Symptom
Föreställ dig följande:
-
En webbserver publiceras via Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 använder Kerberos begränsad delegering (KCD) biljetter för att delegera användarreferenser till publicerade webbservern.
-
Publicerade webbservern avvisar KCD-biljetten som tillhandahålls av Forefront UAG 2010 och returnerar ett 401-fel.
I det här fallet träder Forefront UAG 2010 en begäran/retry-loop. Dessutom kan inträffa följande för Forefront UAG w3wp.exe arbetsprocessen under begäran/retry-loop:
-
En snabb ökning av förbrukning av minne
-
Hög CPU-användning
Orsak
Detta problem orsakas vanligen av ett problem som påverkar KCD-inställning eller ett problem som finns på publicerade webbservern.
Om Forefront UAG har autentiserat användaren och har nu fått KCD biljett till den publicerade servern, förväntas inte programmet får ett 401-fel från publicerade webbservern under förhandlingen KCD med den publicerade servern. Forefront UAG försöker hantera 401-fel genom att skaffa en ny KCD biljett och skicka sedan om begäran till webbservern publicerade under dessa förhållanden. Denna verksamhet medför begäran/retry-loop uppstår.
Viktigt Begäran/retry-loop problemet har åtgärdats i Forefront Unified Access Gateway 2010 Service Pack 3 (SP3). Forefront UAG 2010 SP3 behandlar inte det underliggande problemet för autentisering eftersom som problemet inte uppstår i Forefront UAG. Om Forefront UAG får oväntat 401-fel från publicerade webbservern eftersom KCD-förhandling med publicerade webbservern misslyckades, returneras 401-fel till klienten. Klienten får sedan en uppmaning till autentisering. Men kan klienten inte slutföra autentisering på underliggande problem.
Obs! I avsnittet ”Mer Information” finns mer information om några av orsakerna av oväntade autentiseringsfel till publicerade webbservern.
Lösning
Lös problemet genom att installera service Pack-uppdateringen som beskrivs i följande artikel i Microsoft Knowledge Base:
2744025 beskrivning av Forefront Unified Access Gateway 2010 Service Pack 3
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet ”gäller”.
Mer Information
Microsoft Customer Support har noterat flera förekomster av det här problemet i Outlook Anywhere publishing scenarier. I dessa fall kan orsakas problemet KCD autentisering till klientåtkomstserver (CAS) misslyckas för RPC över HTTP-trafik. Mer information om ett liknande problem klickar du på följande artikelnummer för att gå till artikeln i Microsoft Knowledge Base:
2545850 användare kan inte komma åt en webbplats med IIS som värd när datorn lösenordet för servern ändras i Windows 7 eller Windows Server 2008 R2Kommentarer
-
Snabbkorrigeringen som beskrivs i KB 2545850 bör installeras på Certifikatutfärdare, inte på Forefront UAG-servern.
-
Starta om en Certifikatutfärdare om du vill undvika problemet utan att installera snabbkorrigering 2545850. Den här lösningen fortsätter att gälla förrän nästa gång problemet uppstår.
Internet server kan också returnera ett 401-fel på grund av ett problem med behörigheter eller om KCD inte är korrekt konfigurerad. Det namnet SPN (Service Principal) som delegerar Forefront UAG får inte registreras mot målkonto web server eller process-tjänstkontot. Mer information om inställningar för Kerberos-begränsad delegering finns i följande Microsoft TechNet-webbplats:
Konfigurera enkel inloggning med Kerberos begränsad delegering
Referenser
För mer information om terminologin för programuppdateringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824684 beskrivning av standardterminologin som används för att beskriva Microsoft-programuppdateringar
