Problembeschreibung
Betrachten Sie das folgende Szenario:
-
Sie haben mehrere Domänen in einer Active Directory-Domänendienste (AD DS) Gesamtstruktur Microsoft Forefront Unified Access Gateway (UAG) 2010 gehört.
-
Sie haben Benutzer in einer untergeordneten Domäne der Gesamtstruktur.
-
Service Pack 3 wird für Forefront Unified Access Gateway 2010 oder Rollup 1 für Forefront Unified Access Gateway 2010 Service Pack 3 installiert haben.
-
Feld Konto bei 4625 zeigt den distinguished Name (DN) der übergeordneten Domäne.
-
Sie haben Benutzer authentifizieren Forefront UAG.
In diesem Szenario möglicherweise eine Zunahme der Anzahl der fehlgeschlagenen Versuche in die Sicherheitsereignisprotokolle auf den Domänencontrollern fest. Ein Benutzer anmeldet Forefront UAG 4625 Ereignisse möglicherweise jedes Mal generiert, die Anmeldung. Dieses Problem tritt auf, wenn Forefront UAG versucht sich Gruppen aus mehreren Unterdomänen. Die protokollierten Ereignisse wirken sich nicht auf die Anmeldung aus.
4625 Ereignisse können folgendermaßen aussehen:
Protokollname: Sicherheit
Quelle: Microsoft-Windows-Security-Überwachung
Datum: DatumUhrzeit
Ereignis-ID: 4625
Aufgabe Kategorie: Anmeldung
Ebene: Informationen
Schlüsselwörter: Überwachungsfehler
Benutzer: nicht vorhanden
Computer: dc1.contoso.com
Beschreibung
Ein Konto konnte sich nicht anmelden.
Betreff:
Sicherheits-ID: SYSTEM
Kontoname: UAG01$
Kontendomäne: CONTOSO
Logon-ID: 0x3e7
Anmeldung Typ: 3
Konto für die Anmeldung ist fehlgeschlagen:
Sicherheits-ID: S-1-0-0-
Kontoname: Benutzername
Kontodomäne: DC =Contoso, DC = com
Informationen:
Fehlerursache: Unbekannte Benutzername oder ungültiges Kennwort.
Status: 0xc000006d
Sub-Status: 0xc0000064
Informationen:
Aufrufer-Prozess-ID:
Aufrufer Prozessname:-
Informationen:
Name der Arbeitsstation: UAG01
Netzwerk Adresse: 192.168.0.1
Quellport: 12345
Ursache
Dieses Problem tritt auf, weil mehrere Ereignisse jedes Mal angemeldet sind, das ein Benutzer Forefront UAG anmeldet. In diesem Fall wird die Auflistung der Gruppen, in denen der Benutzer Mitglied in anderen untergeordneten Domänen ist, versucht. Diese Suche können eine falsche Abfrage führen, die fehlgeschlagenen Ereignisse auslöst.
Problemlösung
Um dieses Problem zu beheben, installieren Sie Service Pack 4 für Microsoft Forefront Unified Access Gateway 2010 und dann die Schritte im Abschnitt "Weitere Informationen".
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.
Weitere Informationen
Forefront UAG verhindern auf untergeordnete Domänen auflisten, gehen Sie folgendermaßen vor:
-
Erstellen Sie den folgenden Registrierungswert:
Unterschlüssel Registrierungsschlüssel: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
DWORD-Name: DoNotFetchSubdomainUserGroups
DWORD-Wert: 1 -
Wenden Sie Servicepack 4 für Forefront Access Gateway 2010 Unified.
-
Starten Sie Microsoft Forefront UAG-Verwaltungskonsole, und klicken Sie auf Aktivieren , um die Änderungen zu Ihrer Konfiguration.
-
Warten Sie im unteren Nachrichtenbereich die folgende Meldung angezeigt:
Aktivierung erfolgreich abgeschlossen.
Hinweis Standardmäßig Informationsnachrichten nicht aktiviert oder angezeigt werden. Um die zusätzlichen Informationen zu aktivieren, gehen Sie folgendermaßen vor:-
Klicken Sie in der Forefront UAG-Verwaltungskonsole im Menü Nachrichten auf Nachrichten.
-
Aktivieren Sie im Dialogfeld Nachrichten filtern im Bereich Fenster das Kontrollkästchen Informationen und klicken Sie dann auf OK.
-
Hinweis Dieser Registrierungsunterschlüssel hat keine funktionale Auswirkung auf den Anmeldevorgang und verhindert, dass nicht versucht ausgelöst wird.
Referenzen
Anzeigen Sie die Terminologie verwendet Produktupdates