Symptomen
Overweeg het volgende scenario:
-
U hebt meerdere domeinen binnen een Active Directory Domain Services (AD DS)-forest dat Microsoft Forefront Unified Access Gateway (UAG) 2010 behoort.
-
Er zijn gebruikers in een onderliggend domein van het forest.
-
Hebt u Service Pack 3 voor Forefront Unified Access Gateway 2010 of updatepakket 1 voor Forefront Unified Access Gateway 2010 Service Pack 3 is geïnstalleerd.
-
Het veld domein in de gebeurtenis 4625 geeft de DN-naam (Distinguished Name) van het bovenliggende domein.
-
Hebt u gebruikers verifiëren met Forefront UAG.
In dit scenario wordt er een toename van het aantal mislukte pogingen in het beveiligingslogboek op de domeincontrollers. Een gebruiker aanmelden bij Forefront UAG kan meerdere 4625 gebeurtenissen genereren wanneer ze zich aanmelden. Dit probleem treedt op wanneer Forefront UAG wil de groepen uit meerdere subdomeinen opzoeken. De vastgelegde gebeurtenissen hebben geen invloed op het aanmelden van gebruikers.
De 4625 gebeurtenissen kunnen uitzien:
Meld naam: beveiliging
Bron: Microsoft-Windows-beveiliging-controle
Datum: datumtijd
Gebeurtenis-ID: 4625
Categorie taak: aanmelden
Niveau: informatie
Trefwoorden: Controle mislukt
Gebruiker: n.v.t.
Computer: dc1.contoso.com
Beschrijving:
Een account aanmelden is mislukt.
Onderwerp:
Beveiligings-ID: systeem
Naam: UAG01$
Domein: CONTOSO
Aanmelden-ID: 0x3e7
Type aanmelding: 3
Rekening voor het aanmelden is mislukt:
Beveiligings-ID: S-1-0-0
Naam: gebruikersnaam
Domein: DC =contoso, DC = com
Fout informatie:
Oorzaak van fout: Onbekende gebruikersnaam of ongeldig wachtwoord.
Status: 0xc000006d
Sub-Status: 0xc0000064
Procesgegevens:
Proces-ID van aanroeper:
Naam aanvrager:-
Informatie over het netwerk:
Naam van werkstation: UAG01
Het adres van bron: 192.168.0.1
Bronpoort: 12345
Oorzaak
Dit probleem treedt op omdat elke keer dat een gebruiker zich aanmeldt bij Forefront UAG door meerdere gebeurtenissen worden vastgelegd. Inventarisatie van de groepen waarin de gebruiker lid is van een in andere subdomeinen is in dit geval wordt geprobeerd. Deze zoekopdrachten kunnen leiden tot een onjuiste query waarmee de mislukte aanmeldingspogingen wordt geactiveerd.
Oplossing
Dit probleem oplossen door Service Pack 4 voor Microsoft Forefront Unified Access Gateway 2010 installeren en volg de stappen in de sectie 'Meer informatie'.
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Ga als volgt te werk om te voorkomen dat Forefront UAG opsommen van groepen op subdomeinen:
-
Maak de volgende registerwaarde:
Register-subsleutel locatie: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
DWORD-naam: DoNotFetchSubdomainUserGroups
DWORD-waarde: 1 -
Pas servicepack 4 voor Forefront Unified Access Gateway 2010.
-
Start de Microsoft Forefront UAG Management-console en klik op activeren om de wijzigingen in de configuratie.
-
Wachten op het volgende bericht in het onderste deelvenster van het bericht:
Activering is voltooid.
Opmerking Standaard worden informatieve berichten niet ingeschakeld of weergegeven. Als u wilt dat de informatieve berichten, als volgt te werk:-
Klik op Filter berichtenin de console Beheer van Forefront UAG in het menu berichten .
-
Schakel het selectievakje berichten in het dialoogvenster Filter berichten in het Berichtvenster en klik op OK.
-
Opmerking Het instellen van deze subsleutel in het register geen functionele invloed heeft op het aanmeldingsproces en voorkomen dat de mislukte pogingen wordt opgetrokken.
Referenties
Zie de Microsoft terminologie gebruikt om softwareupdates te beschrijven.