Симптомы
Рассмотрим следующий сценарий:
-
Имеется несколько доменов в лесу доменных служб Active Directory (AD DS), к которой принадлежит Microsoft Forefront единой Access Gateway (UAG) 2010.
-
У вас есть пользователи в дочернем домене леса.
-
Имеется Пакет обновления 3 для Forefront единой Access Gateway 2010 или накопительный пакет обновлений 1 Forefront единой доступа шлюз 2010 Пакет обновления 3 для установки.
-
В поле домен учетной записи в событии 4625 отображается различающееся имя (DN) родительского домена.
-
У вас есть пользователи проверки подлинности Forefront UAG.
В этом случае можно заметить увеличение количество неудачных попыток в журналах событий безопасности на контроллерах домена. Вход пользователя в систему Microsoft Forefront UAG может создавать несколько 4625 событий при каждом входе в систему. Эта проблема возникает, когда Forefront UAG пытается найти группы из нескольких поддоменов. Зарегистрированные события не влияют на вход в систему пользователя.
4625 события может выглядеть следующим образом:
Имя журнала: безопасность
Источник: Microsoft-Windows--аудит безопасности
Дата: Датаивремя
Код события: 4625
Категории задач: вход в систему
Уровень: сведения
Ключевые слова: Ошибка аудита
Пользователь: н/д
Компьютер: dc1.contoso.com
описание
Учетной записи не удалось выполнить вход.
Тема:
КОД безопасности: системы
Имя учетной записи: UAG01$
Учетная запись домена: CONTOSO
Идентификатор входа в систему: 0x3e7
Тип входа: 3
Учетная запись, для которой не удалось выполнить вход:
КОД безопасности: S-1-0-0
Имя учетной записи: имя пользователя
Учетная запись домена: DC =contoso, DC = com
Сообщения об ошибках:
Причина ошибки: Неизвестное имя пользователя или пароль не опознаны.
Состояние: 0xc000006d
Sub состояние: 0xc0000064
Информация о процессе:
КОД процесса вызывающего объекта:
Имя вызывающего процесса:-
Сведения о сети:
Имя рабочей станции: UAG01
Адрес сети источника: 192.168.0.1
Исходный порт: 12345
Причина
Эта проблема возникает из-за нескольких событий при каждом входе пользователя в систему Microsoft Forefront UAG. В этом случае попытка перечисления групп, в которые он входит в других подчиненных доменов. Эти уточняющие запросы может привести неправильный запрос, инициирующий события сбоя входа в систему.
Решение
Чтобы устранить эту проблему, установите Пакет обновления 4 для Microsoft Forefront Unified Access Gateway 2010 и выполните действия, описанные в разделе «Дополнительные сведения».
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Чтобы предотвратить Forefront UAG перечисление групп на подчиненных доменов, выполните следующие действия.
-
Создайте следующий параметр реестра:
Подраздела реестра: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
Имя DWORD: DoNotFetchSubdomainUserGroups
Значение DWORD: 1 -
Примените Пакет обновления 4 для Microsoft Forefront единой Access Gateway 2010.
-
Запустите консоль управления Microsoft Forefront UAG и нажмите кнопку активировать для применения изменений конфигурации.
-
В нижней области сообщения можно ожидать следующее информационное сообщение:
Активация выполнена успешно.
Примечание по умолчанию информационные сообщения не включен и не отображаются. Чтобы информационные сообщения, выполните следующие действия.-
В консоли управления Forefront UAG меню сообщения щелкните Фильтрации сообщений.
-
В диалоговом окне Фильтр сообщений в области Сообщения окна установите флажок информационные сообщения и нажмите кнопку ОК.
-
Примечание. Задание этого параметра реестра не работы влияет на процесс входа в систему и предотвращает генерирование неудачных попыток.
Ссылки
Корпорация Майкрософт использует термины для описания обновлений программного обеспечения см.
