Forum
Merhabalar,
Exchange server loglarında sürekli aşağıdaki eventlerden var.Halbuki kullanıcı normal bir şekilde outlookdan maillerini kullanabiliyor.
Yaklaşık 30 dk outlook'unu kapatmasını istedim o zaman loglar kesildi.
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: xxxx
Account Domain: xxx
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: xxx
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Merhaba
Aslında bu çok genel bir durum. Yani ben bunu pek çok kez farklı müşterilerde farklı nedenlerden dolayı gördüm. Dışarıya açık RDS sistemleirnde oluyor, 2008 lerde bug vardı o zamna gördüm ama bunu outlook e exchange e nasıl bağladınız tam anlayamadım. Yani sunucuya tek bir kullanıcı mı bağlı o kapatınca loglar duruyor?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Birde örneğin xxx yazdığnız yerdeki user name gerçekten yok mu sistemde?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
İşin aslı şu,
Farklı farklı kullanıcılardan kaynaklı böyle loglar var sunucuda.
Bende sonunun kaynağının ne olduğunu daha iyi anlamak için 1 kullanıcıdan outlook'unu kapatmasını istedim.Outlook kapanınca o kullanıcıdan kaynaklı yukarıda örnek verdiğim loglar durdu.
Örnek verdiğim log kaydında yazan xxx kısımlarını ben değiştirdim normalde orada yazan bilgilier kullanıcı bilgileri ve sistemimizde var.
Tamam şimdi daha anlamlı oldu, bu durumda bu lock account yüzünden gelen bir event gibi, lockout policy yi kontrol eder misin aktif mi? Eğer değil ise ilginç bir durum ama aktif ise kullanıcılarınız sık sık lock oluyor olabilir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Exchange serverda local group poliyc'lere baktım.
Account lockout duration : Not Applicable
Account lockout threshold : 0 invalid logon attemps
Reset accout lockout counter after : Not Applicable
Ve hepsinin properties'lerine baktığımda açılan menude ki seçenekler pasif halde
Exchange üzerinden değil de birde PDC den kontrol eder misin, muhtemel orada da aynıdır çünkü miras olarak alıyor.
Eğer bu da gösterdiğin gibi ise daha detaylı bakmak gerekli.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Örnek lepide auditor kur demo bir bak bakalım AD hareketlerine kim ne yapıyor diye.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Bizim sistemde AD yok malesef hocam.
DC kontrol ettim orada böyle bir log hiç yok.
DC'de de lockout policy Exchange serverda olduğu gibi aktif değil
Konu çok ilginç bir yere gidiyor, AD yok ise DC ve Exchange nasıl oluyor 🙂
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
AD yok ama 1 sunucuda DC var 1 sunucuda da Exch var 🙂
işte o konuları hiç bilmiyorum 🙂
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
sağlık olsun.
peki hocam bir yorumunuz da " Dışarıya açık RDS sistemleirnde oluyor " demiştiniz.bunu biraz daha açarmısınız
Yani dışarıdan birisi remote desktop ile bağlantı yapabiliyor ise bunun çok görürsünüz veya exchange sunucusu ki sizin öyle ve owa açık olduğu için owa üzerinden sürekli şifre denemeleri oluyordur, bunun en temiz yöntemi lock policy ayarlamanız.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
RDP ile bağlantıyı ben yapıyorum.Ama o da dışarıdan değil aynı networkte iken bağlanabiliyorum sadece.