狀況
請考慮下列情況:
-
您可以有多個網域在 Microsoft Forefront 統一存取閘道 (UAG) 2010年所屬的 Active Directory 網域服務 (AD DS) 樹系內。
-
您有子網域的樹系中的使用者。
-
您必須 Forefront 統一存取閘道 2010年或彙總套件 1 的 Service Pack 3 Forefront 統一存取閘道 2010 Service Pack 3 安裝。
-
4625 事件中的 [帳戶網域] 欄位會顯示上層網域的辨別的名稱 (DN)。
-
您有使用者驗證 Forefront UAG。
在這個案例中,您可能會發現的網域控制站上的安全性事件記錄檔中的失敗的登入嘗試數目的增加。Forefront 的 UAG 入的使用者記錄可能會產生多個 4625 事件每次登入。Forefront UAG 嘗試查閱從多個子網域的群組時,就會發生這個問題。已記錄的事件不會影響登入的使用者。
4625 事件可能如下所示︰
記錄檔名稱︰ 安全性
來源︰ Microsoft-Windows 的安全性-稽核 日期︰日期時間 事件識別碼︰ 4625 工作類別︰ 登入 層級︰ 資訊 關鍵字︰ 稽核失敗 使用者︰ n/A 電腦︰ dc1.contoso.com 描述: 帳戶登入失敗。 主旨︰ 安全性識別碼︰ 系統 帳號名稱: UAG01$ CONTOSO的帳戶網域︰ 登入 ID: 0x3e7 登入類型︰ 3 登入失敗的帳戶: 安全性識別碼︰ S-1-0-0 帳號名稱︰使用者名稱 帳戶網域︰ DC =contoso,DC = com 失敗資訊︰ 失敗的原因︰ 未知的使用者名稱或密碼錯誤。 狀態︰ 0xc000006d 子狀態︰ 0xc0000064 處理程序資訊︰ 呼叫端處理序識別碼︰ 呼叫端處理程序名稱:- 網路資訊︰ 工作站名稱︰ UAG01 來源網路位址︰ 192.168.0.1 來源連接埠︰ 12345原因
之所以發生這個問題,是因為多個事件會記錄每次使用者登入時 Forefront UAG。在此情況下,嘗試使用者其他子網域中的成員群組的列舉型別。這些查詢可能會導致不正確的查詢觸發失敗的登入事件。
解決方案
若要解決這個問題,Microsoft Forefront 統一存取閘道 2010,安裝Service Pack 4 ,然後依照 < 其他資訊=""> 一節的步驟。
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
更多的資訊
若要避免 Forefront UAG 列舉子網域上的群組,請依照下列步驟執行︰
-
建立下列登錄值︰
登錄子機碼的位置︰ HKEY_LOCAL_MACHINE\Software\WhaleCom\e Gap\von\UserMgr
DWORD 名稱︰ DoNotFetchSubdomainUserGroups DWORD 值︰ 1 -
如 Forefront 統一存取閘道 2010年,請套用 Service Pack 4。
-
啟動 Microsoft Forefront UAG 管理主控台,,,然後按一下 [啟動變更套用到您的設定。
-
在較低的 [訊息] 窗格中,等候下列資訊訊息︰
已順利完成啟動。
注意依照預設,未啟用或顯示告知性訊息。若要啟用告知性訊息,請依照下列步驟執行︰-
在 Forefront UAG 管理主控台中,在 [訊息] 功能表中,按一下 [篩選條件的郵件]。
-
在訊息篩選器] 對話方塊的 [在郵件視窗區域中,按一下以選取郵件的資訊] 核取方塊,然後按一下[確定]。
-
注意設定此登錄子機碼上登入程序沒有功能的作用,並引發時,防止失敗的登入嘗試。
參考
請參閱術語Microsoft 用來描述軟體更新。