Merhaba, bu yazımda sizlere Windows Domain’de Kullanıcı Hesap Kilitlenme Sorununu Tespit Etme konusundan bahsedeceğim. Kullanıcının hesabının nereden kilitlendiğini bulmak için aşağıdaki adımları izleyebilirsiniz.
1. Olay Görüntüleyici’de Güvenlik Günlüklerini İncelemek
Olay Görüntüleyici’yi (Event Viewer) aç.
Security (Güvenlik) kategorisindeki olayları incele.
Account Lockout olayları genellikle Event ID 4740 ile belirtilir. Bu olay, hangi makineden kilitlendiği bilgisini içerir.
2. Active Directory Hesap Kilitlenme Aracı (Account Lockout Tool)
Microsoft’un Account Lockout and Management Tool aracını indir ve kur.
Bu araç, kilitlenme olaylarını ayrıntılı bir şekilde analiz etmene olanak tanır ve kilitlenme kaynaklarını tespit edebilir.
3. Domain Controller’da Netlogon Loglarını Etkinleştirme
Kilitlenme sorununun olduğu kullanıcının işlemlerini izlemek için Netlogon loglarını etkinleştir.
Command Prompt (Komut İstemi) üzerinden aşağıdaki komutu çalıştırarak Netlogon loglamayı aktif hale getirebilirsin:
nltest /dbflag:0x2080ffff
Bu log, kilitlenme işlemlerinin hangi IP adresi veya cihazdan kaynaklandığını gösterir. Netlogon.log dosyasını %SystemRoot%\debug\netlogon.log yolunda bulabilirsin.
4. EventCombMT Aracını Kullanarak Log Toplama
EventCombMT aracı, Event ID 4740 gibi belirli olayları arayıp kilitlenme olaylarının detaylarını toplar.
Bu aracı kullanarak kilitlenme olaylarını merkezi bir yerden izleyebilir ve rapor alabilirsin.
Bu adımlarla kullanıcının hesabının nereden ve nasıl kilitlendiğini kolaylıkla bulabilir, sorunun çözümüne yönelik aksiyon alabilirsiniz.
EventCombMT aracı, kilitlenme gibi belirli olayları toplamak için kullanabileceğin bir Microsoft aracı. Bu araç, birden fazla Domain Controller üzerindeki logları toplar ve belirli olayları izleyerek rapor oluşturur. Aşağıda, EventCombMT aracını nasıl kullanabileceğine dair adımlar bulunmaktadır:
EventCombMT Kurulumu
1. EventCombMT Aracını İndir
Microsoft’un Account Lockout and Management Tools paketinde yer alır. Bu paketi indirip kurarak EventCombMT aracını kullanmaya başlayabilirsin.
2. Aracı Çalıştırma
EventCombMT aracını yönetici olarak çalıştır.
EventCombMT Kullanımı
1. Olay Kategorisi Belirleme
Aracın ana ekranında, Searches menüsünden Built-In Searches’i seç ve Account Lockouts seçeneğini işaretle. Bu seçenek, kullanıcı hesap kilitlenmelerini izlemek için gereken ayarları otomatik olarak yükleyecektir.
2. Domain Controller Seçimi
Select to Search/Right Click to Add penceresinden, olayları taramak istediğin Domain Controller’ları seç veya manuel olarak ekle. Bu adım, hangi sunucularda arama yapılacağını belirler.
3. Tarih ve Saat Filtreleri
Belirli bir zaman dilimi arıyorsan, Date/Time Range seçeneğinden ilgili tarih ve saat aralığını belirleyebilirsin.
4. Olay ID Belirleme
Account Lockout olayları genellikle Event ID 4740 ile ilişkilidir. Event IDs kısmında bu ID’yi girerek daha hızlı sonuç alabilirsin.
Ayrıca, eğer başka bir olay ID’sine göre arama yapmak istersen, buradan farklı ID’leri de ekleyebilirsin.
5. Arama Başlatma
Ayarları yaptıktan sonra, Search düğmesine tıklayarak aramayı başlatabilirsin. EventCombMT, belirtilen Domain Controller’larda tanımlanan olay ID’sine göre arama yapar.
6. Sonuçları İnceleme
Arama tamamlandığında, EventCombMT sonuçları bir dosyada saklar. Kilitlenme olaylarının kaynak IP adresi, kilitlenen kullanıcı ve tarih-saat bilgileri gibi detayları görebilirsin.
7. Sonuçları Kaydetme
File > Save Output As seçeneğini kullanarak sonuçları kaydedebilir ve daha sonra detaylı inceleme yapabilirsin.
EventCombMT aracı, kilitlenme olaylarını tespit etme ve analiz etme konusunda oldukça kullanışlı bir çözümdür. Bu adımları izleyerek kullanıcı hesap kilitlenme sorunlarının hangi kaynaktan geldiğini kolayca bulabilirsiniz. Bu yazımda sizlere Windows Domain’de Kullanıcı Hesap Kilitlenme Sorununu Tespit Etme konusundan bahsettim. Faydalı olması dileğiyle.