Triệu chứng
Xem xét tình huống sau:
-
Máy chủ web được xuất bản bằng cách sử dụng Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Forefront UAG 2010 sử dụng vé Kerberos hạn chế uỷ nhiệm (KCD) uỷ nhiệm người dùng thông tin đăng nhập vào máy chủ web được xuất bản.
-
Máy chủ web được xuất bản từ chối KCD vé được cung cấp bởi Forefront UAG 2010 rồi trả lại lỗi 401.
Trong trường hợp này, Forefront UAG 2010 nhập vào một vòng lặp yêu cầu/thử lại. Ngoài ra, các điều kiện sau đây có thể xảy ra cho quá trình riêng biệt w3wp.exe Forefront UAG trong vòng yêu cầu/thử:
-
Sự gia tăng nhanh chóng tiêu thụ bộ nhớ
-
Sử dụng CPU cao
Nguyên nhân
Vấn đề này thường xảy ra sự cố ảnh hưởng đến thiết lập KCD hoặc một vấn đề tồn tại trên máy chủ web được xuất bản.
Nếu Forefront UAG đã xác thực người dùng và đã thu thập thành công một vé KCD đến máy chủ công bố chương trình không muốn nhận được lỗi 401 từ máy chủ web được xuất bản trong thoả thuận KCD với máy chủ đã xuất bản. Trong các điều kiện, Forefront UAG cố xử lý lỗi 401 nhận vé KCD mới và sau đó gửi lại yêu cầu đến máy chủ web được xuất bản. Hoạt động này khiến vòng yêu cầu/thử lại xảy ra.
Quan trọng Yêu cầu/thử vòng sự cố được khắc phục trong Forefront Unified Access Gateway 2010 gói dịch vụ 3 (SP3). Forefront UAG 2010 SP3 không giải quyết vấn đề xác thực cơ bản vì có sự cố xảy ra trong Forefront UAG. Nếu Forefront UAG 401 lỗi không mong muốn nhận được từ máy chủ web được xuất bản vì thương lượng KCD với máy chủ web được xuất bản, lỗi 401 trả lại cho khách hàng. Khách hàng sau đó nhận được dấu nhắc xác thực. Tuy nhiên, khách hàng sẽ không thể hoàn tất việc xác thực vì những vấn đề cơ bản.
Lưu ý Xem phần "Thông tin thêm" để biết thêm thông tin về một số nguyên nhân của lỗi không mong muốn xác thực với máy chủ web được xuất bản.
Giải pháp
Để khắc phục sự cố này, hãy cài đặt gói dịch vụ được mô tả trong bài viết sau trong cơ sở kiến thức Microsoft:
2744025 mô tả Forefront Unified Access Gateway 2010 Service Pack 3
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Hỗ trợ khách hàng của Microsoft đã ghi nhận một số sự kiện về vấn đề này trong Outlook Anywhere kịch bản phát hành. Trong các trường hợp này, sự cố xảy ra KCD xác thực với máy chủ truy cập máy khách (CAS) không thành công cho RPC qua HTTP lưu lượng truy cập. Để biết thêm thông tin về sự cố tương tự, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
2545850 người dùng không thể truy cập một trang web lưu trữ trên IIS sau khi máy tính mật khẩu được thay đổi trong Windows 7 hoặc Windows Server 2008 R2Lưu ý:
-
Hotfix được đề cập trong KB 2545850 phải được cài đặt trên CAS, không phải trên máy chủ Forefront UAG.
-
Để khắc phục sự cố này mà không cần cài đặt hotfix 2545850, khởi động lại CAS. Giải pháp này sẽ vẫn có hiệu lực cho đến khi có sự cố này xảy ra.
Trang web máy chủ cũng có thể trả lại lỗi 401 vì sự cố về quyền hoặc nếu KCD không thiết lập chính xác. Ví dụ: các dịch vụ chính tên (SPN) Forefront UAG đại biểu không có thể được đăng ký với tài khoản máy chủ mục tiêu trang web hoặc tài khoản Dịch vụ trình. Để biết thêm chi tiết về thiết lập uỷ nhiệm Kerberos hạn chế, hãy truy cập trang web Microsoft TechNet sau đây:
Tham khảo
Để biết thêm thông tin về thuật ngữ cập nhật phần mềm, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
824684 mô tả thuật ngữ chuẩn được sử dụng để miêu tả các bản cập nhật phần mềm Microsoft