Forum
Bildirimler
Hepsini Temizle
Exchange Server
15
Yazılar
2
Üyeler
0
Reactions
2,543
Görüntüleme
Konu başlatıcı
Merhabalar,
Exchange server loglarında sürekli aşağıdaki eventlerden var.Halbuki kullanıcı normal bir şekilde outlookdan maillerini kullanabiliyor.
Yaklaşık 30 dk outlook'unu kapatmasını istedim o zaman loglar kesildi.
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name: xxxx
Account Domain: xxx
Failure Information:
Failure Reason: Unknown user name or bad password.
Status: 0xc000006d
Sub Status: 0xc0000064
Process Information:
Caller Process ID: 0x0
Caller Process Name: -
Network Information:
Workstation Name: xxx
Source Network Address: -
Source Port: -
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): -
Key Length: 0
Gönderildi : 21/07/2018 12:33
Merhaba
Aslında bu çok genel bir durum. Yani ben bunu pek çok kez farklı müşterilerde farklı nedenlerden dolayı gördüm. Dışarıya açık RDS sistemleirnde oluyor, 2008 lerde bug vardı o zamna gördüm ama bunu outlook e exchange e nasıl bağladınız tam anlayamadım. Yani sunucuya tek bir kullanıcı mı bağlı o kapatınca loglar duruyor?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 21/07/2018 21:27
Birde örneğin xxx yazdığnız yerdeki user name gerçekten yok mu sistemde?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 21/07/2018 21:28
Konu başlatıcı
İşin aslı şu,
Farklı farklı kullanıcılardan kaynaklı böyle loglar var sunucuda.
Bende sonunun kaynağının ne olduğunu daha iyi anlamak için 1 kullanıcıdan outlook'unu kapatmasını istedim.Outlook kapanınca o kullanıcıdan kaynaklı yukarıda örnek verdiğim loglar durdu.
Örnek verdiğim log kaydında yazan xxx kısımlarını ben değiştirdim normalde orada yazan bilgilier kullanıcı bilgileri ve sistemimizde var.
Gönderildi : 22/07/2018 11:38
Tamam şimdi daha anlamlı oldu, bu durumda bu lock account yüzünden gelen bir event gibi, lockout policy yi kontrol eder misin aktif mi? Eğer değil ise ilginç bir durum ama aktif ise kullanıcılarınız sık sık lock oluyor olabilir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 23/07/2018 19:50
Konu başlatıcı
Exchange serverda local group poliyc'lere baktım.
Account lockout duration : Not Applicable
Account lockout threshold : 0 invalid logon attemps
Reset accout lockout counter after : Not Applicable
Ve hepsinin properties'lerine baktığımda açılan menude ki seçenekler pasif halde
Gönderildi : 24/07/2018 09:58
Exchange üzerinden değil de birde PDC den kontrol eder misin, muhtemel orada da aynıdır çünkü miras olarak alıyor.
Eğer bu da gösterdiğin gibi ise daha detaylı bakmak gerekli.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 24/07/2018 13:30
Örnek lepide auditor kur demo bir bak bakalım AD hareketlerine kim ne yapıyor diye.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 24/07/2018 13:30
Konu başlatıcı
Bizim sistemde AD yok malesef hocam.
DC kontrol ettim orada böyle bir log hiç yok.
DC'de de lockout policy Exchange serverda olduğu gibi aktif değil
Gönderildi : 24/07/2018 17:05
Konu çok ilginç bir yere gidiyor, AD yok ise DC ve Exchange nasıl oluyor 🙂
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 24/07/2018 23:19
Konu başlatıcı
AD yok ama 1 sunucuda DC var 1 sunucuda da Exch var 🙂
Gönderildi : 25/07/2018 16:17
işte o konuları hiç bilmiyorum 🙂
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 25/07/2018 19:31
Konu başlatıcı
sağlık olsun.
peki hocam bir yorumunuz da " Dışarıya açık RDS sistemleirnde oluyor " demiştiniz.bunu biraz daha açarmısınız
Gönderildi : 26/07/2018 08:38
Yani dışarıdan birisi remote desktop ile bağlantı yapabiliyor ise bunun çok görürsünüz veya exchange sunucusu ki sizin öyle ve owa açık olduğu için owa üzerinden sürekli şifre denemeleri oluyordur, bunun en temiz yöntemi lock policy ayarlamanız.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 27/07/2018 23:22
Konu başlatıcı
RDP ile bağlantıyı ben yapıyorum.Ama o da dışarıdan değil aynı networkte iken bağlanabiliyorum sadece.
Gönderildi : 01/08/2018 08:42
