Forum

Active Directory de...
 
Bildirimler
Hepsini Temizle

Active Directory de 1 tane hesap sürekli kilitlenmekte.

4 Yazılar
2 Üyeler
0 Reactions
3,205 Görüntüleme
(@OmerArkin)
Gönderiler: 24
Trusted Member
Konu başlatıcı
 

Selamlar; 

 

Active Directory de 1 tane user hesabı sürekli kilitlenmektedir, kontrollerini sağladığımda security loglarından ; 

Kerberos pre-authentication failed.

Account Information:
Security ID: xxx\ilkayc
Account Name: ilkayc

Service Information:
Service Name: krbtgt/xxx

Network Information:
Client Address: ::ffff:192.168.0.12
Client Port: 51162

Additional Information:
Ticket Options: 0x40810010
Failure Code: 0x12
Pre-Authentication Type: 0

Certificate Information:
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:

Certificate information is only provided if a certificate was used for pre-authentication.

Pre-authentication types, ticket options and failure codes are defined in RFC 4120.

If the ticket was malformed or damaged during transit and could not be decrypted, then many fields in this event might not be present.

bu şekilde bilgi alıyorum 

 

Başka yerde hesabı açıklığını kontrol etmek için tool kullandım sadece dc addc de hesap açık gözükmekte ..

Konu ile alakalı  çözüm sağlayabilirmisiniz nasıl bir yol izlemem hk.

 

 

 
Gönderildi : 14/03/2016 20:36

(@OzcanSAHIN)
Gönderiler: 198
Estimable Member
 

Merhaba,

Event viewer'da Security log'da bu kullanici adini filtreleyin ve hangi IP'lerden deneme yapildigina bi bakin derim.

Event viewer> Security>Filter Current Log>XML' tabina asagidaki sorgu'yu yazip filtreleyin bu sekilde kaynagi tespit edebilirsiniz.

       <QueryList>
           <Query Id="0">
              <Select Path="Security">
                 *[EventData[Data[@Name=’SubjectUserName’] and (Data=’ilkayc′)]]
               </Select>
           </Query>
      </QueryList>

https://blogs.technet.microsoft.com/askds/2011/09/26/advanced-xml-filtering-in-the-windows-event-viewer/

Ayrica, LockoutStatus.exe tool' uyla hesabi kontrol edersen ne zaman kaç basarisiz deneme olmus gibi bilgilere ulasabilirsin.

https://www.microsoft.com/en-gb/download/details.aspx?id=1520

Eger kaynak kullanicinin makinasi ise ve yakin zamanda sifre degistirildi ise, eski sifreyle kayitli çalisan bir uygulama olabilir neden olabilir.

CMD> Aloinfo.exe  /stored ile gorebilirsiniz kullanici hesabi hangi uygulama, service ... için kullaniliyor.

https://www.microsoft.com/en-us/download/details.aspx?id=18465

Hiç biri olmadi, GPO'dan Audit logon event aktif ederseniz, accounbt locket out log'unda "Caller Process Name" adi altinda neyin hesabi bloke ettigini bulabilirsiniz.

Kolay gelsin

 
Gönderildi : 15/03/2016 02:03

(@OmerArkin)
Gönderiler: 24
Trusted Member
Konu başlatıcı
 

Sorun düzelmiştir client malinede servislerde sql servisini durdurdum ,sql eski şifreyi gördüğünden  dolayı şifre değişikliğinde makineyi kilitlemektedir.

 

teşekkürler  ilginiz için..

 
Gönderildi : 17/03/2016 18:36

(@OzcanSAHIN)
Gönderiler: 198
Estimable Member
 

Merhaba,

Sql service hesabi olarak kullanici hesabini kullanmak bu tur sorunlara sebeb oldugundan tavsiye edilen bir durum degil.

AD'de yonetimsel service hesabi açip sql servisin'de bu hesabi kullanirsaniz , sifre problemi yada hesap sifre'sinin expire olmasi gibi durumlari elimine etmis olursunuz.

https://www.cozumpark.com/blogs/windows_server/archive/2014/08/10/windows-server-2012-r2-le-group-managed-service-accounts-gmsa-bolum-1.aspx

Portal'de nasil yapildigiyla ilgili makale olmali.

Kolay gelsin

 

 
Gönderildi : 17/03/2016 19:21

Paylaş: