現象
次のような状況を考えます。
-
Microsoft Forefront 統合アクセス ゲートウェイ (UAG) 2010 が所属する、Active Directory ドメイン サービス (AD DS) フォレストの内部には、複数ドメインを持ちます。
-
ユーザーは、フォレストの子ドメインであります。
-
Forefront 統合アクセス ゲートウェイ 2010 のプログラムのロールアップ 1 の Forefront 統合アクセス ゲートウェイ 2010 Service Pack 3 がインストールされている Service Pack 3 があります。
-
4625 イベント内のアカウント ドメイン フィールドには、親ドメインの識別名 (DN) が表示されます。
-
Forefront UAG を認証するユーザーがあります。
このシナリオでは、ドメイン コント ローラー上のセキュリティ イベント ログに失敗したログオン試行の数を増やす場合があります。Forefront UAG にログオンするユーザーでは、ログオンするたびに複数の 4625 イベントを生成可能性があります。Forefront UAG は、複数のサブドメインからのグループを検索しようとすると、この問題が発生します。記録されたイベントは、ログオンしているユーザーには影響しません。
4625 のイベントは、次のようになります。
ログの名前: セキュリティソース: Microsoft Windows のセキュリティの監査日付:日付時刻イベント ID: 4625タスク カテゴリ: ログオンレベル: 情報キーワード: 監査の失敗ユーザー: N/Aコンピューター: dc1.contoso.com説明:アカウントは、ログオンに失敗しました。件名:セキュリティ ID: システムアカウント名: UAG01$Contoso 社のアカウント ドメイン:ログイン ID: 0x3e7ログオンの種類: 3アカウントのログオンが失敗しました。セキュリティ ID: S-1-0-0アカウント名:ユーザー名アカウント ドメイン: DC =contoso 社DC = com障害情報:失敗の理由: 不明なユーザー名またはパスワードが間違っています。状態: 0xc000006dサブ状態: 0xc0000064 誤って入力しました。プロセス情報:呼び出し側プロセス ID:呼び出し元プロセス名:-ネットワーク情報:ワークステーション名: UAG01ソース ネットワーク アドレス: 192.168.0.1発信元ポート: 12345
原因
この問題は、Forefront UAG をユーザーがログオンするたびに、複数のイベントがログに記録するために発生します。この例では、ユーザーが他のサブドメイン内のメンバーであるグループの列挙体が試されます。これらの参照は、正しくないクエリが失敗したログオン イベントをトリガーする可能性があります。
解決策
この問題を解決するには、Microsoft Forefront 統合アクセス ゲートウェイ 2010 のサービス パック 4をインストールして次の「関連情報」セクションの手順です。
状況
マイクロソフトは、この問題を「対象製品」セクションに記載されているマイクロソフト製品の問題として認識しています。
詳細
Forefront UAG を防ぐため、サブドメイン上のグループを列挙してから、次の手順に従います。
-
次のレジストリ値を作成します。
サブキーのレジストリの場所: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgrDWORD 名: DoNotFetchSubdomainUserGroupsDWORD 値: 1
-
Forefront のユニファイド アクセス ゲートウェイ 2010 Service Pack 4 を適用します。
-
Microsoft Forefront UAG 管理コンソールを起動し、構成に変更を適用するをアクティブにする] をクリックします。
-
下部のメッセージ ウィンドウで次の情報メッセージを待ちます。
ライセンス認証が正常に完了しました。情報メッセージが有効か表示されていない既定では、注意してください。情報メッセージを有効にするには、次の手順を実行します。
-
Forefront UAG 管理コンソールで、[メッセージ] メニューで、メッセージをフィルター処理をクリックします。
-
メッセージのフィルター ] ダイアログ ボックスの [メッセージ] ウィンドウ領域で、[情報メッセージ] チェック ボックスをオンにし、[ OK] をクリックします。
-
