Objawy
Rozważ następujący scenariusz:
-
Masz wiele domen w lesie Usługi domenowe w usłudze Active Directory (AD DS), do której należy dany program Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Niektórzy użytkownicy w domenie podrzędnej lasu.
-
Masz dodatku Service Pack 3 dla programu Forefront Unified Access Gateway 2010 lub pakiet zbiorczy 1 dla programu Forefront Unified Access Gateway 2010 Service Pack 3 zainstalowany.
-
Pole konta domeny w przypadku 4625 Wyświetla nazwę wyróżniającą (DN) domeny nadrzędnej.
-
Możesz skorzystać z uwierzytelniania użytkowników programu Forefront UAG.
W tym scenariuszu można zauważyć zwiększenie liczby nieudanych prób dzienniki zdarzeń zabezpieczeń na kontrolerach domeny. Użytkownik logujący się do Forefront UAG może generować wiele zdarzeń 4625 co czas logowaniu się. Ten problem występuje, gdy program Forefront UAG próbuje wyszukiwanie grup z wielu domen podrzędnych. Zarejestrowane zdarzenia nie ma wpływu na logowanie użytkownika.
Zdarzenia 4625 mogą mieć następującą postać:
Nazwa dziennika: zabezpieczenia
Źródło: Microsoft-Windows zabezpieczenia inspekcji
Data: DataGodzina
Identyfikator zdarzenia: 4625
Kategoria zadania: logowanie
Poziom: informacje
Słowa kluczowe: Niepowodzenie inspekcji
Użytkownik: n/d!
Komputer: dc1.contoso.com
Opis:
Konto nie może się zalogować.
Temat:
Identyfikator zabezpieczeń: SYSTEM
Nazwa konta: UAG01$
Domena konta: CONTOSO
Identyfikator logowania: 0x3e7
Typ logowania: 3
Konto, dla którego logowanie nie powiodło się:
Identyfikator zabezpieczeń: S-1-0-0
Nazwa konta: Nazwa użytkownika
Domena konta: DC =contoso, DC = com
Informacje o niepowodzeniu:
Przyczyna niepowodzenia: Nieznana nazwa użytkownika lub nieprawidłowe hasło.
Stan: 0xc000006d
Sub stan: 0xc0000064
Informacje o procesie:
Identyfikator procesu wywołującego:
Nazwa procesu wywołującego:-
Informacje o sieci:
Nazwa stacji roboczej: UAG01
Źródłowy adres sieciowy: 192.168.0.1
Port źródłowy: 12345
Przyczyna
Ten problem występuje, ponieważ wiele zdarzeń są rejestrowane, ilekroć użytkownik loguje się do programu Forefront UAG. W takim przypadku zostanie podjęta próba wyliczanie grup, w których użytkownik jest członkiem w innych domenach podrzędnych. Te wyszukiwania może spowodować niepoprawne kwerendy, która wyzwala zdarzenia logowania nie powiodło się.
Rozwiązanie
Aby rozwiązać ten problem, zainstaluj dodatek Service Pack 4 dla programu Microsoft Forefront Unified Access Gateway 2010, a następnie wykonaj kroki opisane w sekcji "Więcej informacji".
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Aby zapobiec sytuacji, w której Forefront UAG wyliczanie grup na poddomen, wykonaj następujące kroki:
-
Utwórz następującą wartość rejestru:
Położenie podklucza rejestru: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
Nazwa DWORD: DoNotFetchSubdomainUserGroups
Wartość DWORD: 1 -
Zastosowanie dodatku Service Pack 4 dla programu Forefront Unified Access Gateway 2010.
-
Uruchom konsolę zarządzania programu Microsoft Forefront UAG, a następnie kliknij Uaktywnij , aby zastosować zmiany w konfiguracji użytkownika.
-
W dolnym okienku komunikatu poczekaj na następujący komunikat informacyjny:
Aktywacja została ukończona pomyślnie.
Uwaga: Domyślnie komunikaty informacyjne są włączone lub nie wyświetlane. Aby włączyć komunikaty informacyjne, wykonaj następujące kroki:-
W konsoli zarządzania programu Forefront UAG w menu wiadomości kliknij opcję Filtrowania wiadomości.
-
W oknie dialogowym Filtr wiadomości w obszarze Okna wiadomości kliknij, aby zaznaczyć pole wyboru komunikaty informacyjne , a następnie kliknij przycisk OK.
-
Uwaga Ustawienie ten podklucz rejestru nie funkcjonalności wpływa na proces logowania i zapobiega podniesionych prób nieudanego logowania.
Powiązane artykuły
Zobacz terminologia firma Microsoft używa do opisywania aktualizacji oprogramowania.
