Objawy
Rozważ następujący scenariusz:
-
Masz wiele domen w lesie Usługi domenowe w usłudze Active Directory (AD DS), do której należy dany program Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Niektórzy użytkownicy w domenie podrzędnej lasu.
-
Masz dodatku Service Pack 3 dla programu Forefront Unified Access Gateway 2010 lub pakiet zbiorczy 1 dla programu Forefront Unified Access Gateway 2010 Service Pack 3 zainstalowany.
-
Pole konta domeny w przypadku 4625 Wyświetla nazwę wyróżniającą (DN) domeny nadrzędnej.
-
Możesz skorzystać z uwierzytelniania użytkowników programu Forefront UAG.
W tym scenariuszu można zauważyć zwiększenie liczby nieudanych prób dzienniki zdarzeń zabezpieczeń na kontrolerach domeny. Użytkownik logujący się do Forefront UAG może generować wiele zdarzeń 4625 co czas logowaniu się. Ten problem występuje, gdy program Forefront UAG próbuje wyszukiwanie grup z wielu domen podrzędnych. Zarejestrowane zdarzenia nie ma wpływu na logowanie użytkownika.
Zdarzenia 4625 mogą mieć następującą postać:
Nazwa dziennika: zabezpieczeniaŹródło: Microsoft-Windows zabezpieczenia inspekcjiData: DataGodzinaIdentyfikator zdarzenia: 4625Kategoria zadania: logowaniePoziom: informacjeSłowa kluczowe: Niepowodzenie inspekcjiUżytkownik: n/d!Komputer: dc1.contoso.comOpis:Konto nie może się zalogować.Temat:Identyfikator zabezpieczeń: SYSTEMNazwa konta: UAG01$Domena konta: CONTOSOIdentyfikator logowania: 0x3e7Typ logowania: 3Konto, dla którego logowanie nie powiodło się:Identyfikator zabezpieczeń: S-1-0-0Nazwa konta: Nazwa użytkownikaDomena konta: DC =contoso, DC = comInformacje o niepowodzeniu:Przyczyna niepowodzenia: Nieznana nazwa użytkownika lub nieprawidłowe hasło.Stan: 0xc000006dSub stan: 0xc0000064Informacje o procesie:Identyfikator procesu wywołującego:Nazwa procesu wywołującego:-Informacje o sieci:Nazwa stacji roboczej: UAG01Źródłowy adres sieciowy: 192.168.0.1Port źródłowy: 12345
Przyczyna
Ten problem występuje, ponieważ wiele zdarzeń są rejestrowane, ilekroć użytkownik loguje się do programu Forefront UAG. W takim przypadku zostanie podjęta próba wyliczanie grup, w których użytkownik jest członkiem w innych domenach podrzędnych. Te wyszukiwania może spowodować niepoprawne kwerendy, która wyzwala zdarzenia logowania nie powiodło się.
Rozwiązanie
Aby rozwiązać ten problem, zainstaluj dodatek Service Pack 4 dla programu Microsoft Forefront Unified Access Gateway 2010, a następnie wykonaj kroki opisane w sekcji "Więcej informacji".
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Aby zapobiec sytuacji, w której Forefront UAG wyliczanie grup na poddomen, wykonaj następujące kroki:
-
Utwórz następującą wartość rejestru:
Położenie podklucza rejestru: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgrNazwa DWORD: DoNotFetchSubdomainUserGroupsWartość DWORD: 1
-
Zastosowanie dodatku Service Pack 4 dla programu Forefront Unified Access Gateway 2010.
-
Uruchom konsolę zarządzania programu Microsoft Forefront UAG, a następnie kliknij Uaktywnij , aby zastosować zmiany w konfiguracji użytkownika.
-
W dolnym okienku komunikatu poczekaj na następujący komunikat informacyjny:
Aktywacja została ukończona pomyślnie.Uwaga: Domyślnie komunikaty informacyjne są włączone lub nie wyświetlane. Aby włączyć komunikaty informacyjne, wykonaj następujące kroki:
-
W konsoli zarządzania programu Forefront UAG w menu wiadomości kliknij opcję Filtrowania wiadomości.
-
W oknie dialogowym Filtr wiadomości w obszarze Okna wiadomości kliknij, aby zaznaczyć pole wyboru komunikaty informacyjne , a następnie kliknij przycisk OK.
-
Uwaga Ustawienie ten podklucz rejestru nie funkcjonalności wpływa na proces logowania i zapobiega podniesionych prób nieudanego logowania.
Powiązane artykuły
Zobacz terminologia firma Microsoft używa do opisywania aktualizacji oprogramowania.
