Symptomer
Tenk deg følgende:
-
Du har flere domener i en Active Directory Domain Services (AD DS) skog som tilhører Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Du har brukere i et underordnet domene i skogen.
-
Du har Service Pack 3 for Forefront Unified Access Gateway 2010 eller samleoppdatering 1 for Forefront Unified Access Gateway 2010 Service Pack 3 installert.
-
Feltet kontodomene i hendelsen 4625 viser det unike navnet (DN) for det overordnede domenet.
-
Du må godkjenne brukere til Forefront UAG.
I dette scenariet kan du merke en økning i antall mislykte forsøk i hendelseslogg for sikkerhet for domenekontrollere. En bruker som logger på Forefront UAG kan generere flere 4625 hendelser hver gang de logger på. Dette problemet oppstår når Forefront UAG prøver å slå opp i grupper fra flere underdomener. De loggede hendelsene påvirker ikke brukeren logger på.
4625 hendelser kan ligne på følgende:
Logge: sikkerhetKilde: Microsoft-Windows-Security-overvåkingDato: dato-klokkeslettHendelses-ID: 4625Aktivitet kategori: påloggingNivå: informasjonNøkkelord: Revisjon mislyktesBruker: i/tDatamaskin: dc1.contoso.comBeskrivelse:En konto kan ikke logge.Emne:Sikkerhets-ID: SYSTEMKontonavn: UAG01$Kontodomene: CONTOSOPålogging ID: 0x3e7Logge Type: 3Konto For pålogging mislyktes:Sikkerhets-ID: S-1-0-0Kontonavn: brukernavnKontodomene: DC =contoso, DC = comFeil informasjon:Årsak til feil: Ukjent brukernavn eller feil passord.Status: 0xc000006dSub Status: 0xc0000064Informasjon om prosessen:Oppkalleren prosess-ID:Oppkalleren prosessnavnet:-Informasjon om nettverket:Workstation-navn: UAG01Nettverksadressen for kilde: 192.168.0.1Kildeport: 12345
Årsak
Dette problemet oppstår fordi flere hendelser logges hver gang en bruker logger seg Forefront UAG. I dette tilfellet prøvde opplisting av gruppene som brukeren er medlem i andre underordnede domener. Disse oppslag kan resultere i en feil-spørring som utløser de mislykkede påloggingshendelser.
Oppløsning
Hvis du vil løse dette problemet, installerer Service Pack 4 for Microsoft Forefront Unified Access Gateway 2010, og deretter følger du trinnene i delen "Mer informasjon".
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Hvis du vil ha mer informasjon
Hvis du vil forhindre at Forefront UAG lister opp grupper på underdomener, følger du denne fremgangsmåten:
-
Opprett følgende registerverdi:
Undernøkkelen registerplassering: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgrDWORD-navn: DoNotFetchSubdomainUserGroupsDWORD-verdi: 1
-
Bruk Service Pack 4 for Forefront Unified Access Gateway 2010.
-
Start Microsoft Forefront UAG Management console, og klikk deretter Aktiver for å bruke endringene på konfigurasjonen.
-
Vent til følgende informasjon vises i den nedre meldingsruten:
Aktivering er fullført.Merk som standard informasjonsmeldinger ikke er aktivert eller vises. Hvis du vil aktivere informasjonsmeldinger, gjør du følgende:
-
I Forefront UAG Management-konsollen på meldinger -menyen klikker du Filtrere meldinger.
-
Klikk for å merke av for informasjon om meldinger i dialogboksen Filter for meldinger i Meldingsvinduet -området, og klikk deretter OK.
-
Obs! Angi denne registerundernøkkelen påvirker ikke funksjonell påloggingsprosessen og hindrer at Mislykket pålogging-forsøk som starter.
Referanser
Se terminologien som Microsoft bruker til å beskrive oppdateringer av programvare.
