Aracılığıyla paylaş

Active Directory,istemci cihazından daha yeni bir parola değerine sahip

Güvenli kanal sorunlarını gidermek için Veri toplama adımlarını temel alarak veri topladıktan sonra, Active Directory'nin istemci cihazdan daha pwdLastSet yeni bir değere sahip olduğunu fark edebilirsiniz. Bu makalede, bu senaryodaki sorunun nasıl çözülecekleri anlatılır.

Olası nedenler

Sanal makineyi eski bir anlık görüntüye döndürme

Bu nedeni onaylamak için belirli bir olayı bulamazsınız. Bunun yerine, günlükleri zaman içindeki atlamalar için de kontrol edebilirsiniz. Örneğin, System Olay Görüntüleyicisi olaylarının Şubat ayından Temmuz ayına kadar atlamalı olduğunu fark ederseniz şüphelidir. Sürekli kullanımda olan bir bilgisayarda veri içermeyen birkaç ay, sorgulamaya başlamak için bir neden olmalıdır.

Ayrıca, sistemin yakın zamanda başlatılıp başlatılmadığını da de kontrol edebilirsiniz:

Olay kimliği 12'nin ekran görüntüsü. 

Event ID 12  
Log name: System  
Source: Kernel-General  
Description: The operating system started at system time 2024-08-24T19:15:58.500000000Z.

Ayrıca çalışma süresini de kontrol edebilirsiniz. Sanal makine önceki bir anlık görüntüye geri döndürülürse, çalışma süresi son olacaktır. Yalnızca anlık görüntü geri çevirme nedeniyle değil, istenen bir işlemle de ilgili olabilir.

Görev Yöneticisi'ndeki çalışma süresinin ekran görüntüsü.

Not

Önyükleme süresinin makinenin istenen yeniden başlatılmasıyla tetiklenip tetiklenmediğini onaylamanız gerekir. Bilgisayarda ne yapıldığını belirlemek için kullanıcıyla iletişim kurması gerekir.

Fiziksel veya sanal makineyi çıplak yedeklemeden geri yükleme

Bu neden, önceki bölümdekine benzer. İlk adım, etkilenen cihazda herhangi bir eylemi onaylamak için herhangi bir günlük olup olmadığını yedekleme çözümü yöneticisine denetlemektir.

Ayrıca, günlükleri zaman içindeki atlamalar için de de kontrol edebilirsiniz. Örneğin, System Olay Görüntüleyicisi olaylarının Şubat ayından Temmuz ayına kadar atlamalı olduğunu fark ederseniz şüphelidir. Sürekli kullanımda olan bir bilgisayarda veri içermeyen birkaç ay, sorgulamaya başlamak için bir neden olmalıdır.

Cihazda yeni bir çalışma süresi olup olmadığını onaylayın.

Makineyi eski bir sistem geri yükleme noktasından geri yükleme

Sistem ve Uygulama olay görüntüleyici günlüklerini sistem geri yüklemesinin gerçekleştiğini belirten olaylar için araştırabilirsiniz (Kimlik: 1208 veya 8202)

Log Name:      System  
Source:        Microsoft-Windows-StartupRepair  
Event ID:      1208  
Level:         Information  
User:          SYSTEM  
Description: Restored system to an earlier restore point.  

Log Name:      Application  
Source:        System Restore  
Event ID:      8202  
Level:         Information  
Description: Successfully restored system (Restore Operation).

Beklenmeyen kapatma veya güç kesintisi

Bilgisayar başlatıldıktan sonra bir "kurtarma" ekranı sunulur ve kullanıcı, makineyi son sistem geri yükleme noktasına geri yüklemek için varsayılan seçeneği seçer. Ayrıca, makine parolası değiştirildikten sonra Windows Embedded istemcisi beklenmedik bir şekilde kapatılırsa Regfdata birimindeki veriler kaybolur ve bilinen son duruma geri yüklenir; örneğin, makine güç kaybettiğinde veya temiz bir şekilde kapatılmadığından içindeki HKLM\SECURITY\Policy\Secrets$machine.ACC değişiklikler kaybolur.

Beklenmeyen kapatma veya güç kesintisiyle ilgili olayları arayabilirsiniz (Kimlik: 41 veya 6008)

Log Name:      System  
Source:        Microsoft-Windows-Kernel-Power  
Event ID:      41  
Task Category: (63)  
Level:         Critical  
Description: The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly. 

Log Name:      System  
Source:        EventLog  
Event ID:      6008  
Description: The previous system shutdown at 9:03:23 AM on 6/28/2018 was unexpected.

Havuza alınmış masaüstleriyle yapılandırılan sanal masaüstü altyapısı (VDI) bilgisayarları bir görüntüyü temel alır ve kullanıcı oturumu kapattığında (kalıcı olmayan makineler olarak da bilinir) anlık görüntüye geri yüklenir.

Bazı VDI altyapılarında bağımlılık olarak Netlogon'a sahip hizmetler vardır. Bu durumda, VDI altyapısından gelen hizmetin Netlogon hizmetini Güvenli Kanal işlemlerinden kaçınacak şekilde işlemediğini onaylamanız gerekir.

Ayrıca, etkilenen cihaz bir görüntüden oluşturulabilir ve makine Active Directory'de bulunanlara göre güvenli kanal değerleriyle ilgili eski verileri içeren bir ortama girebilir.

Bu durum VDI altyapı yöneticisi tarafından ele alınmalıdır.

Çözüm

Güvenli Kanalı (veya Güven İlişkisini) onarmak için şu adımları izleyin:

  1. Etki alanı yöneticisi kimlik bilgilerini kullanarak aşağıdaki komutlardan birini çalıştırın:

    • Windows komut isteminden:

      nltest /sc_reset:domain_name

    • Windows PowerShell isteminden:

      Test-ComputerSecureChannel -Repair -Credential *

  2. Bilgisayarı yeniden başlatın.