狀況
請考慮下列情況:
-
使用 Microsoft Forefront 統一存取閘道 (UAG) 2010年便會發行 web 伺服器。
-
Forefront UAG 2010 委派至已發行的 web 伺服器的使用者認證,使用 Kerberos 限制委派 (KCD) 的票證。
-
已發佈的 web 伺服器會拒絕 Forefront UAG 2010 年,並會傳回 401 錯誤的 KCD 票證。
在這個案例中,Forefront UAG 2010 輸入要求/重試迴圈。此外,下列條件可能會要求/重試迴圈期間發生 Forefront UAG w3wp.exe 工作者處理序:
-
快速的增加記憶體耗用量
-
高 CPU 使用率問題
原因
這個問題通常被因為會影響 KCD 安裝程式的問題或已發佈的 web 伺服器存在的問題。
如果 Forefront UAG 已驗證使用者,而且已成功地取得 KCD 票證已發佈的伺服器,不會不會希望程式與已發佈的伺服器的 KCD 交涉期間,從已發佈的 web 伺服器收到 401 錯誤。在上述情況中,Forefront UAG 會嘗試取得新的 KCD 票證,然後再重新送出要求到已發佈的 web 伺服器處理 401 錯誤。這項活動會導致發生的要求/重試迴圈。
重要要求/重試迴圈問題已修正在 Forefront 統一存取閘道 2010 Service Pack 3 (SP3) 中。Forefront UAG 2010 SP3 不能解決基礎的驗證問題因為,Forefront UAG 中沒有發生問題。如果 Forefront UAG 從已發佈的 web 伺服器收到未預期的 401 錯誤,因為與已發佈的 web 伺服器的 KCD 交涉失敗,則 401 錯誤會傳回給用戶端。然後在用戶端會收到驗證提示。不過,用戶端將無法完成驗證,因為基礎問題。
注意請參閱 < 其他資訊=""> 一節,如需有關的一些原因的已發佈的 web 伺服器未預期的驗證失敗。
解決方案
如果要解決這個問題,安裝 service pack 所描述下列 「 Microsoft 知識庫 」 文件:
2744025的 Forefront 描述統一存取閘道 2010 Service Pack 3
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
更多的資訊
Microsoft 客戶支援部門已記錄這個問題的幾個項的目,Outlook 無所不在發佈案例中。在這些情況下,問題會造成用戶端存取伺服器 (CAS),以 rpc 錯誤後移轉的 HTTP 流量的 KCD 驗證。如需有關類似問題的詳細資訊,請按一下下面的文章編號,移至 Microsoft 知識庫 」 中的文件:
2545850後的伺服器電腦密碼變更在 Windows 7 中,或者在 Windows Server 2008 R2 的使用者無法存取 IIS 裝載的網站注意事項
-
KB 2545850 所述的 hotfix 應該安裝在 CA,Forefront UAG 伺服器上找不到。
-
若要解決這個問題,而不安裝 hotfix 2545850,重新啟動 CA。此因應措施會仍然有效,直到遇到這個問題,則在下一次。
Web 伺服器也可能會因為權限問題而傳回 401 錯誤,或如果 KCD 未正確設定。例如,可能未註冊服務主要名稱 (SPN),Forefront UAG 委派 (delegate),針對目標 web 伺服器帳戶或處理序的服務帳戶。如需有關 Kerberos 限制委派的安裝程式的詳細資訊,請前往下列 Microsoft TechNet 網站:
參考
如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
用來描述 Microsoft 軟體更新標準術語的編號 824684描述
