Симптомы
Рассмотрим следующий сценарий:
-
Имеется несколько доменов в лесу доменных служб Active Directory (AD DS), к которой принадлежит Microsoft Forefront единой Access Gateway (UAG) 2010.
-
У вас есть пользователи в дочернем домене леса.
-
Имеется Пакет обновления 3 для Forefront единой Access Gateway 2010 или накопительный пакет обновлений 1 Forefront единой доступа шлюз 2010 Пакет обновления 3 для установки.
-
В поле домен учетной записи в событии 4625 отображается различающееся имя (DN) родительского домена.
-
У вас есть пользователи проверки подлинности Forefront UAG.
В этом случае можно заметить увеличение количество неудачных попыток в журналах событий безопасности на контроллерах домена. Вход пользователя в систему Microsoft Forefront UAG может создавать несколько 4625 событий при каждом входе в систему. Эта проблема возникает, когда Forefront UAG пытается найти группы из нескольких поддоменов. Зарегистрированные события не влияют на вход в систему пользователя.
4625 события может выглядеть следующим образом:
Имя журнала: безопасностьИсточник: Microsoft-Windows--аудит безопасностиДата: ДатаивремяКод события: 4625Категории задач: вход в системуУровень: сведенияКлючевые слова: Ошибка аудитаПользователь: н/дКомпьютер: dc1.contoso.comописаниеУчетной записи не удалось выполнить вход.Тема:КОД безопасности: системыИмя учетной записи: UAG01$Учетная запись домена: CONTOSOИдентификатор входа в систему: 0x3e7Тип входа: 3Учетная запись, для которой не удалось выполнить вход:КОД безопасности: S-1-0-0Имя учетной записи: имя пользователяУчетная запись домена: DC =contoso, DC = comСообщения об ошибках:Причина ошибки: Неизвестное имя пользователя или пароль не опознаны.Состояние: 0xc000006dSub состояние: 0xc0000064Информация о процессе:КОД процесса вызывающего объекта:Имя вызывающего процесса:-Сведения о сети:Имя рабочей станции: UAG01Адрес сети источника: 192.168.0.1Исходный порт: 12345
Причина
Эта проблема возникает из-за нескольких событий при каждом входе пользователя в систему Microsoft Forefront UAG. В этом случае попытка перечисления групп, в которые он входит в других подчиненных доменов. Эти уточняющие запросы может привести неправильный запрос, инициирующий события сбоя входа в систему.
Решение
Чтобы устранить эту проблему, установите Пакет обновления 4 для Microsoft Forefront Unified Access Gateway 2010 и выполните действия, описанные в разделе «Дополнительные сведения».
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Чтобы предотвратить Forefront UAG перечисление групп на подчиненных доменов, выполните следующие действия.
-
Создайте следующий параметр реестра:
Подраздела реестра: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgrИмя DWORD: DoNotFetchSubdomainUserGroupsЗначение DWORD: 1
-
Примените Пакет обновления 4 для Microsoft Forefront единой Access Gateway 2010.
-
Запустите консоль управления Microsoft Forefront UAG и нажмите кнопку активировать для применения изменений конфигурации.
-
В нижней области сообщения можно ожидать следующее информационное сообщение:
Активация выполнена успешно.Примечание по умолчанию информационные сообщения не включен и не отображаются. Чтобы информационные сообщения, выполните следующие действия.
-
В консоли управления Forefront UAG меню сообщения щелкните Фильтрации сообщений.
-
В диалоговом окне Фильтр сообщений в области Сообщения окна установите флажок информационные сообщения и нажмите кнопку ОК.
-
Примечание. Задание этого параметра реестра не работы влияет на процесс входа в систему и предотвращает генерирование неудачных попыток.
Ссылки
Корпорация Майкрософт использует термины для описания обновлений программного обеспечения см.
