症状
请考虑以下情形:
-
在 Active Directory 域服务 (AD DS) 林属于 Microsoft 最前沿统一访问网关 (UAG) 2010年中有多个域。
-
您有用户在子域的目录林。
-
有 Service Pack 3 前沿统一访问网关 2010年或累积 1 前沿统一访问网关 2010 Service Pack 3 安装。
-
4625 事件中的帐户域字段显示父域的可分辨的名称 (DN)。
-
您必须对 Forefront uag,使的用户进行身份验证。
在这种情况下,您可能会发现在域控制器上的安全事件日志中的登录失败的尝试次数的增加。登录到 Forefront uag,使的用户可能会生成多个 4625 事件每次登录。Forefront UAG 尝试查找组从多个子域,则会发生此问题。记录的事件不会影响用户登录。
4625 事件可能如下所示︰
记录名称︰ 安全
来源︰ Microsoft Windows 的安全的审计
日期︰日期时间
事件 ID: 4625
任务类别︰ 登录
级别︰ 信息
关键词︰ 审核失败
用户: 不适用
计算机︰ dc1.contoso.com
说明:
帐户登录失败。
主题:
安全 ID︰ 系统
帐户名称: UAG01$
CONTOSO的帐户的域︰
登录 ID: 0x3e7
登录类型︰ 3
失败的登录帐户︰
安全 ID: S-1-0-0
用户名的帐户名︰
帐户域︰ DC =contoso,DC = com
故障信息︰
失败原因︰ 未知的用户名或密码错误。
状态︰ 0xc000006d
子状态︰ 0xc0000064
进程信息︰
调用方的进程 ID:
调用方进程名称:-
网络信息︰
工作站名称︰ UAG01
源网络地址︰ 192.168.0.1
源端口︰ 12345
原因
发生此问题是因为每次用户登录到 Forefront UAG,记录多个事件。在这种情况下,尝试枚举包含用户的其他子域中的成员的组。这些查找可能会导致不正确的查询触发登录失败的事件。
解决方案
要解决此问题,请为 Microsoft 最前沿统一访问网关 2010 年安装Service Pack 4 ,然后按照"更多信息"部分中的步骤。
状态
Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。
详细信息
若要防止 Forefront UAG 枚举域上的组,请执行以下步骤︰
-
创建以下注册表值︰
注册表子项位置︰ HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
Dword 值名称︰ DoNotFetchSubdomainUserGroups
双字节值︰ 1 -
Forefront 统一访问网关 2010年应用 Service Pack 4。
-
启动 Microsoft Forefront UAG 管理控制台,然后单击激活将所做的更改应用于您的配置。
-
在较低的消息窗格中,等待下面的信息性消息︰
已成功完成激活。
注意默认情况下,不启用或显示信息性消息。若要启用信息性消息,请执行以下步骤︰-
在 Forefront UAG 管理控制台中,在邮件菜单上,单击筛选的邮件。
-
消息筛选器对话框中的邮件窗口区域中,单击以选中邮件的信息复选框,然后单击确定。
-
注意:设置此注册表子项登录过程没有功能影响,并防止引发失败的登录尝试。
参考资料
请参见用于描述软件更新的术语Microsoft。