Triệu chứng
Xem xét tình huống sau:
-
Bạn có nhiều tên miền trong một nhóm dịch vụ miền Active Directory (AD DS) mà Microsoft Forefront Unified Access Gateway (UAG) 2010 hay không.
-
Bạn có người dùng trong miền con của nhóm.
-
Bạn có gói dịch vụ 3 Forefront Unified Access Gateway 2010 hoặc Nhật 1 cho Forefront Unified Access Gateway 2010 gói dịch vụ 3 cài đặt.
-
Trường tài khoản miền sự kiện 4625 Hiển thị tên phân biệt (DN) của phụ huynh.
-
Bạn phải xác thực người dùng Forefront UAG.
Trong trường hợp này, bạn có thể thấy tăng số cố gắng đăng nhập không thành công trong Nhật ký sự kiện bảo mật trên bộ điều khiển miền. Một người dùng đăng nhập vào Forefront UAG có thể tạo ra nhiều sự kiện 4625 mỗi lần đăng nhập. Sự cố này xảy ra khi Forefront UAG cố tìm kiếm các nhóm từ nhiều tên miền phụ. Các sự kiện đăng nhập không ảnh hưởng đến người dùng đăng nhập.
Sự kiện 4625 có thể giống như sau:
Tên đăng nhập: bảo mật
Nguồn: Microsoft-Windows-bảo mật-kiểm định
Ngày: ngàygiờ
ID sự kiện: 4625
Danh mục tác vụ: đăng nhập
Mức: thông tin
Từ khoá: Kiểm định thất bại
Người dùng: K/C
Máy tính: dc1.contoso.com
Mô tả:
Tài khoản không thể đăng nhập.
Chủ đề:
ID bảo mật: Hệ thống
Tên tài khoản: UAG01$
Tài khoản miền: CONTOSO
Đăng nhập ID: 0x3e7
Đăng nhập loại: 3
Tài khoản đó đăng nhập thất bại:
ID bảo mật: S-1-0-0
Tên tài khoản: tên người dùng
Tài khoản miền: DC =contoso, DC = com
Thông tin bị lỗi:
Lý do thất bại: Không xác định tên hoặc mật khẩu không hợp lệ.
Trạng thái: 0xc000006d
Sub trạng thái: 0xc0000064
Xử lý thông tin:
Gọi quá trình ID:
Gọi quá trình tên:-
Thông tin trên mạng:
Tên trạm làm việc: UAG01
Nguồn địa chỉ mạng: 192.168.0.1
Cổng nguồn: 12345
Nguyên nhân
Sự cố này xảy ra do nhiều sự kiện được ghi lại mỗi khi người dùng đăng nhập vào Forefront UAG. Trong trường hợp này, thử liệt kê các nhóm mà người dùng là thành viên của tên miền phụ khác. Tra cứu này có thể dẫn đến một truy vấn không đúng gây ra các sự kiện đăng nhập không thành công.
Giải pháp
Để giải quyết vấn đề này, cài đặt gói dịch vụ 4 cho Microsoft Forefront Unified Access Gateway 2010, và sau đó làm theo các bước trong phần "Thông tin".
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Để ngăn chặn Forefront UAG đếm nhóm tên miền phụ, hãy làm theo các bước sau:
-
Tạo giá trị đăng ký sau:
Vị trí khoá con đăng ký: HKEY_LOCAL_MACHINE\Software\WhaleCom\e-Gap\von\UserMgr
Tên DWORD: DoNotFetchSubdomainUserGroups
GIÁ trị: 1 -
Áp dụng gói dịch vụ 4 cho Forefront Unified Access Gateway 2010.
-
Khởi động Microsoft Forefront UAG Management console, và sau đó bấm kích hoạt để áp dụng các thay đổi cấu hình của bạn.
-
Trong cửa sổ thư thấp, đợi thông báo sau:
Kích hoạt hoàn tất thành công.
Lưu ý theo mặc định, thông báo không được kích hoạt hoặc hiển thị. Bật thông báo thông tin, hãy làm theo các bước sau:-
Trong Forefront UAG Management console, trên menu thư , bấm Bộ lọc tin nhắn.
-
Trên hộp điều khiển Bộ lọc tin nhắn , trong khu vực Cửa sổ thư , bấm để chọn hộp kiểm thông tin thư , và sau đó bấm OK.
-
Lưu ý Cài đặt khoá con đăng ký này không có hiệu lực chức năng trong quá trình đăng nhập và ngăn chặn sự cố đăng nhập không thành công được đưa ra.
Tham khảo
Xem ngữ Microsoft sử dụng để miêu tả các bản cập nhật phần mềm.