Sintomas
Considere o seguinte cenário:
-
Você tem vários domínios dentro de uma floresta de serviços de domínio Active Directory (AD DS) ao qual pertence Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Você possui usuários em um domínio filho da floresta.
-
Você tem o Service Pack 3 para o Forefront Unified Access Gateway 2010 ou o pacote cumulativo de atualizações 1 para o Forefront Unified Access Gateway 2010 Service Pack 3 instalado.
-
O campo de domínio de conta no evento 4625 exibe o nome distinto (DN) do domínio pai.
-
Você tem que autenticar os usuários para o Forefront UAG.
Nesse cenário, você pode observar um aumento no número de tentativas de logon com falha nos logs de eventos de segurança nos controladores de domínio. Logon de usuário até o Forefront UAG pode gerar vários 4625 eventos toda vez que efetuarem logon. Esse problema ocorre quando o Forefront UAG tenta pesquisar os grupos de vários subdomínios. Os eventos registrados não afetam o logon do usuário.
Os 4625 eventos podem lembrar o seguinte:
Nome de logon: segurança
Fonte: Microsoft-Windows-Security-auditoria
Data: Datahora
Identificação do evento: 4625
Categoria da tarefa: Logon
Nível: Informações
Palavras-chave: Falha de auditoria
Usuário: N/D
Computador: DC1
Descrição:
Uma conta falha no logon.
Assunto:
Identificação de segurança: sistema
Nome da conta: UAG01$
CONTOSO do domínio da conta:
Identificação de logon: 0x3e7
Tipo de logon: 3
Conta para que o Logon falhou:
Identificação de segurança: S-1-0-0
Nome da conta: nome de usuário
Domínio de conta: DC =contoso, DC = com
Informações de falha:
Motivo da falha: Nome de usuário desconhecido ou senha incorreta.
Status: 0xc000006d
Sub Status: 0xc0000064
Informações sobre o processo:
ID de processo do chamador:
Nome de processo do chamador:-
Informações de rede:
Nome da estação de trabalho: UAG01
Endereço de rede de origem: 192.168.0.1
Porta de origem: 12345
Causa
Esse problema ocorre porque vários eventos são registrados sempre que um usuário efetua logon no Forefront UAG. Nesse caso, a enumeração dos grupos nos quais o usuário é um membro em outros subdomínios é tentada. Essas pesquisas podem resultar em uma consulta incorreta que aciona os eventos de logon com falha.
Resolução
Para resolver esse problema, instale o Service Pack 4 para o Microsoft Forefront Unified Access Gateway 2010 e, em seguida, siga as etapas na seção "Mais informações".
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Para impedir que o Forefront UAG enumerar grupos em subdomínios, execute as seguintes etapas:
-
Crie o seguinte valor do registro:
Local da subchave do registro: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
Nome da DWORD: DoNotFetchSubdomainUserGroups
Valor DWORD: 1 -
Aplique o Service Pack 4 para o Forefront Unified Access Gateway 2010.
-
Inicie o console de gerenciamento do Microsoft Forefront UAG e, em seguida, clique em Ativar para aplicar as alterações à sua configuração.
-
No painel inferior de mensagem, aguarde a seguinte mensagem informativa:
Ativação concluída com êxito.
Observação Por padrão, mensagens informativas não habilitadas ou exibidas. Para ativar as mensagens informativas, siga estas etapas:-
No console de gerenciamento do Forefront UAG, no menu de mensagens , clique em Filtrar mensagens.
-
Na caixa de diálogo Filtro de mensagens da área da Janela de mensagem , clique para selecionar a caixa de seleção de mensagens de informações e, em seguida, clique em OK.
-
Observação: Definindo esta subchave do registro não tem nenhum efeito sobre o processo de logon funcional e impede que as tentativas de logon com falha está sendo gerado.
Referências
Consulte a terminologia Microsoft usa para descrever as atualizações de software.
