症状

请考虑以下情形:

  • 通过使用 Microsoft 最前沿统一访问网关 (UAG) 2010年发布的 web 服务器。

  • Forefront UAG 2010 使用 Kerberos 约束委派 (KCD) 票证委派到已发布的 web 服务器的用户凭据。

  • 已发布的 web 服务器拒绝 KCD 票证 Forefront UAG 2010 年,通过提供并返回 401 错误。

在这种情况下,Forefront UAG 2010 将输入请求/重试循环。此外,Forefront UAG w3wp.exe 辅助进程可能会出现以下的情况,请求/重试循环中:

  • 快速增加的内存消耗

  • CPU 使用率过高

原因

此问题通常被致影响 KCD 安装程序问题或已发布的 web 服务器存在的问题。

如果 Forefront UAG 具有经过身份验证的用户,并成功获得了到发布的服务器的 KCD 票证,程序不会预计不会收到 401 错误从已发布的 web 服务器与发布服务器 KCD 协商期间。在这些情况下 Forefront UAG 尝试处理 401 错误,方法是获取新的 KCD 票证,然后重新提交该请求到已发布的 web 服务器。此活动会导致请求/重试循环的发生。

重要:请求/重试循环问题最前沿统一访问网关 2010 Service Pack 3 中 (SP3) 被固定。Forefront UAG 2010 SP3 不能解决这一基本身份验证问题因为的 Forefront UAG 中不会发生问题。如果 Forefront UAG 收到 401 错误从已发布的 web 服务器,因为与已发布的 web 服务器的 KCD 协商失败,401 错误返回到客户端。然后,客户端会收到身份验证提示。但是,客户端将无法完成身份验证,因为这一基本问题。

注意:请参见"更多信息"部分中有关的某些原因的详细信息,对已发布的 web 服务器意外身份验证失败。

解决方案

若要解决此问题,请安装以下 Microsoft 知识库文章中的 service pack 所述:

2744025说明最前沿的统一访问网关 2010 Service Pack 3

状态

Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息

Microsoft 客户支持已记录在 Outlook 无处发布方案中多次此问题。在这些情况下,问题引起 KCD 身份验证对客户端访问服务器 (CAS) 对 HTTP 通信的 RPC 失败。有关类似问题的更多信息,请单击下面的文章编号,以转到 Microsoft 知识库中相应的文章:

2545850在 Windows 7 中或在 Windows Server 2008 R2 中更改服务器的计算机密码后,用户无法访问 IIS 承载的网站备注:

  • KB 2545850 讨论了此修补程序应安装在 CA,Forefront UAG 服务器上不上。

  • 若要在不安装修补程序 2545850 的情况下解决此问题,请重新启动 CA。此变通办法直到下次遇到此问题时将保持有效。

Web 服务器也可能由于权限问题而返回 401 错误或如果 KCD 未正确设置。例如,可能未注册服务主体名称 (SPN) Forefront UAG 委托,针对目标 web 服务器帐户或进程服务帐户。有关 Kerberos 约束委派安装程序的详细信息,请转到以下 Microsoft TechNet 网站:

配置单一登录使用 Kerberos 约束委派

参考资料

有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

用于描述 Microsoft 软件更新的标准术语的824684说明

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×