Forum
Bildirimler
Hepsini Temizle
Windows Server
15
Yazılar
3
Üyeler
0
Reactions
388
Görüntüleme
Konu başlatıcı
Merhaba,
Active Directory üzerinden parola son kullanma tarihini sorguladığımda, "1/1/1601 02:00:00" tarihini görüyorum. Ancak, ilgili kullanıcılar için "User cannot change password" ve "Password Never Expires" seçenekleri işaretli değil. Bu durum, yeni oluşturduğum kullanıcı hesaplarında da aynı şekilde gerçekleşiyor.
Dikkatimi çeken bir diğer nokta ise, yalnızca iki kullanıcıda bu sorun oluşmuyor. Bu kullanıcıların özelliği, "Domain Admin" grubuna üye olmaları.
Bu durumu nasıl çözebileceğim konusunda destek rica ediyorum.
Teşekkürler.
Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} –Properties "DisplayName", "msDS-UserPasswordExpiryTimeComputed" |
Select-Object -Property "Displayname",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}
Gönderildi : 24/12/2024 08:57
Bu tarih (1 Ocak 1601), Windows'un epoch başlangıç tarihi olup, hesap için parola son kullanma tarihinin henüz tanımlanmadığını gösterir.
İlk olarak aşağıdaki kontrolleri sağlayabilir misiniz
1
Varsayılan domain parola politikası veya daha özel bir Fine-Grained Password Policy (FGPP) ayarlanmış olabilir ve bu politikalar kullanıcı hesaplarına uygulanmıyor olabilir.
2
Kullanıcı hesapları, farklı domain controller'lar arasında doğru şekilde replike edilmemiş olabilir.
3
DC'lerde zaman senkronizasyonu bozuksa, parola son kullanma tarihleri gibi zaman temelli özelliklerde sorunlar yaşanabilir.
Gönderildi : 24/12/2024 11:15
Konu başlatıcı
@mehmetsaityilmaz Merhaba,
Teşekkür ederim, maddelerinizi tek tek inceledim.
Sorun 2. Madde gibi görünüyor. Additional Domain Controller de kontrol ettiimde ise ExpiryDate doğru veriyor. Nedeni ne olabilir bir fikriniz varmıdır.
Teşekkür ederim.
Gönderildi : 24/12/2024 11:37
Konu başlatıcı
DC Sunucusunda "repadmin /replsummary" çalıştırdığımda,
Source DSA :ADC
Destination DSA :DC
görünüyor bu yanlış değil midir. Tam tersi olması gerekmiyormudur.
Gönderildi : 24/12/2024 11:59
Replikasyon sorunu var sanırım eğer dc lerde bu expire tarihler uymuyor ise
repadmin /syncall /APed yapınca bir hata alıyor musunuz?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 24/12/2024 16:40
Konu başlatıcı
@hakanuzuner Merhaba Hakan Bey,
DC dunucuda çalıştırdığımda aşağıdaki gibi bir hata düştü. Replikasyon hatası varmış gibi ama tüm herşey ADC ye iletiliyor. Policy, User gibi aksiyonlar.
Gönderildi : 25/12/2024 12:59
Tahmin ettiğim gibi o zaman yine bu hata kodunu sitede aratarak çözüm bulabilirsiniz. Kolay gelsin.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 25/12/2024 14:08
Konu başlatıcı
Tekrar merhaba,
Sorunum maalesef hala çözülmedi. Farklı denemeler yapmama rağmen, ADC tarafında "PasswordExpiry" listelenirken DC tarafında yalnızca administrator kullanıcıları listeleniyor. X kullanıcısını admin yapmam halinde de listelemedi. Konunun neye göre çalıştığını tam olarak anlayabilmiş değilim.
Yardımlarınızı rica ederim.
Gönderildi : 11/03/2025 16:26
Eğer hata kodu ile ilerleyip çözemediyseniz, ADC yi kaldırın, temiz bir OS ve yeni bir ADC yapın tekrar deneyin derim. Ama mutlaka yedek alın, eğer replikasyon sorunu var ise örnek 100 makinenin 50 tanesi pdc, 50 tanes adc ile konuşuyor ise, adc down olduğu anda diğer 50 makine domainden düşer.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 11/03/2025 16:35
Konu başlatıcı
Bir bilgisayarın Domain Controller (DC) mi yoksa Additional Domain Controller (ADC) mi olduğunu tespit etmenin bir yöntemi var mıdır?
Örneğin,
"nltest /dsgetdc:domain_adı" kontrol ettiğimde "image 1" sonuç alıyorum.
"Get-ADUser -Filter * | Select-Object Name, SamAccountName, Enabled" kontrol ettiğimde "image 2" sonuç alıyorum.
Aktiflik durumu enable olanların "PasswordExpiry" bilgisi doğru geliyor.
ADC de bu kodu çalıştırdığımda istinasız tümünün "PasswordExpiry" bilgisi doğru geliyor. "image 3"
Aslında bu durum kafa karıştırıcı, neden sorusuna cevap bulamıyorum.
Gönderildi : 12/03/2025 12:18
Konu başlatıcı
Gün içerisinde gerçekleştirdiğim kontrollerde, hem DC hem de ADC sunucularında aynı sonuçların yansıdığını gözlemledim. Görünüşe göre tüm veriler yalnızca DC sunucusuna yönleniyor gibi görünüyor.
Get-ADDomainController -Filter * | Select-Object Name, Domain, IsGlobalCatalog, OperationMasterRoles
netdom query fsmo
dsquery server -isgc
Gönderildi : 12/03/2025 12:27
Konu başlatıcı
Evet dediğiniz gibi yarısını DC yazrısını ADC atmış,
$DCs = (Get-ADDomainController -Filter *).Name
$Users = @()
foreach ($DC in $DCs) {
$Users += Get-ADUser -Filter {Enabled -eq $true} -Properties LastLogon -Server $DC |
Select-Object Name, SamAccountName, @{Name="LastLogon";Expression={[datetime]::FromFileTime($_.LastLogon)}}, @{Name="DomainController";Expression={$DC}}
}
$Users | Sort-Object SamAccountName, LastLogon -Descending | Group-Object SamAccountName | ForEach-Object {
$_.Group | Select-Object -First 1
}
Gönderildi : 12/03/2025 12:53
Adım gibi biliyorum 🙂 çok gördüm, aslında doğrusu bunu uğraşıp çözmek ama olmuyor ise kesip atmak. Burada izleyeceğin yöntem kritik sunuculara bak, istemci makineleri çok önemli değil, örnek Exchange, SQL vs, bunlar dc de ise adc yi gönder gitsin, sonra makineleri tekrar domain' e al. Ama sorun buraya gelene kadar sana çok event atmıştır, bir daha olmaması için bunları takip edecek bir sistem kurmanı öneririm.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/03/2025 13:46
Konu başlatıcı
@hakanuzuner Evet haklısınız, aslında zabbix yapılandırdım 2 ay önce.
3 Sunucuda test ediyorum. DC henüz dahil etmemiştim.
Teşekkür ederim, sağlıkla kalın.
Gönderildi : 12/03/2025 14:41
Rica ederim, kolaylıklar.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 12/03/2025 16:30
