อาการ
พิจารณาสถานการณ์สมมติต่อไปนี้:
-
คุณมีหลายโดเมนอยู่ในฟอเรสต์บริการระบบโดเมนไดเรกทอรีที่ใช้งานอยู่ (AD DS) เป็นสมาชิกของ Microsoft Forefront รวมเข้าเกตเวย์ (UAG) 2010
-
คุณมีผู้ใช้ในโดเมนลูกของฟอเรสต์
-
คุณมี Service Pack 3 สำหรับ Forefront รวม Access เกตเวย์ 2010 หรือ Rollup 1 สำหรับ Forefront รวมเข้าเกตเวย์ 2010 Service Pack 3 ติดตั้งอยู่
-
โดเมนบัญชีฟิลด์ในเหตุการณ์ 4625 แสดงชื่อที่แตกต่าง (DN) ของโดเมนหลัก
-
คุณมีผู้ใช้ที่รับรองความถูกต้อง Forefront UAG
ในสถานการณ์สมมตินี้ คุณอาจสังเกตเห็นการเพิ่มจำนวนของเพจการแม็ปเข้าสู่ระบบล้มเหลวในการบันทึกเหตุการณ์การรักษาความปลอดภัยบนตัวควบคุมโดเมน มีผู้ใช้เข้าสู่ระบบ Forefront UAG อาจสร้างเหตุการณ์ 4625 หลายทุกครั้งที่เข้าสู่ระบบ ปัญหานี้เกิดขึ้นเมื่อพยายามค้นหาในกลุ่มจากโดเมนย่อยหลาย Forefront UAG เหตุการณ์บันทึกล็อกไว้ไม่มีผลกระทบต่อผู้ใช้เข้าสู่ระบบ
เหตุการณ์ 4625 อาจมีลักษณะต่อไปนี้:
ชื่อการเข้าสู่ระบบ: ความปลอดภัย
แหล่งที่มา: Microsoft-Windows--ตรวจสอบความปลอดภัย
วัน:วันเวลา
รหัสเหตุการณ์: 4625
ประเภทของงาน: การเข้าสู่ระบบ
ระดับ: ข้อมูล
คำสำคัญ: การตรวจสอบความล้มเหลว
ผู้ใช้: N/A
คอมพิวเตอร์: dc1.contoso.com
คำอธิบาย:
บัญชีการเข้าสู่ระบบล้มเหลว
ชื่อเรื่อง:
รหัสความปลอดภัย: ระบบ
ชื่อบัญชี: UAG01$
โดเมนบัญชี:สะพาย
ID การเข้าสู่ระบบ: 0x3e7
ชนิดการเข้าสู่ระบบ: 3
บัญชีผู้ใช้สำหรับการเข้าสู่ระบบล้มเหลว:
รหัสความปลอดภัย: S-1-0-0
ชื่อบัญชี:ชื่อผู้ใช้
โดเมนบัญชี: DC =contoso, DC = com
รายละเอียดความล้มเหลว:
เหตุผลของความล้มเหลว: ชื่อผู้ใช้ที่ไม่รู้จักหรือรหัสผ่านไม่ถูกต้อง
สถานะ: 0xc000006d
สถานะย่อย: 0xc0000064
ประมวลผลข้อมูล:
รหัสกระบวนการของผู้เรียก:
ชื่อกระบวนการของผู้เรียก: -
ข้อมูลเครือข่าย:
ชื่อของเวิร์กสเตชัน: UAG01
แหล่งที่อยู่เครือข่าย: 192.168.0.1
พอร์ตแหล่งที่มา: 12345
สาเหตุ
ปัญหานี้เกิดขึ้นเนื่องจากหลายเหตุการณ์ถูกบันทึกไว้ทุกครั้งที่ผู้ใช้เข้าสู่ระบบ Forefront UAG ในกรณีนี้ จะพยายามแจงนับของกลุ่มที่ผู้ใช้เป็นสมาชิกในโดเมนย่อยอื่น การค้นหาเหล่านี้อาจส่งผลในแบบสอบถามไม่ถูกต้องซึ่งทริกเกอร์เหตุการณ์การเข้าสู่ระบบล้มเหลว
การแก้ปัญหา
เมื่อต้องการแก้ไขปัญหานี้ ติดตั้งService Pack 4สำหรับ Microsoft Forefront รวมเข้าเกตเวย์ 2010 และจากนั้น ทำตามขั้นตอนในส่วน "ข้อมูลเพิ่มเติม"
สถานะ
Microsoft ยืนยันว่านี่เป็นปัญหาในผลิตภัณฑ์ของ Microsoft ซึ่งแสดงไว้ในส่วน "นำไปใช้กับ"
ข้อมูลเพิ่มเติม
เมื่อต้องการป้องกันไม่ให้ Forefront UAG แจงนับจัดกลุ่มโดเมนย่อย ให้ทำตามขั้นตอนเหล่านี้:
-
สร้างค่ารีจิสทรีต่อไปนี้:
ตำแหน่งที่ตั้งคีย์ย่อยของรีจิสทรี: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgr
ชื่อ DWORD: DoNotFetchSubdomainUserGroups
ค่า DWORD: 1 -
ใช้ Service Pack 4 สำหรับ Forefront รวมเข้าเกตเวย์ 2010
-
เริ่มคอนโซลการจัดการ UAG Forefront Microsoft และจากนั้น คลิกเปิดใช้งานการใช้การเปลี่ยนแปลงการตั้งค่าคอนฟิกของคุณ
-
ในบานหน้าต่างข้อความด้านล่าง รอข้อความแจ้งข้อมูลต่อไปนี้:
เปิดใช้งานที่เสร็จสมบูรณ์แล้ว
หมายเหตุ โดยค่าเริ่มต้น ไม่ได้เปิดใช้งาน หรือแสดงข้อความที่ให้ข้อมูล เมื่อต้องการเปิดใช้งานข้อความแจ้งข้อมูล ให้ทำตามขั้นตอนเหล่านี้:-
ในคอนโซลการจัดการ UAG Forefront บนเมนูข้อความคลิกตัวกรองข้อความ
-
ในกล่องโต้ตอบตัวกรองข้อความในพื้นที่หน้าต่างข้อความคลิกเพื่อเลือกกล่องกาเครื่องหมายข้อความข้อมูลและจากนั้น คลิกตกลง
-
หมายเหตุ การตั้งค่าคีย์ย่อยของรีจิสทรีนี้ไม่มีผลต่อกระบวนการเข้าสู่ระบบการทำงาน และป้องกันไม่ให้มีการยกเพจการแม็ปเข้าสู่ระบบล้มเหลว
ข้อมูลอ้างอิง
ดูคำศัพท์เฉพาะทางMicrosoft ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์