Simptome
Să luăm în considerare următorul scenariu:
-
Aveți mai multe domenii în interiorul unei păduri serviciile de domeniu Active Directory (AD DS) care aparține Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Aveți utilizatori într-un domeniu fiu din pădure.
-
Aveți Service Pack 3 pentru Forefront Unified Access Gateway 2010 sau setul de actualizări 1 pentru Forefront Unified Access Gateway 2010 instalat Service Pack 3.
-
Câmpul de cont de domeniu în eveniment 4625 afișează numele distins (DN) al domeniului părinte.
-
Aveți utilizatorii autentificarea la Forefront UAG.
În acest scenariu, este posibil să observați o creștere a numărului de logon nereușită încearcă în jurnalele de evenimente de securitate pe controlerele de domeniu. Un utilizator face Log on în Forefront UAG poate genera mai multe evenimente 4625 de fiecare dată când faceți Log on. Această problemă apare când Forefront UAG încearcă să căutați grupuri din mai multe domenii secundare. Evenimentele conectat nu afectează utilizator face Log on.
Evenimentele 4625 poate semăna cu următoarea:
Nume jurnal: SecuritySursă: Microsoft-Windows--audit de securitateData: datăorăID eveniment: 4625Categorie activitate: Log onNivel: informaţiiCuvinte cheie: Auditare nereuşităUtilizator: N/AComputer: dc1.contoso.comDescriere:Un cont nu a reușit să facă log on.Subiect:ID-ul de securitate: sistemNume cont: UAG01$Domeniu cont: CONTOSOID de log on: 0x3e7Tip de log on: 3Contul pentru care log on nereușit:ID-ul de securitate: S-1-0-0Nume cont: numele de utilizatorDomeniu cont: DC =contoso, DC = comInformaţii despre eroare:Motiv eroare: Numele de utilizator necunoscut sau parolă rău.Stare: 0xc000006dSubstare: 0xc0000064Procesul de informații:ID apelant proces:Nume de proces apelantului:-Informații de rețea:Nume de stație de lucru: UAG01Sursă Network Address: 192.168.0.1Port sursă: 12345
Cauza
Această problemă se produce deoarece se înregistrează mai multe evenimente de fiecare dată când un utilizator face Log on Forefront UAG. În acest caz, este încercat enumerarea grupurilor în care utilizatorul este membru din alte domenii secundare. Aceste căutări poate duce la o interogare incorecte care declanșează evenimentele de logon nereușită.
Rezolvare
Pentru a rezolva această problemă, instalați Service Pack 4 pentru Microsoft Forefront Unified Access Gateway 2010 și apoi urmați pașii din secțiunea "Mai multe informații".
Stare
Microsoft a confirmat că aceasta este o problemă cu produsele Microsoft enumerate în secţiunea „Se aplică la".
Mai multe informații
Pentru a împiedica enumerarea grupurilor de sub-domenii Forefront UAG, urmați acești pași:
-
Creați următoarea valoare de registry:
Locație subcheie de registry: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgrNume DWORD: DoNotFetchSubdomainUserGroupsValoare DWORD: 1
-
Aplicați Service Pack 4 pentru Forefront Unified Access Gateway 2010.
-
Porniți Microsoft Forefront UAG Management console, și apoi faceți clic pe Activare pentru a aplica modificările de configurație.
-
În panoul de mesaj mai mică, așteptați următorul mesaj informativ:
Activare a finalizat cu succes.Notă în mod implicit, informativ mesajele nu sunt activate sau afișează. Pentru a activa mesajele informative, urmați acești pași:
-
În Forefront UAG Management console, în meniul de mesaje , faceți clic pe Filtru mesaje.
-
Caseta de dialog Filtru mesaje , în zona Fereastra de mesaj , faceți clic pentru a bifa caseta de selectare mesajele de informații și apoi faceți clic pe OK.
-
Notă Setarea această subcheie registry nu are niciun efect funcțional pe procesul de log on și împiedică crescut încearcă de logon nereușită.
Referințe
Consultați terminologia Microsoft utilizează pentru a descrie actualizările de software.
