Gejala

Pertimbangkan skenario berikut ini:

  • Anda memiliki beberapa domain di hutan Layanan Domain direktori aktif (AD DS) yang dimiliki oleh Microsoft Forefront terpadu Access Gateway (UAG) 2010.

  • Anda memiliki pengguna di domain anak hutan.

  • Anda memiliki paket layanan 3 untuk Forefront terpadu Access Gateway 2010 atau Rollup 1 untuk Forefront terpadu akses Gateway 2010 Paket Layanan 3.

  • Kolom akun Domain di peristiwa 4625 menampilkan DN (nama) domain induk.

  • Anda memiliki pengguna mengotentikasi ke Forefront UAG.


Dalam skenario ini, Anda mungkin melihat peningkatan jumlah mencoba gagal masuk di log peristiwa keamanan di pengontrol domain. Pengguna log on ke Forefront UAG mungkin membuat beberapa kejadian 4625 setiap kali mereka logon. Masalah ini terjadi apabila Forefront UAG mencoba untuk mencari grup dari beberapa sub domain. Log peristiwa tidak mempengaruhi pengguna yang masuk.

Peristiwa 4625 akan menyerupai berikut ini:

Nama log: keamanan
Sumber: Microsoft-Windows--pengauditan keamanan
Tanggal: tanggalwaktu
ID Kejadian: 4625
Kategori tugas: Logon
Tingkat: informasi
Kata kunci: Audit kegagalan
Pengguna: N/A
Komputer: dc1.contoso.com
Keterangan:
Akun gagal logon.
Subjek:
ID keamanan: sistem
Nama akun: UAG01$
Domain akun: CONTOSO
Logon ID: 0x3e7
Logon Type: 3
Akun untuk masuk yang gagal:
ID keamanan: S-1-0-0
Nama akun: username
Domain akun: DC =contoso, DC = com
Kegagalan informasi:
Alasan kegagalan: Tidak diketahui nama pengguna atau sandi buruk.
Status: 0xc000006d
Sub Status: 0xc0000064
Informasi proses:
ID proses telepon:
Nama proses pemanggil:-
Informasi jaringan:
Nama workstation: UAG01
Sumber alamat jaringan: 192.168.0.1
Sumber Port: 12345

Penyebab

Masalah ini terjadi karena beberapa peristiwa dicatat setiap kali pengguna yang log masuk ke Forefront UAG. Dalam hal ini, enumerasi grup di mana pengguna adalah anggota domain lainnya sub mencoba. Pencarian ini dapat mengakibatkan permintaan salah yang memicu peristiwa gagal logon.

Pemecahan masalah

Untuk mengatasi masalah ini, instal paket layanan 4 untuk Microsoft Forefront terpadu Access Gateway 2010, dan kemudian ikuti langkah-langkah di bagian "Informasi selengkapnya".

Status

Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

Informasi lebih lanjut

Untuk mencegah Forefront UAG enumerasi grup di subdomain, ikuti langkah-langkah berikut:

  1. Buat nilai registri berikut ini:

    Lokasi subkunci registri: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgr
    Nama DWORD: DoNotFetchSubdomainUserGroups
    Nilai DWORD: 1

  2. Menerapkan paket layanan 4 untuk Forefront terpadu Access Gateway 2010.

  3. Memulai konsol manajemen Microsoft Forefront UAG, dan kemudian klik Aktifkan untuk menerapkan perubahan konfigurasi Anda.

  4. Di jendela pesan yang lebih rendah, tunggu sampai pesan informasi berikut ini:

    Aktivasi berhasil diselesaikan.
    Catatan secara default, informasi pesan tidak diaktifkan atau ditampilkan. Untuk mengaktifkan pesan informasi, ikuti langkah-langkah berikut:

    1. Di konsol manajemen UAG Forefront, pada menu pesan , klik Pesan Filter.

    2. Di kotak dialog Pesan Filter , di area Jendela pesan , klik untuk memilih kotak centang informasi pesan , dan kemudian klik OK.



Catatan Tataan subkunci registri ini tidak berpengaruh fungsional pada proses logon dan mencegah mencoba gagal logon sedang diajukan.

Referensi

Lihat terminologi Microsoft digunakan untuk menjelaskan pembaruan perangkat lunak.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas terjemahannya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×