Symptom
Föreställ dig följande:
-
Du har flera domäner i en skog för Active Directory DS (AD DS) som tillhör Microsoft Forefront Unified Access Gateway (UAG) 2010.
-
Du har en användare i en underordnad domän i skogen.
-
Du har Service Pack 3 för Forefront Unified Access Gateway 2010 eller Rollup 1 för Forefront Unified Access Gateway 2010 Service Pack 3 installerat.
-
Fältet domän i händelsen 4625 visas det unika namnet (DN) för den överordnade domänen.
-
Du har användare som autentiseras för Forefront UAG.
I det här scenariot kan du märker en ökning av antalet misslyckade inloggningsförsök försök i säkerhetsloggar på domänkontrollanter. En användare som loggar in på Forefront UAG kan ge flera 4625 händelser varje gång de loggar in. Det här problemet uppstår när Forefront UAG försöker söka efter grupper från flera underordnade domäner. Loggade händelser påverkar inte användare som loggar in.
4625 händelser kan likna följande:
Logga namn: säkerhet
Källa: Microsoft-Windows-Security-granskning
Datum: datumochtid
Händelse-ID: 4625
Uppgift kategori: inloggning
Nivå: Information
Nyckelord: Granska misslyckade
Användare: saknas
Dator: dc1.contoso.com
Beskrivning:
Det gick inte att logga in ett konto.
Ämne:
Säkerhets-ID: SYSTEM
Kontonamn: UAG01$
Domän: CONTOSO
Inloggning-ID: 0x3e7
Logga in typ: 3
Konto för inloggningen misslyckades:
Säkerhets-ID: S-1-0-0
Kontonamn: användarnamn
Domän: DC =contoso, DC = com
Fel Information:
Felorsak: Okänt användarnamn eller felaktigt lösenord.
Status: 0xc000006d
Sub Status: 0xc0000064
Processinformation:
Anroparens Process-ID:
Anroparens namn:-
Information om nätverket:
Arbetsstationens namn: UAG01
Källadress nätverk: 192.168.0.1
Källport: 12345
Orsak
Det här problemet uppstår eftersom flera händelser loggas varje gång en användare loggar in på Forefront UAG. I det här fallet prövas uppräkning av de grupper som användaren är medlem i andra underordnade domäner. Dessa sökningar kan resultera i en felaktig fråga som utlöser händelserna misslyckade inloggningsförsök.
Lösning
Installera Service Pack 4 för Microsoft Forefront Unified Access Gateway 2010 för att lösa problemet och följ instruktionerna i avsnittet "Mer Information".
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
Gör så här om du vill förhindra att Forefront UAG räknar upp grupper på underordnade domäner:
-
Skapa följande registervärde:
Undernyckeln plats i registret: HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
DWORD-namn: DoNotFetchSubdomainUserGroups
DWORD-värde: 1 -
Installera Service Pack 4 för Forefront Unified Access Gateway 2010.
-
Starta Microsoft Forefront UAG Management console och klicka sedan på Aktivera om du vill tillämpa ändringarna på din konfiguration.
-
Vänta i det nedre fönstret visas följande meddelande:
Aktiveringen har slutförts.
Observera standard informationsmeddelanden inte aktiveras eller visas. Så här aktiverar du informativa meddelanden:-
Klicka på Filtrera meddelandeni Forefront UAG Management console, på meddelanden -menyn.
-
I dialogrutan Filter för meddelanden i området Meddelandefönstret markerar du kryssrutan meddelanden .
-
Obs! Ange den här registerundernyckeln har ingen funktionell effekt på inloggningen och förhindrar att misslyckade inloggningsförsök försök lyfts upp.
Referenser
Se den terminologin som Microsoft använder för att beskriva programuppdateringar.
