現象
次のような状況を考えます。
-
Microsoft Forefront 統合アクセス ゲートウェイ (UAG) 2010 が所属する、Active Directory ドメイン サービス (AD DS) フォレストの内部には、複数ドメインを持ちます。
-
ユーザーは、フォレストの子ドメインであります。
-
Forefront 統合アクセス ゲートウェイ 2010 のプログラムのロールアップ 1 の Forefront 統合アクセス ゲートウェイ 2010 Service Pack 3 がインストールされている Service Pack 3 があります。
-
4625 イベント内のアカウント ドメイン フィールドには、親ドメインの識別名 (DN) が表示されます。
-
Forefront UAG を認証するユーザーがあります。
このシナリオでは、ドメイン コント ローラー上のセキュリティ イベント ログに失敗したログオン試行の数を増やす場合があります。Forefront UAG にログオンするユーザーでは、ログオンするたびに複数の 4625 イベントを生成可能性があります。Forefront UAG は、複数のサブドメインからのグループを検索しようとすると、この問題が発生します。記録されたイベントは、ログオンしているユーザーには影響しません。
4625 のイベントは、次のようになります。
ログの名前: セキュリティ
ソース: Microsoft Windows のセキュリティの監査
日付:日付時刻
イベント ID: 4625
タスク カテゴリ: ログオン
レベル: 情報
キーワード: 監査の失敗
ユーザー: N/A
コンピューター: dc1.contoso.com
説明:
アカウントは、ログオンに失敗しました。
件名:
セキュリティ ID: システム
アカウント名: UAG01$
Contoso 社のアカウント ドメイン:
ログイン ID: 0x3e7
ログオンの種類: 3
アカウントのログオンが失敗しました。
セキュリティ ID: S-1-0-0
アカウント名:ユーザー名
アカウント ドメイン: DC =contoso 社DC = com
障害情報:
失敗の理由: 不明なユーザー名またはパスワードが間違っています。
状態: 0xc000006d
サブ状態: 0xc0000064 誤って入力しました。
プロセス情報:
呼び出し側プロセス ID:
呼び出し元プロセス名:-
ネットワーク情報:
ワークステーション名: UAG01
ソース ネットワーク アドレス: 192.168.0.1
発信元ポート: 12345
原因
この問題は、Forefront UAG をユーザーがログオンするたびに、複数のイベントがログに記録するために発生します。この例では、ユーザーが他のサブドメイン内のメンバーであるグループの列挙体が試されます。これらの参照は、正しくないクエリが失敗したログオン イベントをトリガーする可能性があります。
解決策
この問題を解決するには、Microsoft Forefront 統合アクセス ゲートウェイ 2010 のサービス パック 4をインストールして次の「関連情報」セクションの手順です。
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
Forefront UAG を防ぐため、サブドメイン上のグループを列挙してから、次の手順に従います。
-
次のレジストリ値を作成します。
サブキーのレジストリの場所: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
DWORD 名: DoNotFetchSubdomainUserGroups
DWORD 値: 1 -
Forefront のユニファイド アクセス ゲートウェイ 2010 Service Pack 4 を適用します。
-
Microsoft Forefront UAG 管理コンソールを起動し、構成に変更を適用するをアクティブにする] をクリックします。
-
下部のメッセージ ウィンドウで次の情報メッセージを待ちます。
ライセンス認証が正常に完了しました。
情報メッセージが有効か表示されていない既定では、注意してください。情報メッセージを有効にするには、次の手順を実行します。-
Forefront UAG 管理コンソールで、[メッセージ] メニューで、メッセージをフィルター処理をクリックします。
-
メッセージのフィルター ] ダイアログ ボックスの [メッセージ] ウィンドウ領域で、[情報メッセージ] チェック ボックスをオンにし、[ OK] をクリックします。
-
