症状
请考虑以下情形:
-
通过使用 Microsoft 最前沿统一访问网关 (UAG) 2010年发布的 web 服务器。
-
Forefront UAG 2010 使用 Kerberos 约束委派 (KCD) 票证委派到已发布的 web 服务器的用户凭据。
-
已发布的 web 服务器拒绝 KCD 票证 Forefront UAG 2010 年,通过提供并返回 401 错误。
在这种情况下,Forefront UAG 2010 将输入请求/重试循环。此外,Forefront UAG w3wp.exe 辅助进程可能会出现以下的情况,请求/重试循环中:
-
快速增加的内存消耗
-
CPU 使用率过高
原因
此问题通常被致影响 KCD 安装程序问题或已发布的 web 服务器存在的问题。
如果 Forefront UAG 具有经过身份验证的用户,并成功获得了到发布的服务器的 KCD 票证,程序不会预计不会收到 401 错误从已发布的 web 服务器与发布服务器 KCD 协商期间。在这些情况下 Forefront UAG 尝试处理 401 错误,方法是获取新的 KCD 票证,然后重新提交该请求到已发布的 web 服务器。此活动会导致请求/重试循环的发生。
重要:请求/重试循环问题最前沿统一访问网关 2010 Service Pack 3 中 (SP3) 被固定。Forefront UAG 2010 SP3 不能解决这一基本身份验证问题因为的 Forefront UAG 中不会发生问题。如果 Forefront UAG 收到 401 错误从已发布的 web 服务器,因为与已发布的 web 服务器的 KCD 协商失败,401 错误返回到客户端。然后,客户端会收到身份验证提示。但是,客户端将无法完成身份验证,因为这一基本问题。
注意:请参见"更多信息"部分中有关的某些原因的详细信息,对已发布的 web 服务器意外身份验证失败。
解决方案
若要解决此问题,请安装以下 Microsoft 知识库文章中的 service pack 所述:
2744025说明最前沿的统一访问网关 2010 Service Pack 3
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
Microsoft 客户支持已记录在 Outlook 无处发布方案中多次此问题。在这些情况下,问题引起 KCD 身份验证对客户端访问服务器 (CAS) 对 HTTP 通信的 RPC 失败。有关类似问题的更多信息,请单击下面的文章编号,以转到 Microsoft 知识库中相应的文章:
2545850在 Windows 7 中或在 Windows Server 2008 R2 中更改服务器的计算机密码后,用户无法访问 IIS 承载的网站备注:
-
KB 2545850 讨论了此修补程序应安装在 CA,Forefront UAG 服务器上不上。
-
若要在不安装修补程序 2545850 的情况下解决此问题,请重新启动 CA。此变通办法直到下次遇到此问题时将保持有效。
Web 服务器也可能由于权限问题而返回 401 错误或如果 KCD 未正确设置。例如,可能未注册服务主体名称 (SPN) Forefront UAG 委托,针对目标 web 服务器帐户或进程服务帐户。有关 Kerberos 约束委派安装程序的详细信息,请转到以下 Microsoft TechNet 网站:
参考资料
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明