Gejala
Pertimbangkan skenario berikut ini:
-
Anda memiliki beberapa domain di hutan Layanan Domain direktori aktif (AD DS) yang dimiliki oleh Microsoft Forefront terpadu Access Gateway (UAG) 2010.
-
Anda memiliki pengguna di domain anak hutan.
-
Anda memiliki paket layanan 3 untuk Forefront terpadu Access Gateway 2010 atau Rollup 1 untuk Forefront terpadu akses Gateway 2010 Paket Layanan 3.
-
Kolom akun Domain di peristiwa 4625 menampilkan DN (nama) domain induk.
-
Anda memiliki pengguna mengotentikasi ke Forefront UAG.
Dalam skenario ini, Anda mungkin melihat peningkatan jumlah mencoba gagal masuk di log peristiwa keamanan di pengontrol domain. Pengguna log on ke Forefront UAG mungkin membuat beberapa kejadian 4625 setiap kali mereka logon. Masalah ini terjadi apabila Forefront UAG mencoba untuk mencari grup dari beberapa sub domain. Log peristiwa tidak mempengaruhi pengguna yang masuk.
Peristiwa 4625 akan menyerupai berikut ini:
Nama log: keamanan
Sumber: Microsoft-Windows--pengauditan keamanan
Tanggal: tanggalwaktu
ID Kejadian: 4625
Kategori tugas: Logon
Tingkat: informasi
Kata kunci: Audit kegagalan
Pengguna: N/A
Komputer: dc1.contoso.com
Keterangan:
Akun gagal logon.
Subjek:
ID keamanan: sistem
Nama akun: UAG01$
Domain akun: CONTOSO
Logon ID: 0x3e7
Logon Type: 3
Akun untuk masuk yang gagal:
ID keamanan: S-1-0-0
Nama akun: username
Domain akun: DC =contoso, DC = com
Kegagalan informasi:
Alasan kegagalan: Tidak diketahui nama pengguna atau sandi buruk.
Status: 0xc000006d
Sub Status: 0xc0000064
Informasi proses:
ID proses telepon:
Nama proses pemanggil:-
Informasi jaringan:
Nama workstation: UAG01
Sumber alamat jaringan: 192.168.0.1
Sumber Port: 12345
Penyebab
Masalah ini terjadi karena beberapa peristiwa dicatat setiap kali pengguna yang log masuk ke Forefront UAG. Dalam hal ini, enumerasi grup di mana pengguna adalah anggota domain lainnya sub mencoba. Pencarian ini dapat mengakibatkan permintaan salah yang memicu peristiwa gagal logon.
Pemecahan masalah
Untuk mengatasi masalah ini, instal paket layanan 4 untuk Microsoft Forefront terpadu Access Gateway 2010, dan kemudian ikuti langkah-langkah di bagian "Informasi selengkapnya".
Status
Microsoft telah memastikan bahwa ini merupakan masalah di dalam produk Microsoft sebagaimana tercantum di bagian "Berlaku untuk".
Informasi lebih lanjut
Untuk mencegah Forefront UAG enumerasi grup di subdomain, ikuti langkah-langkah berikut:
-
Buat nilai registri berikut ini:
Lokasi subkunci registri: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgr
Nama DWORD: DoNotFetchSubdomainUserGroups
Nilai DWORD: 1 -
Menerapkan paket layanan 4 untuk Forefront terpadu Access Gateway 2010.
-
Memulai konsol manajemen Microsoft Forefront UAG, dan kemudian klik Aktifkan untuk menerapkan perubahan konfigurasi Anda.
-
Di jendela pesan yang lebih rendah, tunggu sampai pesan informasi berikut ini:
Aktivasi berhasil diselesaikan.
Catatan secara default, informasi pesan tidak diaktifkan atau ditampilkan. Untuk mengaktifkan pesan informasi, ikuti langkah-langkah berikut:-
Di konsol manajemen UAG Forefront, pada menu pesan , klik Pesan Filter.
-
Di kotak dialog Pesan Filter , di area Jendela pesan , klik untuk memilih kotak centang informasi pesan , dan kemudian klik OK.
-
Catatan Tataan subkunci registri ini tidak berpengaruh fungsional pada proses logon dan mencegah mencoba gagal logon sedang diajukan.
Referensi
Lihat terminologi Microsoft digunakan untuk menjelaskan pembaruan perangkat lunak.
