修复: 前沿统一访问网关 2010年进入请求/重试循环

症状

请考虑以下情形:

  • 通过使用 Microsoft 最前沿统一访问网关 (UAG) 2010年发布的 web 服务器。

  • Forefront UAG 2010 使用 Kerberos 约束委派 (KCD) 票证委派到已发布的 web 服务器的用户凭据。

  • 已发布的 web 服务器拒绝 KCD 票证 Forefront UAG 2010 年,通过提供并返回 401 错误。

在这种情况下,Forefront UAG 2010 将输入请求/重试循环。此外,Forefront UAG w3wp.exe 辅助进程可能会出现以下的情况,请求/重试循环中:

  • 快速增加的内存消耗

  • CPU 使用率过高

原因

此问题通常被致影响 KCD 安装程序问题或已发布的 web 服务器存在的问题。

如果 Forefront UAG 具有经过身份验证的用户,并成功获得了到发布的服务器的 KCD 票证,程序不会预计不会收到 401 错误从已发布的 web 服务器与发布服务器 KCD 协商期间。在这些情况下 Forefront UAG 尝试处理 401 错误,方法是获取新的 KCD 票证,然后重新提交该请求到已发布的 web 服务器。此活动会导致请求/重试循环的发生。

重要:请求/重试循环问题最前沿统一访问网关 2010 Service Pack 3 中 (SP3) 被固定。Forefront UAG 2010 SP3 不能解决这一基本身份验证问题因为的 Forefront UAG 中不会发生问题。如果 Forefront UAG 收到 401 错误从已发布的 web 服务器,因为与已发布的 web 服务器的 KCD 协商失败,401 错误返回到客户端。然后,客户端会收到身份验证提示。但是,客户端将无法完成身份验证,因为这一基本问题。

注意:请参见"更多信息"部分中有关的某些原因的详细信息,对已发布的 web 服务器意外身份验证失败。

解决方案

若要解决此问题,请安装以下 Microsoft 知识库文章中的 service pack 所述:

2744025说明最前沿的统一访问网关 2010 Service Pack 3

状态

Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息

Microsoft 客户支持已记录在 Outlook 无处发布方案中多次此问题。在这些情况下,问题引起 KCD 身份验证对客户端访问服务器 (CAS) 对 HTTP 通信的 RPC 失败。有关类似问题的更多信息,请单击下面的文章编号,以转到 Microsoft 知识库中相应的文章:

2545850在 Windows 7 中或在 Windows Server 2008 R2 中更改服务器的计算机密码后,用户无法访问 IIS 承载的网站备注:

  • KB 2545850 讨论了此修补程序应安装在 CA,Forefront UAG 服务器上不上。

  • 若要在不安装修补程序 2545850 的情况下解决此问题,请重新启动 CA。此变通办法直到下次遇到此问题时将保持有效。

Web 服务器也可能由于权限问题而返回 401 错误或如果 KCD 未正确设置。例如,可能未注册服务主体名称 (SPN) Forefront UAG 委托,针对目标 web 服务器帐户或进程服务帐户。有关 Kerberos 约束委派安装程序的详细信息,请转到以下 Microsoft TechNet 网站:

配置单一登录使用 Kerberos 约束委派

参考资料

有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

用于描述 Microsoft 软件更新的标准术语的824684说明

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×