Sintomi
Si consideri lo scenario seguente:
-
Si dispongono di più domini all'interno di un insieme di strutture di servizi di dominio Active Directory (AD DS) a cui appartiene Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Alcuni utenti in un dominio figlio dell'insieme di strutture.
-
È il Service Pack 3 per Forefront Unified Access Gateway 2010 o Rollup 1 per Forefront Unified Access Gateway 2010 installato Service Pack 3.
-
Il campo dominio di Account dell'evento 4625 viene visualizzato il nome distinto (DN) del dominio padre.
-
È l'autenticazione degli utenti di Forefront UAG.
In questo scenario, è possibile notare un aumento del numero di tentativi di accesso non riuscito nei registri eventi di protezione sui controller di dominio. Un utente che accede Forefront UAG può generare più 4625 eventi ogni volta che si connettono. Questo problema si verifica durante il tentativo di cercare i gruppi da più sottodomini di Forefront UAG. Gli eventi registrati non influenzano l'accesso dell'utente.
Gli 4625 eventi essere simile al seguente:
Nome registro: protezione
Origine: Microsoft-Windows-controllo della sicurezza
Data: Dataora
ID evento: 4625
Categoria di attività: accesso
Livello: informazioni
Parole chiave: Controllo non riuscito
Utente: n/d
Computer: dc1.contoso.com
Descrizione:
Un account di accesso non riuscito.
Oggetto:
ID di protezione: sistema
Nome account: $ UAG01
Dominio di account: CONTOSO
ID di accesso: 0x3e7
Tipo di accesso: 3
Account per cui accesso non riuscito:
ID di protezione: S-1-0-0
Nome account: nome utente
Dominio di account: DC =contoso, DC = com
Informazioni di errore:
Motivo dell'errore: Nome utente sconosciuto o password non valida.
Stato: 0xc000006d
Stato Sub: 0xc0000064
Informazioni sul processo:
ID del processo chiamante:
Nome del processo chiamante:-
Informazioni sulla rete:
Nome della workstation: UAG01
Indirizzo di rete di origine: 192.168.0.1
Porta di origine: 12345
Causa
Questo problema si verifica perché più eventi vengono registrati ogni volta che un utente accede a Forefront UAG. In questo caso, il tentativo di enumerazione dei gruppi in cui l'utente è un membro di altri sottodomini. Queste ricerche possono comportare una query non corretta che genera gli eventi di accesso non riuscito.
Risoluzione
Per risolvere questo problema, installare il Service Pack 4 per Microsoft Forefront Unified Access Gateway 2010 e quindi seguire le istruzioni nella sezione "Informazioni".
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Per impedire l'enumerazione dei gruppi su sottodomini Forefront UAG, attenersi alla seguente procedura:
-
Creare il seguente valore del Registro di sistema:
Percorso della sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgr
Nome DWORD: DoNotFetchSubdomainUserGroups
Valore DWORD: 1 -
Applicare il Service Pack 4 per Forefront Unified Access Gateway 2010.
-
Avviare la console di gestione di Microsoft Forefront UAG e quindi fare clic su Attiva per applicare le modifiche alla configurazione.
-
Nel riquadro inferiore di messaggio, attendere il seguente messaggio informativo:
Attivazione completata.
Nota per impostazione predefinita, i messaggi informativi non attivati o visualizzati. Per attivare i messaggi informativi, attenersi alla seguente procedura:-
Nella console di gestione di Forefront UAG, nel menu messaggi , fare clic su Filtro messaggi.
-
Nella finestra di dialogo Filtro messaggi , nell'area della Finestra di messaggio , fare clic per selezionare la casella di controllo i messaggi di informazioni e quindi fare clic su OK.
-
Nota: L'impostazione di questa sottochiave del Registro di sistema non ha alcun effetto sul processo di accesso funzionale e impedisce i tentativi di accesso non venga generato.
Riferimenti
Vedere la terminologia Microsoft utilizza per descrivere gli aggiornamenti software.
