Sunucu neden domainden düşer.

Domain admin yetkisi olan kişiler kendi kullanıcıları ile bağlanıyorsa event id lerden bulabilirsiniz tabi silinmediyse (silinme kaydıda tutuluyor). Herkes administrator ile bağlanıyorsa o zaman zor, sadece zamanını görürsünüz. 

Event id lere bakın örneğin aşağıdaki linkte event id 5141 silinme ile ilgili olduğu yazıyor.

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=5141

Önceliklle bilgilendirmeniz için teşekkür ederim sağolun eksik olmayın.

Hocam bir kaç sorum olacaktı.

Event ID 5141 nolu ID'yi nerde yani hangi sunucuda aramam gerek.

Ortamda 4 adet Domain controller sunucusu var.

Bunlar DC1, DC2, DC3 ve DC4

Active directory'deki operasyonel işlemler genelde helpdesk tarafından yapılıyor. Helpdesk çalışanı kendi bilgisayarına RSAT'ı kuruyır ve burdan Active Directory user and Computers'i çalışıtırp tüm işlemlerini kendi bilgisayardan yapıyorlar.

Yani bir helpdek çalışanlarından Ahmet bey kendi bilgisayarına, desktop'ında Active directory ve user and copmuters tool'u çalıştırıp tüm iişlemleri, user creat, user delete, computer account create, computer account delete vs ne varsa hepsini burdan yapıyorlar. Herkes kendi hesabı ile yapmaktadır. Helpdeskte bu işlemleri yapanların sayısı 17 olup herkesn kendi oturumu ile bu işlemleri yapmaktadır.

Hocam, 5141 ID'sine hangi DC'de bakmak gerek, 4 DC'de de bakmam gerekir mi yoksa helpdesk çalışnlarının tüm bilgisayarlarındaki Event ID'leri kontrol etmem mi gerek, yoksa Active directory'den silinmiş olan sunucunun SERVER-TMG adlı sunucunun event ID'lerine mi bakmak gerek?

Birde hocam 5141 ID'si hangi kateroride yer almaktadır? Windows Loglarından y, Application, securty, System, setup'damı yoksa, Applications and services Logs altından Active Directrory Web services, DFS recplication, Directory service, DNS server yani bunlardan hangisinden 5141'i aramam gerek.

Teşekkürler,