Bugün ortamımızda kurulu olan Active Directory event loglarını incelerken karşılaşmış olduğum Warning uyarısı dikkatimi çekti hata kodu 1202. Bunu nasıl düzeltebileceğimizi anlatmaya çalışacağım.
Bu hata kodu domain controller ve clientlar üzerinde de denk gelebilirsiniz. Hatanın olup olmadığını Event Viewer üzerinden -> Windows Logs -> Application Log sekmesi altında oluşmaktadır.
Hatada açıklandığı gibi hesap isimleri ve SID kimlikleri arasında eşleşme olmadığı belirtilmekte. Etki alanı (Domain Controller) bilgisayarları, Group Policy Object aracılığıyla uygulanan bir politikada kullanılan hesap bilgisinden kaynaklandığı bilgisini belirtmektedir.
Bu problemin temel 2 nedeni olabilmekte. Birincisi Group Policy üzerinde tanımlanan kullanıcı Active Directory üzerinden kaldırılmış, ikincisi Group Policy içinde hesap bilgisi yanlış yazılmıştır.
Microsoft loglar üzerinde bu problemin nasıl giderileceğini harika bir şekilde açıklamış ancak sorunu gerçekten nasıl tespit edebileceğimizi inceleyelim.
Domain Controller üzerinde cmd ekranını yönetici olarak çalıştıralım.
FIND /I “Cannot find” %SYSTEMROOT%\Security\Logs\winlogon.log
Herhangi bir log olmadığı bilgisi gelmekte çünkü sistemimiz üzerinde bu işlem etkinleştirilmemiş durumda. Bu işlemin çalışması için regedit üzerinde bir etkinleştirme yapılması gerekmektedir.
Regedit üzerinden aşağıda belirtmiş olduğum dizine gidelim.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
Açılan alan içerisinde ExtensionDebugLevel’i 2 olarak güncelleyelim.
Log oluşturma işlemini yeni etkinleştirdiğimiz için, log toplayana kadar belli bir süre beklememiz gerekmektedir.
Tekrardan komut satırı üzerinden ilgili komutumuzu çalıştırdığımızda,
it-d kullanıcısını tespit ettik. Bir sonraki adımda bu kullanıcının nerede kullanıldığını tespit etmemiz kaldı.
Tespit işlemi için RSoP (Resultant Set of Policy) aracılığıyla bilgisayarımız üzerinde uygulanan Group Policyleri tespit edebiliriz. Çalıştır üzerinden rsop.msc komutu ile ilgili MMC ekranına erişebiliriz.
Çalıştır -> rsop.msc -> Enter
Computer Configuration -> Windows Settings -> Security Settings-> Local Policies -> User Rights Assignment altında uygulanan işlemlere bakarak ilgili hata alınan kullanıcıyı arayalım.
İlgili kullanıcı için uygulanan yapılandırmayı tespit ettik. Şimdi Active Directory üzerinde ilgili kullanıcı var mı ona bakalım,
Active directory üzerinde ne bu isimle mevcut bir kullanıcı var, ne de silinen kullanıcılar arasında mevcut.
Active Directory üzerinde kullanıcının olmadığından hata açık şekilde ortadadır. Sorunu düzeltmek için ilgili hesabı Group Policy Object üzerinden kaldırmamız gerekmektedir. Bu işlemi yaptıktan sonra yeni Group Policy ayarımızın uygulanması için gpupdate /force komutunu kullanarak policyinin uygulandığından emin olalım.
Bu işlemimizi gerçekleştirdikten sonra ilgili event hata kodunun alınmadığını göreceksiniz.