
Važno Zahtev/ponovni pokušaj petlja problem je popravljen u Forefront Unified Access Gateway 2010 servisni paket 3 (SP3). Forefront UAG 2010 SP3 ne rešava goruće pitanje identiteta jer to pitanje ne dođe u Forefront UAG. Forefront UAG prima neočekivana greška 401 iz objavljene web server jer KCD pregovore sa objavljenim web server nije uspeo, 401 greška se vraća ako klijentu. Klijent je zatim prima odzivnik za potvrdu identiteta. Međutim, klijent će biti nije moguće dovršiti potvrdu identiteta zbog goruće pitanje.
Napomena Pogledajte odjeljak „Dodatne informacije” za više informacija o nekim od uzroka otkazivanja neočekivane potvrdu identiteta na objavljenim web server.
Rezolucija
Da biste rešili ovaj problem, instalirate servisni paket koji je opisan u sljedećem članku u Microsoftovoj bazi znanja:
2744025 opis Forefront unificirani pristup Gateway 2010 servisni paket 3
Status
Microsoft je potvrdio da je ovo problem kod Microsoft proizvoda koji su navedeni u odeljku „Odnosi se na”.
Više informacija
Podrška za korisnike Microsoft je prijavljeno nekoliko pojavljivanja ovog problema u Outlook Anywhere objavljivanje scenarija. U ovim slučajevima, pitanje je izazvalo KCD potvrdu identiteta na serveru "Klijentski pristup" (CAS) da pada za RPC preko HTTP promet. Za više informacija o sličnom problemu, kliknite na sledeći broj članka da idem članak u Microsoft bazi znanja:
2545850 korisnici ne mogu pristupiti Internet sajt je bio domaćin IIS, nakon što je kompjuter lozinku za server nije promenilo u operativnom sistemu Windows 7 ili Windows Server 2008 R2Napomene
-
Hitni popravak opisanu u KB 2545850 treba da bude instaliran na CAS, ne na Forefront UAG server.
-
Da biste zaobišli ovaj problem bez instaliranja hitni popravak 2545850, ponovo pokrenite autoriteti za Certifikaciju. Ovo zaobilazno rješenje će ostati na snazi do sledećeg koji je naišao ovaj problem.
Web server može da vratiti i 401 greška zbog problema sa dozvolama ili ako je KCD nije ispravno podešen. Na primer, na servis glavno ime (SPN) to Forefront UAG delegati možda nije registrovana protiv meta web server nalog ili nalog za servis procesa. Za više informacija o podešavanju Kerberos delegiranje ograničena, pogledajte sledeće Microsoft TechNet Web lokaciji:
Konfigurisanje jedinstveno prijavljivanje sa Kerberos ograničena delegacije
Reference
Za više informacija o terminologiji za ažuriranje softvera, kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:
824684 opis standardne terminologije koja se koristi za opisivanje Microsoftovih softverskih ažuriranja
