Simptome
Să luăm în considerare următorul scenariu:
-
Aveți mai multe domenii în interiorul unei păduri serviciile de domeniu Active Directory (AD DS) care aparține Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Aveți utilizatori într-un domeniu fiu din pădure.
-
Aveți Service Pack 3 pentru Forefront Unified Access Gateway 2010 sau setul de actualizări 1 pentru Forefront Unified Access Gateway 2010 instalat Service Pack 3.
-
Câmpul de cont de domeniu în eveniment 4625 afișează numele distins (DN) al domeniului părinte.
-
Aveți utilizatorii autentificarea la Forefront UAG.
În acest scenariu, este posibil să observați o creștere a numărului de logon nereușită încearcă în jurnalele de evenimente de securitate pe controlerele de domeniu. Un utilizator face Log on în Forefront UAG poate genera mai multe evenimente 4625 de fiecare dată când faceți Log on. Această problemă apare când Forefront UAG încearcă să căutați grupuri din mai multe domenii secundare. Evenimentele conectat nu afectează utilizator face Log on.
Evenimentele 4625 poate semăna cu următoarea:
Nume jurnal: Security
Sursă: Microsoft-Windows--audit de securitate
Data: datăoră
ID eveniment: 4625
Categorie activitate: Log on
Nivel: informaţii
Cuvinte cheie: Auditare nereuşită
Utilizator: N/A
Computer: dc1.contoso.com
Descriere:
Un cont nu a reușit să facă log on.
Subiect:
ID-ul de securitate: sistem
Nume cont: UAG01$
Domeniu cont: CONTOSO
ID de log on: 0x3e7
Tip de log on: 3
Contul pentru care log on nereușit:
ID-ul de securitate: S-1-0-0
Nume cont: numele de utilizator
Domeniu cont: DC =contoso, DC = com
Informaţii despre eroare:
Motiv eroare: Numele de utilizator necunoscut sau parolă rău.
Stare: 0xc000006d
Substare: 0xc0000064
Procesul de informații:
ID apelant proces:
Nume de proces apelantului:-
Informații de rețea:
Nume de stație de lucru: UAG01
Sursă Network Address: 192.168.0.1
Port sursă: 12345
Cauza
Această problemă se produce deoarece se înregistrează mai multe evenimente de fiecare dată când un utilizator face Log on Forefront UAG. În acest caz, este încercat enumerarea grupurilor în care utilizatorul este membru din alte domenii secundare. Aceste căutări poate duce la o interogare incorecte care declanșează evenimentele de logon nereușită.
Rezolvare
Pentru a rezolva această problemă, instalați Service Pack 4 pentru Microsoft Forefront Unified Access Gateway 2010 și apoi urmați pașii din secțiunea "Mai multe informații".
Stare
Microsoft a confirmat că aceasta este o problemă cu produsele Microsoft enumerate în secţiunea „Se aplică la".
Mai multe informații
Pentru a împiedica enumerarea grupurilor de sub-domenii Forefront UAG, urmați acești pași:
-
Creați următoarea valoare de registry:
Locație subcheie de registry: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
Nume DWORD: DoNotFetchSubdomainUserGroups
Valoare DWORD: 1 -
Aplicați Service Pack 4 pentru Forefront Unified Access Gateway 2010.
-
Porniți Microsoft Forefront UAG Management console, și apoi faceți clic pe Activare pentru a aplica modificările de configurație.
-
În panoul de mesaj mai mică, așteptați următorul mesaj informativ:
Activare a finalizat cu succes.
Notă în mod implicit, informativ mesajele nu sunt activate sau afișează. Pentru a activa mesajele informative, urmați acești pași:-
În Forefront UAG Management console, în meniul de mesaje , faceți clic pe Filtru mesaje.
-
Caseta de dialog Filtru mesaje , în zona Fereastra de mesaj , faceți clic pentru a bifa caseta de selectare mesajele de informații și apoi faceți clic pe OK.
-
Notă Setarea această subcheie registry nu are niciun efect funcțional pe procesul de log on și împiedică crescut încearcă de logon nereușită.
Referințe
Consultați terminologia Microsoft utilizează pentru a descrie actualizările de software.
