Forum

Bildirimler
Hepsini Temizle

Event Id 4625

15 Yazılar
2 Üyeler
0 Reactions
2,804 Görüntüleme
(@AhmetUgur)
Gönderiler: 31
Trusted Member
Konu başlatıcı
 

Merhabalar,

Exchange server loglarında sürekli aşağıdaki eventlerden var.Halbuki kullanıcı normal bir şekilde outlookdan maillerini kullanabiliyor.

Yaklaşık 30 dk outlook'unu kapatmasını istedim o zaman loglar kesildi.

 

An account failed to log on.

Subject:
    Security ID:        NULL SID
    Account Name:        -
    Account Domain:        -
    Logon ID:        0x0

Logon Type:            3

Account For Which Logon Failed:
    Security ID:        NULL SID
    Account Name:        xxxx
    Account Domain:        xxx

Failure Information:
    Failure Reason:        Unknown user name or bad password.
    Status:            0xc000006d
    Sub Status:        0xc0000064

Process Information:
    Caller Process ID:    0x0
    Caller Process Name:    -

Network Information:
    Workstation Name:    xxx
    Source Network Address:    -
    Source Port:        -

Detailed Authentication Information:
    Logon Process:        NtLmSsp
    Authentication Package:    NTLM
    Transited Services:    -
    Package Name (NTLM only):    -
    Key Length:        0

 

 
Gönderildi : 21/07/2018 12:33

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Merhaba

Aslında bu çok genel bir durum. Yani ben bunu pek çok kez farklı müşterilerde farklı nedenlerden dolayı gördüm. Dışarıya açık RDS sistemleirnde oluyor, 2008 lerde bug vardı o zamna gördüm ama bunu outlook e exchange e nasıl bağladınız tam anlayamadım. Yani sunucuya tek bir kullanıcı mı bağlı o kapatınca loglar duruyor?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 21/07/2018 21:27

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Birde örneğin xxx yazdığnız yerdeki user name gerçekten yok mu sistemde?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 21/07/2018 21:28

(@AhmetUgur)
Gönderiler: 31
Trusted Member
Konu başlatıcı
 

İşin aslı şu,

Farklı farklı kullanıcılardan kaynaklı böyle loglar var sunucuda.

Bende sonunun kaynağının ne olduğunu daha iyi anlamak için 1 kullanıcıdan outlook'unu kapatmasını istedim.Outlook kapanınca o kullanıcıdan kaynaklı yukarıda örnek verdiğim loglar durdu.

Örnek verdiğim log kaydında yazan xxx kısımlarını ben değiştirdim normalde orada yazan bilgilier kullanıcı bilgileri ve sistemimizde var.

 
Gönderildi : 22/07/2018 11:38

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Tamam şimdi daha anlamlı oldu, bu durumda bu lock account yüzünden gelen bir event gibi, lockout policy yi kontrol eder misin aktif mi? Eğer değil ise ilginç bir durum ama aktif ise kullanıcılarınız sık sık lock oluyor olabilir. 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/07/2018 19:50

(@AhmetUgur)
Gönderiler: 31
Trusted Member
Konu başlatıcı
 

Exchange serverda local group poliyc'lere baktım.

 

Account lockout duration : Not Applicable

Account lockout threshold : 0 invalid logon attemps

Reset accout lockout counter after : Not Applicable

Ve hepsinin properties'lerine baktığımda açılan menude ki seçenekler pasif halde

 

 

 
Gönderildi : 24/07/2018 09:58

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Exchange üzerinden değil de birde PDC den kontrol eder misin, muhtemel orada da aynıdır çünkü miras olarak alıyor.

Eğer bu da gösterdiğin gibi ise daha detaylı bakmak gerekli.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/07/2018 13:30

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Örnek lepide auditor kur demo bir bak bakalım AD hareketlerine kim ne yapıyor diye.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/07/2018 13:30

(@AhmetUgur)
Gönderiler: 31
Trusted Member
Konu başlatıcı
 

Bizim sistemde AD yok malesef hocam.

DC kontrol ettim orada böyle bir log hiç yok.

DC'de de lockout policy Exchange serverda olduğu gibi aktif değil

 
Gönderildi : 24/07/2018 17:05

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Konu çok ilginç bir yere gidiyor, AD yok ise DC ve Exchange nasıl oluyor 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/07/2018 23:19

(@AhmetUgur)
Gönderiler: 31
Trusted Member
Konu başlatıcı
 

AD yok ama 1 sunucuda DC var 1 sunucuda da Exch var 🙂

 
Gönderildi : 25/07/2018 16:17

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

işte o konuları hiç bilmiyorum 🙂

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 25/07/2018 19:31

(@AhmetUgur)
Gönderiler: 31
Trusted Member
Konu başlatıcı
 

sağlık olsun.

peki hocam bir yorumunuz da " Dışarıya açık RDS sistemleirnde oluyor " demiştiniz.bunu biraz daha açarmısınız

 
Gönderildi : 26/07/2018 08:38

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
 

Yani dışarıdan birisi remote desktop ile bağlantı yapabiliyor ise bunun çok görürsünüz veya exchange sunucusu ki sizin öyle ve owa açık olduğu için owa üzerinden sürekli şifre denemeleri oluyordur, bunun en temiz yöntemi lock policy ayarlamanız.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 27/07/2018 23:22

(@AhmetUgur)
Gönderiler: 31
Trusted Member
Konu başlatıcı
 

RDP ile bağlantıyı ben yapıyorum.Ama o da dışarıdan değil aynı networkte iken bağlanabiliyorum sadece.

 
Gönderildi : 01/08/2018 08:42

Paylaş: