Sintomas
Considere o seguinte cenário:
-
Ter vários domínios dentro de uma floresta de serviços de domínio do Active Directory (AD DS) a que o Microsoft Forefront Unified Access Gateway (UAG) 2010 pertence.
-
Os utilizadores num domínio subordinado da floresta.
-
Ter o Service Pack 3 para o Forefront Unified Access Gateway 2010 ou conjunto de actualizações 1 para o Forefront Unified Access Gateway 2010 Service Pack 3 instalado.
-
O campo de domínio de conta no evento 4625 apresenta o nome distinto (DN) do domínio principal.
-
Tem de autenticar utilizadores a Forefront UAG.
Neste cenário, poderá notar um aumento do número de tentativas falhadas de início de sessão nos registos de eventos de segurança nos controladores de domínio. Um utilizador que inicie sessão Forefront UAG poderá gerar vários 4625 eventos sempre que iniciarem sessão. Este problema ocorre quando o Forefront UAG tenta procurar os grupos de vários subdomínios. Os eventos registados irão afectar o utilizador iniciar sessão.
Os 4625 eventos semelhantes às seguintes:
Nome de registo: segurança
Origem: Microsoft-Windows--a auditoria de segurança Data: datahora ID do evento: 4625 Categoria de tarefa: início de sessão Nível: informações Palavras-chave: Falha de auditoria Utilizador: n/d Computador: dc1.contoso.com Descrição: Uma conta de mensagens em fila não conseguiu iniciar sessão. Objecto: ID de segurança: sistema Nome da conta: UAG01$ Domínio de conta: CONTOSO ID de início de sessão: 0x3e7 Tipo de início de sessão: 3 Conta para o início de sessão falhou: ID de segurança: S-1-0-0 Nome da conta: nome de utilizador Domínio de conta: DC =contoso, DC = com Informação de falha: Motivo da falha: Nome de utilizador desconhecido ou palavra-passe incorrecta. Estado: 0xc000006d Sub estado: 0xc0000064 Informações do processo: ID de processo do autor da chamada: Nome do autor da chamada de processos:- Informações de rede: Nome da estação de trabalho: UAG01 Endereço de rede de origem: 192.168.0.1 Porta de origem: 12345Causa
Este problema ocorre porque os vários eventos são registados sempre que um utilizador inicia sessão no Forefront UAG. Neste caso, a enumeração de grupos nos quais o utilizador é um membro noutros domínios sub-é tentada. Estas pesquisas poderão resultar numa consulta incorrecta que accione os eventos de início de sessão falhadas.
Resolução
Para resolver este problema, instale o Service Pack 4 para o Microsoft Forefront Unified Access Gateway 2010 e, em seguida, siga os passos descritos na secção "Mais informação".
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Para impedir que o Forefront UAG enumeração de grupos em subdomínios, siga estes passos:
-
Crie o seguinte valor de registo:
Localização da subchave do registo: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgr
Nome da DWORD: DoNotFetchSubdomainUserGroups Valor DWORD: 1 -
Aplica o Service Pack 4 para o Forefront Unified Access Gateway 2010.
-
Iniciar a consola de gestão da Microsoft Forefront UAG e, em seguida, clique em Activar para aplicar as alterações à configuração.
-
No painel inferior da mensagem, aguarde que a seguinte mensagem informativa:
Activação concluída com êxito.
Nota por predefinição, mensagens informativas não são activadas ou apresentadas. Para activar as mensagens informativas, siga estes passos:-
Na consola de gestão do Forefront UAG, no menu de mensagens , clique em Filtro de mensagens.
-
Na caixa de diálogo Filtro de mensagens , na área da Janela de mensagem , clique para seleccionar a caixa de verificação de mensagens de informação e, em seguida, clique em OK.
-
Nota Definir esta subchave de registo não tem qualquer efeito sobre o processo de início de sessão funcional e impede que as tentativas falhadas de início de sessão seja aumentado.
Referências
Consulte a terminologia Microsoft utiliza para descrever actualizações de software.