Windows Domain’de Kullanıcı Hesap Kilitlenme Sorununu Tespit Etme

Merhaba, bu yazımda sizlere Windows Domain’de Kullanıcı Hesap Kilitlenme Sorununu Tespit Etme konusundan bahsedeceğim. Kullanıcının hesabının nereden kilitlendiğini bulmak için aşağıdaki adımları izleyebilirsiniz.

1. Olay Görüntüleyici’de Güvenlik Günlüklerini İncelemek

Olay Görüntüleyici’yi (Event Viewer) aç.

Security (Güvenlik) kategorisindeki olayları incele.

Account Lockout olayları genellikle Event ID 4740 ile belirtilir. Bu olay, hangi makineden kilitlendiği bilgisini içerir.

2. Active Directory Hesap Kilitlenme Aracı (Account Lockout Tool)

Microsoft’un Account Lockout and Management Tool aracını indir ve kur.

Bu araç, kilitlenme olaylarını ayrıntılı bir şekilde analiz etmene olanak tanır ve kilitlenme kaynaklarını tespit edebilir.

3. Domain Controller’da Netlogon Loglarını Etkinleştirme

Kilitlenme sorununun olduğu kullanıcının işlemlerini izlemek için Netlogon loglarını etkinleştir.

Command Prompt (Komut İstemi) üzerinden aşağıdaki komutu çalıştırarak Netlogon loglamayı aktif hale getirebilirsin:

nltest /dbflag:0x2080ffff

Bu log, kilitlenme işlemlerinin hangi IP adresi veya cihazdan kaynaklandığını gösterir. Netlogon.log dosyasını %SystemRoot%\debug\netlogon.log yolunda bulabilirsin.

4. EventCombMT Aracını Kullanarak Log Toplama

EventCombMT aracı, Event ID 4740 gibi belirli olayları arayıp kilitlenme olaylarının detaylarını toplar.

Bu aracı kullanarak kilitlenme olaylarını merkezi bir yerden izleyebilir ve rapor alabilirsin.

Bu adımlarla kullanıcının hesabının nereden ve nasıl kilitlendiğini kolaylıkla bulabilir, sorunun çözümüne yönelik aksiyon alabilirsiniz.

EventCombMT aracı, kilitlenme gibi belirli olayları toplamak için kullanabileceğin bir Microsoft aracı. Bu araç, birden fazla Domain Controller üzerindeki logları toplar ve belirli olayları izleyerek rapor oluşturur. Aşağıda, EventCombMT aracını nasıl kullanabileceğine dair adımlar bulunmaktadır:

EventCombMT Kurulumu

1. EventCombMT Aracını İndir

Microsoft’un Account Lockout and Management Tools paketinde yer alır. Bu paketi indirip kurarak EventCombMT aracını kullanmaya başlayabilirsin.

2. Aracı Çalıştırma

EventCombMT aracını yönetici olarak çalıştır.

EventCombMT Kullanımı

1. Olay Kategorisi Belirleme

Aracın ana ekranında, Searches menüsünden Built-In Searches’i seç ve Account Lockouts seçeneğini işaretle. Bu seçenek, kullanıcı hesap kilitlenmelerini izlemek için gereken ayarları otomatik olarak yükleyecektir.

2. Domain Controller Seçimi

Select to Search/Right Click to Add penceresinden, olayları taramak istediğin Domain Controller’ları seç veya manuel olarak ekle. Bu adım, hangi sunucularda arama yapılacağını belirler.

3. Tarih ve Saat Filtreleri

Belirli bir zaman dilimi arıyorsan, Date/Time Range seçeneğinden ilgili tarih ve saat aralığını belirleyebilirsin.

4. Olay ID Belirleme

Account Lockout olayları genellikle Event ID 4740 ile ilişkilidir. Event IDs kısmında bu ID’yi girerek daha hızlı sonuç alabilirsin.

Ayrıca, eğer başka bir olay ID’sine göre arama yapmak istersen, buradan farklı ID’leri de ekleyebilirsin.

5. Arama Başlatma

Ayarları yaptıktan sonra, Search düğmesine tıklayarak aramayı başlatabilirsin. EventCombMT, belirtilen Domain Controller’larda tanımlanan olay ID’sine göre arama yapar.

6. Sonuçları İnceleme

Arama tamamlandığında, EventCombMT sonuçları bir dosyada saklar. Kilitlenme olaylarının kaynak IP adresi, kilitlenen kullanıcı ve tarih-saat bilgileri gibi detayları görebilirsin.

7. Sonuçları Kaydetme

File > Save Output As seçeneğini kullanarak sonuçları kaydedebilir ve daha sonra detaylı inceleme yapabilirsin.

EventCombMT aracı, kilitlenme olaylarını tespit etme ve analiz etme konusunda oldukça kullanışlı bir çözümdür. Bu adımları izleyerek kullanıcı hesap kilitlenme sorunlarının hangi kaynaktan geldiğini kolayca bulabilirsiniz. Bu yazımda sizlere Windows Domain’de Kullanıcı Hesap Kilitlenme Sorununu Tespit Etme konusundan bahsettim. Faydalı olması dileğiyle.