Gejala

Pertimbangkan skenario berikut ini:

  • Anda memiliki beberapa domain di hutan Layanan Domain direktori aktif (AD DS) yang dimiliki oleh Microsoft Forefront terpadu Access Gateway (UAG) 2010.

  • Anda memiliki pengguna di domain anak hutan.

  • Anda memiliki paket layanan 3 untuk Forefront terpadu Access Gateway 2010 atau Rollup 1 untuk Forefront terpadu akses Gateway 2010 Paket Layanan 3.

  • Kolom akun Domain di peristiwa 4625 menampilkan DN (nama) domain induk.

  • Anda memiliki pengguna mengotentikasi ke Forefront UAG.

Dalam skenario ini, Anda mungkin melihat peningkatan jumlah mencoba gagal masuk di log peristiwa keamanan di pengontrol domain. Pengguna log on ke Forefront UAG mungkin membuat beberapa kejadian 4625 setiap kali mereka logon. Masalah ini terjadi apabila Forefront UAG mencoba untuk mencari grup dari beberapa sub domain. Log peristiwa tidak mempengaruhi pengguna yang masuk.

Peristiwa 4625 akan menyerupai berikut ini:

Nama log: keamananSumber: Microsoft-Windows--pengauditan keamananTanggal: tanggalwaktuID Kejadian: 4625Kategori tugas: LogonTingkat: informasiKata kunci: Audit kegagalanPengguna: N/AKomputer: dc1.contoso.comKeterangan:Akun gagal logon.Subjek:ID keamanan: sistemNama akun: UAG01$Domain akun: CONTOSOLogon ID: 0x3e7Logon Type: 3Akun untuk masuk yang gagal:ID keamanan: S-1-0-0Nama akun: usernameDomain akun: DC =contoso, DC = comKegagalan informasi:Alasan kegagalan: Tidak diketahui nama pengguna atau sandi buruk.Status: 0xc000006dSub Status: 0xc0000064Informasi proses:ID proses telepon:Nama proses pemanggil:-Informasi jaringan:Nama workstation: UAG01Sumber alamat jaringan: 192.168.0.1Sumber Port: 12345

Penyebab

Masalah ini terjadi karena beberapa peristiwa dicatat setiap kali pengguna yang log masuk ke Forefront UAG. Dalam hal ini, enumerasi grup di mana pengguna adalah anggota domain lainnya sub mencoba. Pencarian ini dapat mengakibatkan permintaan salah yang memicu peristiwa gagal logon.

Pemecahan masalah

Untuk mengatasi masalah ini, instal paket layanan 4 untuk Microsoft Forefront terpadu Access Gateway 2010, dan kemudian ikuti langkah-langkah di bagian "Informasi selengkapnya".

Status

Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".

Informasi lebih lanjut

Untuk mencegah Forefront UAG enumerasi grup di subdomain, ikuti langkah-langkah berikut:

  1. Buat nilai registri berikut ini:

    Lokasi subkunci registri: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgrNama DWORD: DoNotFetchSubdomainUserGroupsNilai DWORD: 1

  2. Menerapkan paket layanan 4 untuk Forefront terpadu Access Gateway 2010.

  3. Memulai konsol manajemen Microsoft Forefront UAG, dan kemudian klik Aktifkan untuk menerapkan perubahan konfigurasi Anda.

  4. Di jendela pesan yang lebih rendah, tunggu sampai pesan informasi berikut ini:

    Aktivasi berhasil diselesaikan.Catatan secara default, informasi pesan tidak diaktifkan atau ditampilkan. Untuk mengaktifkan pesan informasi, ikuti langkah-langkah berikut:

    1. Di konsol manajemen UAG Forefront, pada menu pesan , klik Pesan Filter.

    2. Di kotak dialog Pesan Filter , di area Jendela pesan , klik untuk memilih kotak centang informasi pesan , dan kemudian klik OK.

Catatan Tataan subkunci registri ini tidak berpengaruh fungsional pada proses logon dan mencegah mencoba gagal logon sedang diajukan.

Referensi

Lihat terminologi Microsoft digunakan untuk menjelaskan pembaruan perangkat lunak.

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.