Príznaky
Predstavte si nasledujúcu situáciu:
-
Máte viacero domén vnútri lesa doménové služby Active Directory (AD DS), Microsoft Forefront Unified Access Gateway (UAG) 2010, do ktorej patrí.
-
Máte používateľov podriadenej domény v lese.
-
Máte Service Pack 3 pre Forefront Unified Access Gateway 2010 alebo Rollup 1 pre Forefront Unified Access Gateway 2010 Service Pack 3 nainštalovaný.
-
Konto domény v prípade 4625 zobrazuje rozlišujúci názov (DN) nadradenej domény.
-
Budete mať používatelia overovaní na Forefront UAG.
V tomto prípade zistíte zvýšenie počtu neúspešných pokusoch v denníkoch udalostí zabezpečenia na radičoch domény. Používateľ prihlási Forefront UAG môže generovať viac 4625 Udalosti vždy, keď sa prihlásia. Tento problém sa vyskytuje, keď Forefront UAG sa pokúsi vyhľadať skupiny z viacerých sub-domén. Zaznamenané udalosti nemajú vplyv na prihlásenie používateľa.
4625 udalosti môžu podobný nasledujúcemu:
Názov denníka: zabezpečenia
Zdroj: Microsoft-Windows-Security-Auditing
Dátum: Dátumačas
Identifikácia udalosti: 4625
Kategória úlohy: prihlásenie
Úroveň: informácie
Kľúčové slová: Audit zlyhal
Používateľ: N/A
Počítač: dc1.contoso.com
Popis:
Konto sa nepodarilo prihlásiť.
Predmet:
Identifikácia zabezpečenia: systém
Názov konta: UAG01$
Konto domény: CONTOSO
Prihlásenie ID: 0x3e7
Prihlásenie typ: 3
Účet pre ktoré prihlásenie zlyhalo:
Identifikácia zabezpečenia: S-1-0-0
Konto: meno
Konto domény: DC =contoso, DC = com
Informácie o zlyhaní:
Dôvod zlyhania: Neznáme meno používateľa alebo nesprávne heslo.
Stav: 0xc000006d
Sub stav: 0xc0000064
Informácie o procese:
Volajúci proces ID:
Meno volajúceho procesu:-
Informácie o sieti:
Názov stanice: UAG01
Zdroj sieťovú adresu: 192.168.0.1
Zdrojový Port: 12345
Príčina
Tento problém sa vyskytuje, pretože udalosti sa zaznamenávajú vždy, keď sa používateľ prihlási na Forefront UAG. V takom prípade sa pokúsil enumerácie skupín, ktoré používateľ je členom v iných sub-domén. Tieto dotazy môžu spôsobiť nesprávny dotaz, ktorý spúšťa neúspešných udalostí.
Riešenie
Ak chcete vyriešiť tento problém, nainštalujte balík Service Pack 4 pre Microsoft Forefront Unified Access Gateway 2010 a postupujte podľa pokynov v časti "Ďalšie informácie".
Stav
Spoločnosť Microsoft potvrdila, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v časti Vzťahuje sa na.
Ďalšie informácie
Forefront UAG zabrániť enumerácia skupiny na sub-domény, postupujte nasledovne:
-
Vytvorte nasledovnú hodnotu databázy registry:
Umiestnenia podkľúča databázy Registry: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
Názov hodnoty DWORD: DoNotFetchSubdomainUserGroups
Hodnota DWORD: 1 -
Použite balík Service Pack 4 pre Forefront Unified Access Gateway 2010.
-
Spustite konzolu Microsoft Forefront UAG Management a kliknite na tlačidlo aktivovať zmeny konfigurácie.
-
V dolnej table Správa, čakať sa nasledovné informačné hlásenie:
Aktivácia bola úspešne dokončená.
Poznámka: predvolene informačné správy nie sú povolené alebo zobraziť. Ak chcete povoliť informačné správy, postupujte nasledovne:-
Forefront UAG Management konzoly na menu správy , kliknite na Filter správ.
-
V dialógovom okne Filter správ , v časti Okna správy začiarknite políčko správy a kliknite na tlačidlo OK.
-
Poznámka: Nastavenie tento podkľúč databázy registry neovplyvňuje funkčnosť prihlásenia a zabraňuje neúspešných pokusoch sa zvyšuje.
Odkazy
Pozrite si terminológia spoločnosť Microsoft používa na popis aktualizácií softvéru.