Active Directory Se...
 
Bildirimler
Hepsini Temizle

Active Directory Secure Channel’e Dair  

  RSS
Hakan YUKSEL
(@hakanyuksel)
Üye

• İster sanal ister gerçek olsun domainde olan her sunucu kendi makine şifresini domain’de ve kendi registry’sinde belirlenen ayarlar doğrultusunda default 30 gün olmak üzere düzenli resetler. Bu ayar domain bazında GPO’lardan veya sunucu bazında registry’den değiştirilebilir.
• Bir sunucunun disaster recovery ortamında fiziksel veya sanal aktif clone’u oluşturulduğunda, bu clone sunucu normal şartlar altında zamanı geldiğinde orijinal sunucudan bağımsız olarak kendi şifresini konuşabildiği herhangi bir DC ile resetlemeye çalışır. Bu clone ana sunucudan bağımsız olarak şifresini resetlediği zaman bu bilgi o ortamdaki DC’ye de kaydolunur ve eğer o DC ortamdaki diğer DC’ler replicate oluyorsa, original sunucunun şifresi farklı olduğu için secure channel kırılır. Kaynak olarak aşağıdaki İngilizce “Typical Symptoms when secure channel is broken” paragrafını inceleyebilirsiniz.
• Tek yönlü Active Directory replication yapılmasını disaster recovery için kurulan ortamlarda önerebiliyoruz. Ancak tek yönlü replication’dan dolayı disaster recovery ortamında tutarsız bir DC olacağı için disaster sonrası geri dönüş senaryosunda bu DC’den bozuk datalar yayılabilme riski olduğundan geri dönüş operasyonunun dikkatli yapılması ve test edilmiş olması gerekmektedir.
• Eğer disaster recovery ortamındaki AD ile çift yönlü replication aktif edilirse disaster recovery ortamındaki tüm client ve serverların computer şifrelerini otomatik 30 günde bir şifre değiştirmelerini engellemek gerekiyor. Bunun yöntemi ise disaster recover ortamındaki her sunucu için DisablePasswordChange ayarını registry’den düzenli ve otomatik olarak her yeni clonelama veya işletim sistemi restore işlemi biter bitmez yapmak ve registry değişikliğini müteakiben NetLogon servisini restart etmektir. Kaynak olarak “How to disable automatic machine account password changes”, http://support.microsoft.com/kb/154501 makalesi incelenebilir.

Typical Symptoms when secure channel is broken
The secure channel is used to validate the member servers or workstations membership in the domain, based upon its hashed password. This discrete communication channel helps provide a more secure communication path between the domain controller and the member servers or workstations. It can also be used to change the accounts password, and to retrieve domain-specific information, handling NTLM authentication pass-through to the domain controller, or from DC to DC for the same.

When you join a computer to a domain, a computer account is created, and a password is shared between the computer and the domain. By default, this password is changed every 30 days. The secure channel’s password is stored together with the computer account on the domain controllers. Upon starting, Netlogon attempts to discover a DC for the domain in which its machine account exists. After locating the appropriate DC, the machine account password from the workstation is authenticated against

Alıntı
Gönderildi : 20/05/2011 12:25
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Güzel paylaşım olmuş Hakan abi, eline emeğine sağlık

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 20/05/2011 20:28
Paylaş: